Hessian和Java反序列化问题小结

最新推荐文章于 2024-05-08 11:23:59 发布
最新推荐文章于 2024-05-08 11:23:59 发布
阅读量2.3k 收藏 1
点赞数 1
分类专栏: 网络

原文出处:
http://hittyt.iteye.com/blog/1691772

1 Hessian反序列化问题

众所周知,Hessian框架提供的序列化方式,在性能上要优于Java自己的序列化方式。他将对象序列化,生成的字节数组的数量要相对于Java自带的序列化方式要更简洁。

目前公司的一个项目中,有RPC调用的需要,这里我们使用了公司自己的开源RPC框架Dubbo作为远程调用框架,进行业务方法的调用和对象的序列化。这里,我们没有对Dubbo做出特殊配置,Dubbo在Remoting层组件默认的序列化方式就是采用的Hessian协议处理。但是在真正部署测试时,走到需要远程调用的方式时,报出了一下异常(只截取了最核心的异常堆栈):

Caused by: com.alibaba.com.caucho.hessian.io.HessianProtocolException: 'com.alibaba.ais.bdc.person.vo.CountVO$CountObject' could not be instantiated
    at com.alibaba.com.caucho.hessian.io.JavaDeserializer.instantiate(JavaDeserializer.java:275)
    at com.alibaba.com.caucho.hessian.io.JavaDeserializer.readObject(JavaDeserializer.java:155)
    at com.alibaba.com.caucho.hessian.io.SerializerFactory.readObject(SerializerFactory.java:397)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObjectInstance(Hessian2Input.java:2070)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2005)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:1990)
    at com.alibaba.com.caucho.hessian.io.CollectionDeserializer.readLengthList(CollectionDeserializer.java:93)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:1678)
    at com.alibaba.com.caucho.hessian.io.JavaDeserializer$ObjectFieldDeserializer.deserialize(JavaDeserializer.java:396)
    ... 42 more
Caused by: java.lang.reflect.InvocationTargetException
    at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)
    at sun.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:39)
    at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:27)
    at java.lang.reflect.Constructor.newInstance(Constructor.java:513)
    at com.alibaba.com.caucho.hessian.io.JavaDeserializer.instantiate(JavaDeserializer.java:271)
    ... 50 more
Caused by: java.lang.IllegalArgumentException: [Assertion failed] - this argument is required; it must not be null
    at org.springframework.util.Assert.notNull(Assert.java:112)
    at org.springframework.util.Assert.notNull(Assert.java:123)
    at com.alibaba.ais.bdc.person.vo.CountVO$CountObject.<init>(CountVO.java:101)
    ... 55 more

从最下面的异常信息可以看出,CountObject这个内部类在对象初始化时,报了参数校验的失败。这个看一下CountObject的出问题的构造函数就一目了然了:

public CountObject(SimplePerson simplePerson, String imagePrefix){
       Assert.notNull(simplePerson);
       if (StringUtils.isEmpty(imagePrefix)) {
           throw new IllegalArgumentException("imagePrefix [" + imagePrefix + "] is meaningless.");
       }
       this.id = simplePerson.getEmployeeId();
       this.name = simplePerson.getRealName();
       this.imagePath = StringUtils.isEmpty(simplePerson.getImagePathSuffix()) ? null : imagePrefix                                                                                 + simplePerson.getImagePathSuffix();
}

现在在构造函数的第一行的Assert就失败了。可是哪里调用这个构造函数导致失败呢?继续网上翻看异常堆栈给出的信息。可以看出在JavaDeserializer.instantiate中抛出了HessianProtocolException异常。进去看一下Hessian这块的源码如下:

  protected Object instantiate()
    throws Exception
  {
    try {
      if (_constructor != null)
    return _constructor.newInstance(_constructorArgs);
      else
    return _type.newInstance();
    } catch (Exception e) {
      throw new HessianProtocolException("'" + _type.getName() + "' could not be instantiated", e);
    }
  }

