dubbo序列化问题之 Serialized class cn.demo.vo.testDto is not in allow list. Current mode is `STRICT`

最新推荐文章于 2024-11-25 17:25:32 发布
最新推荐文章于 2024-11-25 17:25:32 发布
阅读量2.9k 收藏 6
点赞数 10
文章标签: dubbo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/TANG256tang/article/details/136078893
版权
文章讲述了在使用ApacheDubbo与Fastjson进行序列化时遇到IllegalArgumentException的问题,原因是序列化的类不在安全白名单中。解决方法是在resource/security目录下创建serialize.allowlist文件,并添加需要序列化的类全路径。实测通过配置已解决问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Caused by: java.lang.IllegalArgumentException: [Serialization Security] Serialized class cn.demo.vo.testDto is not in allow list. Current mode is `STRICT`, will disallow to deserialize it by default. Please add it into security/serialize.allowlist or follow FAQ to configure it.
    at org.apache.dubbo.common.serialize.fastjson2.Fastjson2SecurityManager$Handler.apply(Fastjson2SecurityManager.java:143)
    at com.alibaba.fastjson2.JSONReaderJSONB.readAny(JSONReaderJSONB.java:733)
    at com.alibaba.fastjson2.JSONReaderJSONB.readAny(JSONReaderJSONB.java:930)
    at com.alibaba.fastjson2.reader.ObjectReaderImplObject.readJSONBObject(ObjectReaderImplObject.java:328)
    at com.alibaba.fastjson2.reader.ORG_1_6_DataReturn.readJSONBObject(Unknown Source)
    at com.alibaba.fastjson2.JSONB.parseObject(JSONB.java:540)

出现这种问题解决办法就是在 resource 下新建一个文件夹security 然后在 security 文件夹下新建 serialize.allowlist文件如resource/security/serialize.allowlist

