jackson BeanDeserializer 获取解析的json字段所在对象错误问题及原因分析

已于 2022-12-04 21:28:58 修改
阅读量1.4k 收藏
点赞数
分类专栏: 问题排查处理 文章标签: java spring 后端
于 2022-11-27 17:38:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/g5zhu5896/article/details/127958059
版权

问题:

用spring自定义Deserializer并且需要获取到当前解析字段所在对象实例时,某种情况会导出获取到的对象实例并非当前字段所在对象。

版本:

spring boot 2.1.4
jackson-databind 2.9.8

场景:

首先先看看定义的实体结构

public class Dept{
    private User user;
    private String deptName
}

public class User{
    private String userName;
}

然后是自定义 Deserializer 的代码,重点关注图中的 currentValue

public class CustomDeserializer extends JsonDeserializer<IDictBean> {

    @Override
    public String deserialize(JsonParser p, DeserializationContext ctxt) throws IOException, JsonProcessingException {
        JsonNode node = p.getCodec().readTree(p);
        //当前解析的json字段名称
        String currentName = p.currentName();
        //当前字段所在对象的实体
        Object currentValue = p.getCurrentValue();
        return node.asText();
    }
}

下面是 Controller 的方法代码


@RequestMapping(value = "", method = RequestMethod.POST)
public void cabinMapCreate(@RequestBody Dept dept) {
}

接下来是针对三种不同的 json 转换成 dept 并在绑定deptName字段时 currentValue 的区别

第一种 json : currentValue 为 Dept 的实例 ,此处无论 user 里的字段是 abc 或是 userName 都一样

{

        "user":{

                "abc":""

        },

        "deptName":"技术部"

}

第二种 json : currentValue 为 Dept 的实例 

{

        "user": null

        "deptName":"技术部"

}

3.第三种 json : 解析 deptName 时则 currentValue 为 User 的实例,这也是问题所在,deptName是Dept的字段,currentValue却是User。

{

        "user":{},

        "deptName":"技术部"

}

 原因分析:

首先,json解析的顺序是从上往下,如下面的json会先解析 user 字段,然后解析 user 里的 abc ,接着在解析deptName.

{

        "user":{

                "abc":""

        },

        "deptName":"技术部"

}

接下来会通过 BeanDeserializer 源码中的 deserialize 和 deserializeFromObject 方法分析上面三种情况的区别:(BeanDeserializer 是用于反序列化对象用的)

源码中的注释讲的都是解析 user 字段的过程

第一种json

@Override
public Object deserialize(JsonParser p, DeserializationContext ctxt) throws IOException{
	//在解析 user 字段时, currentValue 是 Dept 的实例
    //判断 json 中 user: 后面是不是 "{" 开头,是的话表示user是一个对象.则此处为ture
    //此处p.isExpectedStartObjectToken() 为 true,走if里的逻辑
	if (p.isExpectedStartObjectToken()) {
		if (_vanillaProcessing) {
			return vanillaDeserialize(p, ctxt, p.nextToken());
		} 
		p.nextToken();
		if (_objectIdReader != null) {
			return deserializeWithObjectId(p, ctxt);
		}
        //此deserializeFromObject方法里会创建一个user实例,并会修改 currentValue 的值
		return deserializeFromObject(p, ctxt);
	}
	return _deserializeOther(p, ctxt, p.getCurrentToken());
}

@Override
public Object deserializeFromObject(JsonParser p, DeserializationContext ctxt) throws IOException{
    .......省略若干代码..........

    //这里是会创建一个 User 对象,即 bean=user 对象
	final Object bean = _valueInstantiator.createUsingDefault(ctxt);
	//此处会让 currentValue由 dept 改成 user 实例.因此如果后续没有地方把currentValue改成 dept,则 currentValue 就会一直都是 user 的实例
	p.setCurrentValue(bean);