这里结合上面的异常堆栈可以知道,上面出问题的关键是_constructor和_constructorArgs。这两个东东又到底是啥呢?继续来看代码:

  public JavaDeserializer(Class cl)
  {
    _type = cl;
    _fieldMap = getFieldMap(cl);

    _readResolve = getReadResolve(cl);

    if (_readResolve != null) {
      _readResolve.setAccessible(true);
    }

    Constructor []constructors = cl.getDeclaredConstructors();
    long bestCost = Long.MAX_VALUE;

    for (int i = 0; i < constructors.length; i++) {
      Class []param = constructors[i].getParameterTypes();
      long cost = 0;

      for (int j = 0; j < param.length; j++) {
    cost = 4 * cost;

    if (Object.class.equals(param[j]))
      cost += 1;
    else if (String.class.equals(param[j]))
      cost += 2;
    else if (int.class.equals(param[j]))
      cost += 3;
    else if (long.class.equals(param[j]))
      cost += 4;
    else if (param[j].isPrimitive())
      cost += 5;
    else
      cost += 6;
      }

      if (cost < 0 || cost > (1 << 48))
    cost = 1 << 48;

      cost += (long) param.length << 48;
      // _constructor will reference to the constructor with least parameters.
      if (cost < bestCost) {
        _constructor = constructors[i];
        bestCost = cost;
      }
    }

    if (_constructor != null) {
      _constructor.setAccessible(true);
      Class []params = _constructor.getParameterTypes();
      _constructorArgs = new Object[params.length];
      for (int i = 0; i < params.length; i++) {
        _constructorArgs[i] = getParamArg(params[i]);
      }
    }
  }

从JavaDeserializer的构造方法中可以看出,这里_constructor会被赋予参数最少的那个构造器。再回过头去看看CountObject的构造器(就上面列出来的那一个),不难看出,这里的_constructor就是上面的那个构造器了。

  /**
   * Creates a map of the classes fields.
   */
  protected static Object getParamArg(Class cl)
  {
    if (! cl.isPrimitive())
      return null;
    else if (boolean.class.equals(cl))
      return Boolean.FALSE;
    else if (byte.class.equals(cl))
      return new Byte((byte) 0);
    else if (short.class.equals(cl))
      return new Short((short) 0);
    else if (char.class.equals(cl))
      return new Character((char) 0);
    else if (int.class.equals(cl))
      return Integer.valueOf(0);
    else if (long.class.equals(cl))
      return Long.valueOf(0);
    else if (float.class.equals(cl))
      return Float.valueOf(0);
    else if (double.class.equals(cl))
      return Double.valueOf(0);
    else
      throw new UnsupportedOperationException();
  }

参看上面的getParamArg方法,就可以知道,由于CountObject唯一的一个构造器的两个参数都不是基本类型,所以这里_constructorArgs所包含的值全部是null

OK,到这里,上面的异常就搞清楚了,Hessian反序列化时,使用反射调用构造函数生成对象时,传入的参数不合法,造成了上面的异常。知道了原因,解决的方法也很简单,就是添加了一个无参的构造器给CountObject,于是上面的问题就解决了。。。

这里,需要注意的是,如果序列化机制使用的是Hessian,序列化的对象又没有提供默认的无参构造器时,需要注意上面类似的问题了

2 Java本身反序列化问题

Java本身的反序列化机制虽然性能稍差一些,但本身使用的约束条件相对却要宽松一些,其实只要满足下面两条,一个类对象就是可以完美支持序列化机制了:

  1. 类实现java.io.Serializable接口。
  2. 类包含的所有属性都是实现了java.io.Serializable接口的,或者被标记为了transient。

对于构造函数本身没有任何约束。这里,Java序列化本身其实也是和new以及Java反射机制“平级”的实例化对象的方式。所以,对于单例模式的场景,还是需要考虑是否会有序列化因素造成的单例失效(因为他实例化对象不依赖于构造器,所以一个private的构造器显然没法阻止他的“胡作非为”)。当然,对于这种情况,也可以自己实现下面的方法:

private Object readResolve()

