2. 程式人生 > >fastjson反序列化失敗autoType is not support

fastjson反序列化失敗autoType is not support

阿新 發佈:2019-01-04

描述

通過fastjson反序列化某javabean時失敗,並丟擲以下異常:

Could not deserialize: autoType is not support. com.xxx.Shop; nested exception is com.alibaba.fastjson.JSONException: autoType is not support. com.xxx.Shop
	at com.alibaba.fastjson.support.spring.GenericFastJsonRedisSerializer.deserialize(GenericFastJsonRedisSerializer.java:37)

然而只有專案第一次反序列化該javabean時會拋異常失敗,復現方式只有重啟專案後的第一次反序列化操作。

過程

查詢官方文件,開啟AutoType的方法
enable_autotype

但是文件中的方法均測試無效,無奈debug原始碼,發現丟擲異常的程式碼為
com.alibaba.fastjson.parser.ParserConfig的1125行程式碼:

JavaBeanInfo beanInfo = JavaBeanInfo.build(clazz, clazz, propertyNamingStrategy);
if (beanInfo.creatorConstructor !=
 
 null && autoTypeSupport) {
    throw new JSONException("autoType is not support. " + typeName);
}

經與正常反序列化的javabean比較後,發現反序列化失敗的javabean在如上程式碼執行時,beanInfo.creatorConstructor的值不為null,最後丟擲autoType is not support的異常。

繼續追蹤,在com.alibaba.fastjson.util.JavaBeanInfo283行程式碼判斷反序列化失敗的javabean為介面或抽象類:

boolean isInterfaceOrAbstract = clazz.isInterface() || Modifier.isAbstract(clazz.getModifiers());

再於com.alibaba.fastjson.util.JavaBeanInfo381行程式碼的if判斷分支下給beanInfo.creatorConstructor賦值:

else if (!isInterfaceOrAbstract){
    ...
    for (Constructor constructor : constructors) {
        Class<?>[] parameterTypes = constructor.getParameterTypes();
    
        if (className.equals("org.springframework.security.web.authentication.WebAuthenticationDetails")) {
            if (parameterTypes.length == 2 && parameterTypes[0] == String.class && parameterTypes[1] == String.class) {
                creatorConstructor = constructor;
                creatorConstructor.setAccessible(true);
                paramNames = ASMUtils.lookupParameterNames(constructor);
                break;
            }
        }
    
        if (className.equals("org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationToken")) {
            if (parameterTypes.length == 3
                    && parameterTypes[0] == Object.class
                    && parameterTypes[1] == Object.class
                    && parameterTypes[2] == Collection.class) {
                creatorConstructor = constructor;
                creatorConstructor.setAccessible(true);
                paramNames = new String[] {"principal", "credentials", "authorities"};
                break;
            }
        }
    
        if (className.equals("org.springframework.security.core.authority.SimpleGrantedAuthority")) {
            if (parameterTypes.length == 1
                    && parameterTypes[0] == String.class) {
                creatorConstructor = constructor;
                paramNames = new String[] {"authority"};
                break;
            }
        }
    
        boolean is_public = (constructor.getModifiers() & Modifier.PUBLIC) != 0;
        if (!is_public) {
            continue;
        }
        String[] lookupParameterNames = ASMUtils.lookupParameterNames(constructor);
        if (lookupParameterNames == null || lookupParameterNames.length == 0) {
            continue;
        }
    
        if (creatorConstructor != null
                && paramNames != null && lookupParameterNames.length <= paramNames.length) {
            continue;
        }
    
        paramNames = lookupParameterNames;
        // 有引數構造方法給beanInfo.creatorConstructor賦值
        creatorConstructor = constructor;
    }
}

最終定位專案中通過fastjson反序列化失敗,是因為該javabean沒有無參構造方法,被fastjson判斷為介面或抽象類,最終丟擲autoType is not support的異常。

解決

給javabean新增無參構造方法。

相關推薦

fastjson序列失敗autoType is not support

描述 通過fastjson反序列化某javabean時失敗,並丟擲以下異常: Could not deserialize: autoType is not support. com.xxx.Shop; nested exception is com.alibaba.fastjso

解決使用Redis 配置替換fastjson 序列報錯 com.alibaba.fastjson.JSONException: autoType is not support

這幾天用tomcat、nginx、redis配置socket的負載均衡在做資訊共享的使用fastjson反序列化遇到了個啃爹的事情 com.alibaba.fastjson.JSONException: autoType is not support 網上查了下這個錯誤的

springboot使用FastJson替換Redis的預設序列方式實現物件的序列,及autoType is not support的解決辦法

自定義Redis的序列化方式需要實現 RedisSerializer<T> 這個介面 public interface RedisSerializer<T> { @Nullable byte[] serialize(@Nullable T t)