	if (p.canReadObjectId()) {
		Object id = p.getObjectId();
		if (id != null) {
			_handleTypedObjectId(p, ctxt, bean, id);
		}
	}
	if (_injectables != null) {
		injectValues(ctxt, bean);
	}
	if (_needViewProcesing) {
		Class<?> view = ctxt.getActiveView();
		if (view != null) {
			return deserializeWithView(p, ctxt, bean, view);
		}
	}
    //此处会判断当前标识是不是字段名称,此处是 abc 字段,所以p.hasTokenId(JsonTokenId.ID_FIELD_NAME) 为 true
	if (p.hasTokenId(JsonTokenId.ID_FIELD_NAME)) {
        //此处拿到的 propName 是 abc
        // 此处执行了 do while,而 while 里的p.nextFieldName()会在找不到下一个字段(此处指的是user内的下一个字段)的时候把 currentValue 设为dept的实例,因此 currentValue 又被改回dept了,所以解析下一个字段deptName的时候 currentValue=dept
		String propName = p.getCurrentName();
		do {
			p.nextToken();
			SettableBeanProperty prop = _beanProperties.find(propName);
			if (prop != null) { // normal case
				try {
					prop.deserializeAndSet(p, ctxt, bean);
				} catch (Exception e) {
					wrapAndThrow(e, bean, propName, ctxt);
				}
				continue;
			}
			handleUnknownVanilla(p, ctxt, bean, propName);
		} while ((propName = p.nextFieldName()) != null);
	}
	return bean;
}

第二种json

@Override
public Object deserialize(JsonParser p, DeserializationContext ctxt) throws IOException{
	//在解析 user 进入这个方法的时候 currentValue 是 Dept 的实例
    //判断 json 中 user: 后面是不是 "{" 开头,是的话表示user是一个对象,则此处为true,否则为false
    //user 后面是 null,所以此处为false
	if (p.isExpectedStartObjectToken()) {
		if (_vanillaProcessing) {
			return vanillaDeserialize(p, ctxt, p.nextToken());
		} 
		p.nextToken();
		if (_objectIdReader != null) {
			return deserializeWithObjectId(p, ctxt);
		}
		return deserializeFromObject(p, ctxt);
	}
    //这里会直接返回然后继续解析下一个 deptName 字段,因此解析 deptName 时 currentValue 是 Dept 的实例
	return _deserializeOther(p, ctxt, p.getCurrentToken());
}

第三种json

@Override
public Object deserialize(JsonParser p, DeserializationContext ctxt) throws IOException{
	//在解析 user 字段时, currentValue 是 Dept 的实例
    //判断 json 中 user: 后面是不是 "{" 开头,是的话表示user是一个对象.则此处为ture
    //此处p.isExpectedStartObjectToken() 为 true,走if里的逻辑
	if (p.isExpectedStartObjectToken()) {
		if (_vanillaProcessing) {
			return vanillaDeserialize(p, ctxt, p.nextToken());
		} 
		p.nextToken();
		if (_objectIdReader != null) {
			return deserializeWithObjectId(p, ctxt);
		}
        //此deserializeFromObject方法里会创建一个user实例,并会修改 currentValue 的值
		return deserializeFromObject(p, ctxt);
	}
	return _deserializeOther(p, ctxt, p.getCurrentToken());
}

@Override
public Object deserializeFromObject(JsonParser p, DeserializationContext ctxt) throws IOException{
    .......省略若干代码..........

    //这里是会创建一个 User 对象,即 bean=user 对象
	final Object bean = _valueInstantiator.createUsingDefault(ctxt);
	//此处会让 currentValue由 dept 改成 user 实例.因此如果后续没有地方把currentValue改成 dept,则 currentValue 就会一直都是 user 的实例
	p.setCurrentValue(bean);

	if (p.canReadObjectId()) {
		Object id = p.getObjectId();
		if (id != null) {
			_handleTypedObjectId(p, ctxt, bean, id);
		}
	}
	if (_injectables != null) {
		injectValues(ctxt, bean);
	}
	if (_needViewProcesing) {
		Class<?> view = ctxt.getActiveView();
		if (view != null) {
			return deserializeWithView(p, ctxt, bean, view);
		}
	}
    //此处会判断当前标识是不是字段名称,user 后面是 {} ,所以p.hasTokenId(JsonTokenId.ID_FIELD_NAME) 为 false
	if (p.hasTokenId(JsonTokenId.ID_FIELD_NAME)) {
		String propName = p.getCurrentName();
		do {
			p.nextToken();
			SettableBeanProperty prop = _beanProperties.find(propName);
			if (prop != null) { // normal case
				try {
					prop.deserializeAndSet(p, ctxt, bean);
				} catch (Exception e) {
					wrapAndThrow(e, bean, propName, ctxt);
				}
				continue;
			}
			handleUnknownVanilla(p, ctxt, bean, propName);
		} while ((propName = p.nextFieldName()) != null);
	}
    //上面 while 里的p.nextFieldName()会在找不到下一个字段(此处指的是user内的下一个字段)的时候把 currentValue 改为 dept 的实例,因为没执行到 while ,所以 currentValue 没有被改回 dept ,所以解析下一个字段deptName的时候 currentValue=user
	return bean;
}