通过实现上面的方法,自己可以在其中明确指定,放回的对象的实例是哪一个。但对于通过如上方式保证的单例模式至少需要注意一下两点:

  1. readResolve方法的可见性(public/protected/private)问题:因为如果这个方法不是private的,就有可能被起子类直接继承过去。这可能造成你在反序列化子类对象时出错(因为这个方法返回了父类的某个固定的对象)。
  2. 使用readResolve方法时,往往比较容易返回某个固定的对象。但这其实和真正的对象反序列化其实是有点矛盾的。因为你反序列化对象时,多数场景都是希望恢复原来的对象的“状态”,而不是固定的某个对象。所以只要你的类内的属性有没有被标识成transient的,就要格外小心了。

鉴于上面所说的稍微复杂的现象,如果单纯的考虑单例的需要,更好的方式是通过枚举来实现,因为枚举至少可以在JVM层面,帮你保证每个枚举实例一定是单例的,即使使用反序列化机制,也无法绕过这个限制,所以可以帮你省不少心。
好了,上面扯的有点远了,关于Java本身的序列化机制,下面写了一个简单的把对象序列化成字节数组,再由字节数组反序列化回来的例子,看完之后应该会更明了一些:

public class Person implements Serializable {

    String name;
    int age;

    public Person(String name, int age) {
        this.name = name;
        this.age = age;
    }

    @Override
    public String toString() {
        return "Person{" +
            "name='" + name + '\'' +
            ", age=" + age +
            '}';
    }

    private static class Employee extends Person{

        String title;

        private Employee(String name, int age, String title) {
            super(name, age);
            this.title = title;
        }

        @Override
        public String toString() {
            return "Employee{" + "name='" + name + '\'' +
                ", age=" + age + '\'' +
                ", title='" + title + '\'' +
                '}';
        }
    }

    public static void main(String[] args) {
        byte[] bytes;
        Person person1 = new Person( "test1",20 );
        Person person2;
        Employee employee1 = new Employee( "employee1",25,"Manager" );
        Employee employee2;

        ByteArrayOutputStream byteOutputStream = null;
        ObjectOutputStream objectOutputStream = null;

        ByteArrayInputStream byteArrayInputStream = null;
        ObjectInputStream objectInputStream = null;

        try {
            //generate byteArray.
            byteOutputStream = new ByteArrayOutputStream( );
            objectOutputStream = new ObjectOutputStream( byteOutputStream);
            //serialize person1
            objectOutputStream.writeObject( person1 );
            //serialize employee1
            objectOutputStream.writeObject( employee1 );

            bytes = byteOutputStream.toByteArray();

            for (byte aByte : bytes) {
                System.out.print(aByte);
            }
            System.out.println();
            System.out.println("Bytes's length is :"+bytes.length);

            //generate Object from byteArray.
            byteArrayInputStream = new ByteArrayInputStream( bytes );
            objectInputStream = new ObjectInputStream( byteArrayInputStream );
            //deserialize person1
            person2 = (Person)objectInputStream.readObject();
            //deserialize employee1
            employee2 = (Employee)objectInputStream.readObject();
            System.out.println("person2 got from byteArray is : "+person2);
            System.out.println("employee2 got from byteArray is : "+employee2);

            System.out.println("person1's memory id :"+Integer.toHexString(person1.hashCode()));
            System.out.println("person2's memory id :"+Integer.toHexString(person2.hashCode()));
            System.out.println("employee1's memory id :"+Integer.toHexString(employee1.hashCode()));
            System.out.println("employee2's memory id :"+Integer.toHexString(employee2.hashCode()));

        } catch (IOException e) {
            e.printStackTrace();
        }catch ( ClassNotFoundException ce ){
            ce.printStackTrace();
        }
        finally {
            try {
                byteOutputStream.close();
                objectOutputStream.close();
                byteArrayInputStream.close();
                objectInputStream.close();
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
    }
}