在serialize.allowlist写入允许的类的全路径 例如cn.demo.vo.testDto

实测通过

Simon Ton
关注
DUBBO源码学习(六)服务的调用过程
lisyee的博客
09-17 710
文章目录一、服务调用的入口二、服务的请求过程三、dubbo的编码与解码四、服务的响应 DUBBO源码学习(一)spi机制 DUBBO源码学习(二)注册中心源码解析 DUBBO源码学习(三)v2.7.8-服务的暴露过程 DUBBO源码学习(四)服务引用的过程 DUBBO源码学习(五)负载均衡策略 一、服务调用的入口 通过之前的服务引用的分析,可以知道服务在引用的时候最终会生成一个invoker,最终invoker的执行我们会通过InvokerInvocationHandler#invoker: public
dubbo源码分析 - 序列化与反序列化
赵小叔
07-28 2292
  概念: 序列化:把对象转换为字节序列的过程称为对象的序列化。  反序列化:把字节序列恢复为对象的过程称为对象的反序列化。   在Dubbo RPC中,同时支持多种序列化方式: (1)dubbo序列化,阿里尚不成熟的java序列化实现。 (2)hessian2序列化:hessian是一种跨语言的高效二进制的序列化方式,但这里实际不是原生的hessian2序列化,而是阿里修改过的hes...
Dubbo序列化错误
silentcoo1的博客
08-05 1204
SpringBoot在application.yml中配置如下。
dubbo 报错Serialized class com.spring.boot.entity.User must implement java.io.Serializable
m0_67401153的博客
08-14 1093
这个是我们使用dubbo框架是写的一个公共接口的一个项目里面存放了接口和实体类。给它实现序列化的接口 Serializable 着这样问题就完美解决了。使用dubbo进行数据传递时,需让作为消息传递的类序列化。这个报错是说dubbo在传输数据的时候反序列化报错,这个时候我们去查看写的实体类型。...
解决dubbo3.0.7遇到别的服务异常时报错:Please add it into security/serialize.allowlist or follow FAQ to configure
JJBOOM425的博客
11-25 601
主要意思就是序列化时遇到了异常:java.lang.IllegalArgumentException。当前模式为“STRICT”,默认情况下不允许对其进行反序列化。我们升级了dubbo以后,在服务提供方抛出异常的时候,如果这个异常不在序列化名单内,还是没解决,最后还需把序列化的方式改为hessian2,当前dubbo版本是3.2,默认的序列化方式fastjson2,改为hessian2就解决了这个问题。最后还是决定把dubbo版本进行升级,看文档升级到3.2.16。然后重新部署,果然还是不行。
Dubbo分析之Serialize层
weixin_34074740的博客
10-09 263
Dubbo整体设计 关于Dubbo的整体设计可以查看官方文档,下图可以清晰的表达Dubbo的整体设计: 1.图例说明 图中左边淡蓝背景的为服务消费方使用的接口,右边淡绿色背景的为服务提供方使用的接口,位于中轴线上的为双方都用到的接口;图中从下至上分为十层,各层均为单向依赖,右边的黑色箭头代表层之间的依赖关系;图中绿色小块的为扩展接口,蓝色...
解决Dubbo在反序列化时报错
GUILTYxc的博客
03-15 6390
STRICT参考官网关于类检查机制的说明我使用的版本默认的检查模式为STRICT,禁止反序列化所有不在允许序列化列表(白名单)中的类。共有三个模式:STRICT 严格检查,WARN 告警,DISABLE 禁用。
**'with' is not allowed in strict mode解决方法*
zzdcn的博客
07-09 1759
错误代码: with(obj) { onchange = function (){calendar.update(calendar);} onblur = function (){calendar.onblur();} }
Dubbo3序列化安全问题
mlfc0422的博客
09-21 1369
类检查机制确保服务提供者与消费者之间的兼容性和安全性,防止因类版本不匹配、方法签名不兼容或类缺失而引发的问题。类检查机制和接口检查是 Dubbo 3.0 为了提升安全性和兼容性而引入的重要特性。合理配置这些检查机制,可以有效防止因类版本不匹配和反序列化风险而带来的潜在问题。在开发和部署微服务时,建议根据应用需求合理配置相应的检查模式和接口检查。
DUBBO配置规则详解
qi20088的专栏
11-10 471
研究DUBBO也已经大半年了,对它的大部分源码进行了分析,以及对它的内部机制有了比较深入的了解,以及各个模块的实现。DUBBO包含很多内容,如果想了解DUBBO第一步就是启动它,从而可以很好的使用它,那么如何更好的使用呢?就需要知道DUBBO的各个配置项,以及它可以通过哪些途径进行配置。个人对配置的理解,就好比时对动物的驯服,如何很好的驯服一头猛兽,那就需要知道它各种习性,从而调整,已达到自己期望...
Apache Dubbo是一个高性能的,基于Java的开源RPC服务框架
05-24
Dubbo 是一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成
dubbo.rpc.demo.rar;dubbo双模块RPC调用,附源码及编译后内容,解压即可用
07-07
dubbo.rpc.demo.rar;dubbo双模块RPC调用,附源码及编译后内容,解压即可用;dubbo.rpc.demo.rar;dubbo双模块RPC调用,附源码及编译后内容,解压即可用;dubbo.rpc.demo.rar;dubbo双模块RPC调用,附源码及编译后...
dubbo找不到dubbo.xsd报错
11-18
- cvc-complex-type.2.4.c: The matching wildcard is strict, but no declaration can be found for element 'dubbo:application'. - schema_reference.4: Failed to read schema document '...
dubbo.xsd文件下载
04-25
- cvc-complex-type.2.4.c: The matching wildcard is strict, but no declaration can be found for element 'dubbo:application'. - schema_reference.4: Failed to read schema document 'http:// code....
dubbo.io 文档(dubbo-user-book.pdf、dubbo-dev-book.pdf、dubbo-admin-book.pdf)