总结:

综上所述,在解析user的时候
        第一种json(user:{"${any filed}":""}) 会修改currentValue=user实例,但当解析完 user 后会把currentValue 还原为 dept实例
        第二种json(user:null)不会修改 currentValue的指向,所以currentValue=dept的实例
        第三种json (user:{}) 会修改currentValue=user实例,但最后却没有一个点可以把currentValue 还原为 dept实例,导致后续解析其他字段的时候会获取到错误的currentValue.

       

@Override
public Object deserialize(JsonParser p, DeserializationContext ctxt) throws IOException{
	//在解析 user 进入这个方法的时候 currentValue 是 Dept 的实例
    //判断 json 中 user: 后面是不是 "{" 开头,是的话表示user是一个对象.此处为ture,否则为false
    //第一种和第三种json 为true,走 if 里的逻辑,第二种json为false
	if (p.isExpectedStartObjectToken()) {
		if (_vanillaProcessing) {
			return vanillaDeserialize(p, ctxt, p.nextToken());
		} 
		p.nextToken();
		if (_objectIdReader != null) {
			return deserializeWithObjectId(p, ctxt);
		}
        //此方法里会创建一个user实例,并会修改currentValue的值
        //就是这方法里面逻辑导致了上述第一种和第三种 json 参数的差异
		return deserializeFromObject(p, ctxt);
	}
    //上面第二种 json 种走的是这里的逻辑,会直接返回继续解析下一个 deptName 字段,因此解析 deptName 时 currentValue 是 Dept 的实例
	return _deserializeOther(p, ctxt, p.getCurrentToken());
}

@Override
public Object deserializeFromObject(JsonParser p, DeserializationContext ctxt) throws IOException{
    .......省略若干代码..........

    //这里是会创建一个 User 对象,即 bean=user 对象
	final Object bean = _valueInstantiator.createUsingDefault(ctxt);
	//此处会让 currentValue=user实例.因此如果后续没有地方把currentValue改成 dept,则 currentValue 就会一直都是 user 的实例
	p.setCurrentValue(bean);