解決 com.alibaba.fastjson.JSONException: autoType is not support

con fig exce jvm -c lib fast instance config 打開autotype功能 1、JVM啟動參數 -Dfastjson.parser.autoTypeSupport=true 2、代碼中設置 ParserConfig.getGloba

Bug之序列nested exception is org.hibernate.type.SerializationException

異常資訊: org.springframework.orm.jpa.JpaSystemException: could not deserialize; nested exception is org.hibernate.type.SerializationException: could

API接收資料序列失敗問題查詢

C# API接收到資料後,反序列化後直接返回null,而不會給出錯誤提示,所以不好排查錯誤。 通過在api中直接進行反序列化,能夠得到錯誤明細: 沒有報錯的時候,request會直接為null,不會報錯。 public Response ChangedData([FromBody]Request

fastjson序列巢狀類為對應實體類 ResultObject的序列及泛型優化

內部類反序列化問題 工程中,常常使用ResultObject類或者Msg類作為通用返回型別 @Data public class Msg { private String type; //data欄位,Object型別,通常需要轉換為對應實體類

fastjson序列JdbcRowSetImpl

Gadget com.sun.rowset.JdbcRowSetImpl setAutoCommit() -> connect() -> InitialContext.lookup() poc如下,dataSourceName 為rmi://localhost:1090/evil:

fastjson序列TemplatesImpl

環境參考第一個連結,直接用IDEA開啟 編譯EvilObject.java成EvilObject.class 先看poc,其中NASTY_CLASS為TemplatesImpl類,evilCode是EvilObject.class base64編碼: final String evilClas

springmvc fastjson 序列時間格式化

        第一種情況是從後臺拿到資料,進行反序列化,反序列化格式時間:試了一下很多網上的方法,最後發現還是在實體類上面的日期欄位加上如下註解,可以完成格式化操作,否則預設就都是時間戳的格式:

fastJson序列異常,JSONException: expect ':' at 0, actual =

com.alibaba.fastjson.JSONException: expect ':' at 0, actual = at com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:29

fastjson序列ZonedDateTime格式的時間

1. JavaBean       Person person = JSON.parseObject(jsonString, Person.class); 2. List<JavaBean>       List<Person> listPe

解決com.alibaba.fastjson.JSONException: autoType is not support

最近發現程序執行日誌中出現很多下面的日誌: com.alibaba.fastjson.JSONException: autoType is not support. com.jd.ac.domain.api.offline.UserInfo at com.alibab

springmvc 中使用fastjson 序列json,導致時區相差的問題

     如題,我在使用spingmvc的時候,使用fastjson來解析json,序列化成java物件,當這個實體類中date型別的欄位時候,發現json裡面還是時間戳,但到了反序列化之後,就有時區

解決 com.alibaba.fastjson.JSONException: autoType is not support.

1、問題描述     升級fastjson的版本後,反序列化List集合時,報錯:Exception in thread “???” com.alibaba.fastjson.JSONException: autoType is not support. 2

fastjson序列漏洞分析

基本使用 maven <dependency> <groupId>com.alibaba</groupId> <artifactId>fastjson</artifactId>

NSJSONSerialization 序列失敗

今天呼叫: NSDictionary *dic= [NSJSONSerializationJSONObjectWithData:[result dataUsingEncoding:NSUTF8Str

Protostuff序列失敗,導致Tomcat程式shutdown問題

Protostuff是一個基於protobuf實現的序列化方法。前段時間,初次接手專案,需要將java bean儲存到redis中,一切編碼完畢,上測試環境,程式很快就會停止,後來檢視tomcat日誌,發現如下錯誤:後來經過多次定位,發現新寫的java bean,新寫了帶參的

Caused by: com.alibaba.fastjson.JSONException: autoType is not support

大體原因就是使用fastjson的時候:序列化時將class資訊寫入,反解析的時候,fastjson預設情況下會開啟autoType的檢查,相當於一個白名單檢查吧,如果序列化資訊中的類路徑不在autoType中,反解析就會報上面的com.alibaba.fastjson.JS

fastjson序列 create instance error

fastjson反序列化的時候提示:com.alibaba.fastjson.JSONException: create instance error,網上查了一些資料找到了問題所在。 這是由於自己在反序列化的實體類中定義了內部類,由於內部類的欄位很少,所以沒有單獨定義,最