11-12
Dive deep into dubbo user guide or download pdf to find more details,...Interested in how dubbo is designed, or want to contribute? Read dubbo developer guide or download pdf, and start to hack the code.
解决 给Example类序列化依旧报:Serialized class com.chaz.pojo.SpaItemExample must implement java.io...需要序列化的错误
星辰里的月光
04-27 1288
错误信息: 给SpaItemExample 类序列化依旧报:Caused by: java.lang.IllegalStateException: Serialized class com.chaz.pojo.SpaItemExample must implement java.io.Serializable 这个错误; 注:以下代码图片内容均来自一个文件:SpaItemExample.java...
Dubbo——Dubbo协议整合Jackson序列化解决方案
无限迭代中......
03-20 3509
环境配置 spring boot 2.6.3 spring cloud 2021.0.1 spring cloud alibaba 2021.0.1.0 nacos server 2.0.4 dubbo 2.7.15 官方文档 序列化扩展:SPI扩展实现-序列化扩展 多协议配置:配置多协议 已知扩展 解决方案 源代码:https://gitee.com/myzstu/auth/tree/master/auth-core/src/main/java/club/zstuca/myzstu/dubbo/se
dubbo之Serialization
懒猫的脚印
03-15 1197
dubbo序列化原理,及序列化工具如何选用介绍
dubbo序列化
weixin_34268310的博客
05-20 243
dubbo序列化 dubbo作为一个rpc框架支持丰富的序列化方式,本文简单介绍dubbo序列化。本文结构: 对象序列化是什么意思? dubbo序列化 几个问题 对象序列化是什意思? 先来思考两个问题: 普通的Java对象的生命周期是仅限于一个JVM中的,只要JVM停止,这个对象也就不存在了,下次JVM启动我们还想使用这个对象怎么办呢? 或者我们想要把一个对象传递给另外一个JVM的时候,应...
dubbo报错 is not in allow list. Current mode is `STRICT`, will disallow to deserialize it by default. Please add it into security/serialize.allowlist or follow FAQ to configure it.
最新发布
04-03
<think>嗯,用户遇到了Dubbo在STRICT模式下反序列化报错的问题,提示类不在允许列表里。我需要帮他找到解决方法。首先,根据引用[1],问题是因为默认的STRICT模式禁止反序列化不在白名单中的类。解决方案应该是将需要的类添加到serialize.allowlist里。 用户可能需要知道如何配置这个白名单。根据引用[3],例子是在文件中写入全路径类名。那具体应该怎么操作呢?可能需要说明配置文件的路径和格式,比如在resources目录下创建dubbo目录,然后添加serialize.allowlist文件,每行一个类名。 另外,用户可能不知道如何切换模式到WARN或DISABLE,虽然不建议,但有时候临时解决可能需要。引用[1]提到有三种模式,可以说明通过设置dubbo.application.serialization-security-level参数来调整。 还有,用户可能想知道如何验证配置是否正确生效,可能需要建议重启应用并测试反序列化是否成功。同时,提醒用户注意安全风险,特别是使用非STRICT模式时的潜在问题。 需要分步骤说明,先加白名单,再可选改模式。最后给出注意事项,确保用户明白安全性。可能还需要检查类路径是否正确,避免拼写错误。引用中的例子是cn.demo.vo.testDto,要提醒用户替换为自己的类名。 总结步骤:配置白名单文件、修改模式(可选)、验证和注意事项。这样用户就能一步步解决问题了。</think>### 解决方案:Dubbo STRICT模式反序列化报错处理 #### 1. 问题原因分析 Dubbo 3.x版本默认启用**STRICT**安全模式,严格限制反序列化操作仅允许白名单(`serialize.allowlist`)中定义的类。若反序列化时遇到未明确允许的类,会抛出`Serialized class [类名] is not in allow list`异常[^1][^2]。 #### 2. 配置步骤 ##### 方法1:添加类到白名单文件 1. **创建/修改白名单文件** 在项目资源目录(`src/main/resources`)下创建文件: ```plaintext META-INF/dubbo/org.apache.dubbo.common.serialize.SerializationSecurityChecker ``` 文件内容为需要允许的类全限定名,每行一个类,例如: ```plaintext cn.demo.vo.testDto com.example.model.User ``` 2. **配置加载路径验证** 确保白名单文件位于正确的类路径位置,Dubbo会自动扫描`META-INF/dubbo`目录下的配置[^3]。 ##### 方法2:调整安全模式(非推荐,需评估风险) 修改Dubbo全局配置,将安全模式调整为**WARN**(仅记录警告)或**DISABLE**(完全禁用检查): ```properties # application.properties dubbo.application.serialization-security-level=WARN ``` **注意**:此方法会降低安全性,仅在测试环境临时使用[^1]。 #### 3. 验证配置 1. 重启Dubbo服务,触发反序列化操作。 2. 检查日志中是否仍存在`not in allow list`错误。 3. 若使用**WARN**模式,确认日志中是否生成对应的类加载警告信息。 #### 4. 安全建议 - **最小化白名单**:仅添加业务必需的类,避免通配符或范围过大的包路径。 - **定期审计**:检查白名单中是否存在废弃类或潜在风险类。 - **依赖管理**:确保第三方依赖库的序列化类已明确授权[^3]。 #### 5. 补充说明 - **优先级规则**:白名单配置优先级高于全局模式设置。 - **动态更新**:部分Dubbo版本支持通过管理接口动态更新白名单,减少重启次数。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值