	if (p.canReadObjectId()) {
		Object id = p.getObjectId();
		if (id != null) {
			_handleTypedObjectId(p, ctxt, bean, id);
		}
	}
	if (_injectables != null) {
		injectValues(ctxt, bean);
	}
	if (_needViewProcesing) {
		Class<?> view = ctxt.getActiveView();
		if (view != null) {
			return deserializeWithView(p, ctxt, bean, view);
		}
	}
    //此处会判断当前标识是不是字段名称,第一种json对应 abc 字段所以为true, 第三种json则为false
	if (p.hasTokenId(JsonTokenId.ID_FIELD_NAME)) {
        //此处拿到的 propName 是 abc
        // while 里的p.nextFieldName()会在找不到下一个字段(此处指的是user里面的下一个字段)的时候会把 currentValue 设为dept的实例,然后返回继续解析下一个 deptName 的字段,因此第一种 json 拿到的 currentValue=dept实例
		String propName = p.getCurrentName();
		do {
			p.nextToken();
			SettableBeanProperty prop = _beanProperties.find(propName);
			if (prop != null) { // normal case
				try {
					prop.deserializeAndSet(p, ctxt, bean);
				} catch (Exception e) {
					wrapAndThrow(e, bean, propName, ctxt);
				}
				continue;
			}
			handleUnknownVanilla(p, ctxt, bean, propName);
		} while ((propName = p.nextFieldName()) != null);
	}
    //第三种json 跳过 if 里的逻辑,导致没有执行到 p.nextFieldName() ,于是在解析后续字段的时候拿到的 currentValue都会是 user 的实例,bug就这样产生了。报错也会报的莫名其妙。
	return bean;
}
java8】如何为泛型类自定义jackson反序列化器JsonDeserializer
aa250071173的博客
01-24 2457
如何在jackson的readValue时为泛型类实现泛型类型的传递? 如何避免在jackson使用中屡屡显式地调用new TypeReference? 如何为自定义的泛型类实现反序列化器? 我们可以带着这些问题,阅读这篇文章
杰克逊JSON解析错误-UnrecognizedPropertyException:无法识别的字段,未标记为可忽略[已解决]...
最佳 Java 编程
06-02 2822
解析从我们的一个RESTful Web服务接收到的JSON字符串时,我收到此错误“线程“ main”中的异常com.fasterxml.jackson.databind.exc.UnrecognizedPropertyException:无法识别的字段“ person”(类Hello $ Person),不是标记为“可忽略” 。 经过一番研究,我发现这是在Java应用程序中使用Jacks...
jackson自定义反序列化器JsonDeserializer
weixin_43335392的博客
05-19 1万+
1.JSON的序列化与反序列化 JSON序列化:将实体类对象转为JSON字符串 JSON反序列化:将JSON字符串转为实体类 2.jackson和gson jackson作为Spring MVC和Spring Boot默认的JSON解析器,其与gson的工作原理不一样。 jackson通过调用实体类每个属性get/set方法进行注入,而gson则是通过设置每个属性为可访问后注入。 jackson工作原理大致如下 //获取Class对象 Class<Order.OrderStatus> order
使用jackson获取复杂对象中的成员变量对象
sherry_y_fan的博客
05-17 2297
Java中进行远程请求时, 获取到复杂对象中的成员变量为某个对象,直接使用ObjectMapper.readValue() 无法再次获取到其中的成员变量的对象.例如:下面的json串中data为item对象, 整个json串为 为了方便网络传输包装item后的新对象result.{"status":200,"msg":"OK","data":{"created":1425821598000,"u.
Jackson 2.x 系列【16】反序列化器 JsonDeserializer
记录知识、锤炼自我
04-08 1517
JsonDeserializer是一个用于将JSON反序列化为任意类型的对象的抽象类,是Jackson中的重要组件之一。
使用 Jackson 进行 json对象时,遇到的字符串转日期格式异常处理
武培轩
10-18 2662
报错情况 服务端写了一个对外的接口,传入 json 数据进行处理,其中该 json 带有日期,格式为 yyyy-MM-dd HH:mm:ss 调用该接口时报异常,异常如下: com.fasterxml.jackson.databind.exc.InvalidFormatException: Can not deserialize value of type java.util.Date from ...
Json反序列化之ObjectMapper(自定义实现反序列化方法)
热门推荐
皮斯特劳沃
03-12 1万+
本文是在学习中的总结,欢迎转载但请注明出处:http://blog.youkuaiyun.com/pistolove/article/details/50868105 对于服务器端开发人员而言,调用第三方接口获取数据,将其“代理”转化并返给客户端几乎是家常便饭的事儿。     一般情况下,第三方接口返回的数据类型是json格式,而服务器开发人员则需将json格式的数据转换成对象,继而对