上面代码执行的结果如下:

-84-19051151140329911110946115107121461191191194611510111410597108105122971161051111104680101114115111110-97-123-26-11-111120-40-115202730397103101760411097109101116018761069711897471089711010347831161141051101035912011200020116051161011151164911511404199111109461151071214611911911946115101114105971081051229711610511111046801011141151111103669109112108111121101101-11-66110-28-62-10611536201760511610511610810111301260112011301260000025116091011091121081111211011014911607779711097103101114
Bytes's length is :200
person2 got from byteArray is : Person{name='test1', age=20}
employee2 got from byteArray is : Employee{name='employee1', age=25', title='Manager'}
person1's memory id :29173ef
person2's memory id :96fa474
employee1's memory id :6c121f1d
employee2's memory id :95c083

最后再补充一个Java序列化规范的地址,有时间时再读一
下:http://docs.oracle.com/javase/7/docs/platform/serialization/spec/serial-arch.html

antony9118
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hessian 序列化 异常
excel_bat的专栏
06-01 2621
      最近忙于业务迭代开发,没有太多时间思考。这两天,开发的时候遇到了一个hessian 序列化异常,拿出来记录一下分析的过程及解决方法。              先上异常,        2016-06-01 10:59:37 New I/O server worker #1-1 WARN [com.alibaba.dubbo.rpc.protocol.dubbo.Deco...
Hessian不能正确序列化和反序列化BigDecimal的解决
weixin_34248023的博客
05-23 1942
2019独角兽企业重金招聘Python工程师标准>>> ...
com.alibaba.com.caucho.hessian.io.HessianProtocolException报错的解决方法,亲测有效,嘿嘿嘿
最新发布
PythonAigc的博客
05-08 2431
`com.alibaba.com.caucho.hessian.io.HessianProtocolException` 异常通常与 Hessian 远程通信协议相关,Hessian 是一个轻量级的远程服务调用(RPC)协议,类似于 XML-RPC,但它使用二进制格式来传输数据,通常比 XML 更高效。 ### 问题分析 当遇到 `HessianProtocolException` 异常时,通常表示在 Hessian 通信过程中发生了某种问题,可能是由以下原因造成的: 1. **数据传输问题**:发送
【RPC框架Hessian二】Hessian 对象序列化和反序列化
bit1129的博客
09-02 1036
 任何一个对象从一个JVM传输到另一个JVM,都要经过序列化为二进制数据(或者字符串等其他格式,比如JSON),然后在反序列化Java对象,这最后都是通过二进制的数据在不同的JVM之间传输(一般是通过Socket和二进制的数据传输),本文定义一个比较符合工作中。   1. 定义三个POJO    Person类 package com.tom.hessian.common; i...
java hessian序列化与反序列化_Hessian 序列化和反序列化实现
weixin_36262567的博客
02-24 547
先聊聊 Java的序列化,Java官方的序列化和反序列化的实现被太多人吐槽,这得归于Java官方序列化实现的方式。1、Java序列化的性能经常被吐槽。2、Java官方的序列化后的数据相对于一些优秀的序列化的工具,还是要大不少,比如probuf,这大大影响存储和传输的效率。3、Java序列化一定需要实现Serializable接口4、Java序列化的serialVersionUID 也是个大坑另外...
hessian学习基础篇——序列化和反序列化
LionBule
10-18 366
1、概念介绍    把Java对象转换为字节序列的过程称为对象的序列化。    把字节序列恢复为Java对象的过程称为对象的反序列化。    对象的序列化主要有两种用途:   1) 数据介质存储   2) 数据网络传输 2、对象序列化实例      为了更好的理解hessian的序列化机制,所以把javahessian的对象序列化实例都一一列出。       1)...
浅谈Java序列化和hessian序列化的差异
08-29
Java序列化和Hessian序列化的差异 Java序列化和Hessian序列化是两种常用的序列化机制,它们都可以将对象转换为字节流,以便在网络上传输。但是,两者之间有着很大的差异,今天我们就来比较一下它们的实现机制和特点...