反序列化漏洞例子——jackson反序列化漏洞的调试与分析
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
12-30 3947
文章目录反序列化例子漏洞原因漏洞条件enableDefaultTyping@JsonTypeInfo总结调试CVE-2017-7525(基于TemplatesImpl利用链)影响版本利用 Jackson 是用来序列化和反序列化 jsonJava 的开源框架,Jackson 运行时占用内存比较低,性能比较好,且不依靠除JDK外的其他库。 反序列化例子 举一个jackson进行序列化和反序列化的例子,首先,我的依赖包如下所示: <!-- jackson --> <depe
Json字符串转实体类报错
weixin_40239489的博客
06-10 830
实体类 json字符串: {"status":200,"responseBody":"{\"failRoomTypeList\":null,\"ResponseStatus\":{\"Timestamp\":\"/Date(1623299336391+0800)/\",\"Ack\":\"Success\",\"Errors\":[],\"Build\":null,\"Version\":\"v1\",\"Extension\":null},\"resultStatus\":{\"resultCod
jackson Serialize 序列化时使用属性名 不使用 get set 获取字段
FTMin的博客
06-14 7440
在序列化的时候,有时被序列化的对象 里面的字段 和get,set方法对应的不一样,但是序列化的时候希望出现”name”:”xxx” 而不是 “studentName”:”xxx” json串。”如下: class Student{ private String name; private int age; public String getStudentName(...
jackson:基于BeanDeserializer实现自定义的Java bean 解析
10km的专栏
03-22 1106
如果能基于这个类实现自定义反序列化器,那么就可以利用它已有的成熟逻辑,代码实现上会简化,并且稳定和适应性也更好。但上面这种方式只适合已经知解析类型的场景,在一些特殊场景,比如不知道特定解析类型的场景,这个方法会有局限性。为参数的构造方法,调用者直接提供Java Bean的类,就可以实现构造方法。关于jackson实现自定义的对象解析器,最常用的方式就是继承顶级抽象类(字段的值受其他字段setter方法影响,所以下面的实现中先解析出。方法,就可以写继承BeanDeserializer 的子类了,
[Java反序列化]—Jackson反序列化
Sentiment的博客
11-12 7224
DefaultTyping类型描述说明属性的类型为Object属性的类型为Object、Interface、AbstractClass属性的类型为Object、Interface、AbstractClass、ArrayNON_FINAL所有除了声明为final之外的属性其实原理上很简单,就是在Jackson进行反序列化时执行了构造器和setter方法,造成恶意代码执行,但其实这种方式也只是本地调试了解原理用,并不适合作为实际攻击方式,真正的攻击还要看其它Jackson的调用链。
Jackson 自定义 反序列化
qq_35987023的博客
07-11 138
【代码】Jackson 自定义 反序列化。
“请求参数转换异常JSON parseerror:Cannot deserialize value otype java.util.Date from String“2024-08-01\“:not
最新发布
CDSN大帝的专栏
06-12 394
当遇到这种请求参数转换异常时,可能是日期格式的解析出现问题。以下是一个可能的解决示例代码,使用。
json 转 实体对象解析错误
qq_37973828的博客
04-19 2861
rxjava+retrofit 同一个接口,不同参数,后台返回的数据格式一样,有的会报解析错误。 后来发现,后台返回的数据中,gender字段,有的是空的字符串“ ”,有的是int值5 ,而我的实体类写的是int 类型,所以解析的时候,空字符串转int报错 。 解决办法就是写成string 无语 ...
jacksonjackson全局配置方式 因为JsonDeserializer全局配置优先级导致@JsonFormat失效的问题
孟秋与你的博客
01-13 5791
我们知道jackson的序列化 反序列化 配置方式较多,本文介绍常见的几种。当然,本文重点难点是在于文章目录中 最后一种配置 通过JsonDeserializer方式 导致@JsonFormat失效的问题。避开问题的方式有很多 一条路行不通就换一条路,但总会有想解决问题的人 偏要一条路走到黑 ,一个程序员最无助 无非遇到bug 百度谷歌Stack Overflow都搜不到答案的时候, 希望本文可以帮助到有需要的同学。
Jackson行为特征SerializationFeature和DeserializationFeature【收藏】
码到三十五
08-23 2443
Jackson 库中,SerializationFeature 和 DeserializationFeature 是用于配置序列化和反序列化行为的枚举类。它们分别用于控制对象的序列化和反序列化过程中的各种特性和选项,通过在序列化和反序列化过程中配置这些特性,可以灵活控制 JSON 数据的解析和生成方式。
程序验证Jackson反序列化的规则、Jackson序列化与反序列化关键方法程序详细分析
jiayoudangdang的博客
11-11 4371
程序验证Jackson反序列化的规则 没有无参构造时: 如果有参构造的参数全,或者更多(就是有不存在的值),这样还能正常运行 如果参数不全则直接异常 无参构造和有参构造方法都有的时候先走无参构造; 无参构造需要set/get方法来完成序列化和反序列化 Jackson序列化与反序列化关键方法程序详细分析
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值