S25-hessian反序列化1
08-03
与原生Java序列化相比,Hessian序列化具有更快的速度和更小的数据传输量。 在Java中,通常只有实现了`java.io.Serializable`接口的类才能被序列化。然而,描述中提到,即使类如`javax.naming.spi....
java 反序列化利用工具marshalsec-0.0.3-SNAPSHOT-all
12-27
-a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解码测试 -v:verbose mode...
Hessian 2.0序列化协议规范.docx
09-14
在分布式计算和网络通信中,数据的序列化和反序列化是至关重要的环节。Hessian 2.0是一种高效的二进制序列化协议,它旨在减少网络传输的数据量,提高数据交换的效率。本文将详细介绍Hessian 2.0的序列化规范,包括其...
hessian 反序列化问题
weixin_30412013的博客
04-20 311
有class 比如 class Test{ private TestArrayList list=new TestArrayList(""); public static void main(String args[]){ Test t=new Test(); byte[] b=hessian encode ; Test r =(Test)hessian decode } } ...
【Mybatis】类序列化失败问题解决方案
Your_Boy_Tt的博客
11-14 315
如果你使用的是默认的 Java 序列化机制,transient 关键字是一个简单有效的方法来防止字段被序列化。但如果你使用了第三方库进行序列化,你可能需要根据该库的文档或特性来实现相应的设置或方法来控制序列化。
hessian BigDecimal反序列化异常
weixin_33836874的博客
10-20 557
2019独角兽企业重金招聘Python工程师标准>>> ...
com.alibaba.com.caucho.hessian.io.HessianProtocolException解决办法
u011734144的专栏
12-15 3万+
com.alibaba.com.caucho.hessian.io.HessianProtocolException: expected map/object at java.lang.String (Ljava/lang/String;Ljava/lang/String;) at com.alibaba.com.caucho.hessian.io.AbstractDeserializer.e...
com.alibaba.com.caucho.hessian.io.SerializerFactory:499 :: Hessian/Burlap: 'com.github.pagehelper.Pa
u014594604的博客
08-06 883
2019-08-06 13:49:13,898 nioEventLoopGroup-12-1 WARN com.alibaba.com.caucho.hessian.io.SerializerFactory:499 :: Hessian/Burlap: 'com.github.pagehelper.Page' is an unknown class in xxx.xxx.xxx java.la...
问题记录】Dubbo hessian2 序列化报错 InaccessibleObjectException
tczzstc的博客
02-02 867
是当应用试图访问类、字段、方法或者构造器的某个成员,但是当前的 Java 模块化系统策略不允许访问时,会抛出的错误。从 Java 9 开始,由于引入了模块化系统,Java的类库中一些内部实现详情被封装起来,不再对外部代码开放。在Java命令行启动参数中添加。
dubbo调用 Caused by: com.alibaba.dubbo.remoting.RemotingException 异常解决方法
热门推荐
企业数字化转型服务提供商
10-30 5万+
Caused by: com.alibaba.dubbo.remoting.RemotingException: message can not send, because channel is closed . url:dubbo://192.168.199.170:20883/com.coracle.dms.service.DmsChannelContactsService?anyhost=t...
Caused by: com.alibaba.dubbo.remoting.RemotingException
一叶知秋
12-17 2098
Caused by: com.alibaba.dubbo.remoting.RemotingException: Failed to bind NettyServer on /10.200.12.227:20896, cause: Failed to bind to: /0.0.0.0:20896 at com.alibaba.dubbo.remoting.transport.Abstra...
Hessian反序列化深入解析
本文主要介绍了Hessian反序列化Java中的特性和使用,特别是与原生Java序列化机制的不同,并提到了在Resin框架中的应用。Hessian是一种高效的二进制序列化协议,允许跨语言通信,常用于服务端与客户端的数据交换。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值