解决com.alibaba.fastjson.JSONException:autoType is not support问题,Redis FastJson

已于 2023-03-17 11:09:47 修改
阅读量8.9k 收藏 2
点赞数 4
分类专栏: fastjson redis 文章标签: java spring boot redis json Powered by 金山文档
于 2023-03-17 11:00:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/djouyang9090/article/details/129612739
版权

前言

最近在配置redis序列化问题的时候,使用fastjson来进行序列化,报异常:

com.alibaba.fastjson.JSONException: autoType is not support. org.springframework.security.core.authority.SimpleGrantedAuthority

com.alibaba.fastjson2.JSONException: autoType is not support. org.springframework.security.core.authority.SimpleGrantedAuthority

等等问题

本次出现问题是在fastjson反序列化springsecurity的UserDetails时出现的问题,报错代码如下

环境

java 17

springboot 3.0.4

fastjson 2.0.22

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>2.0.22</version>
        </dependency>

寻找问题根源

提示问题出现在ObjectReaderProvider.java:734行,这里autoTypeSupport默认是true

大致意思是,类型没有在白名单范围之内,找了很多个博主的帖子,都没有可行的解决方案,可能是我用的版本比较高fastjson 2.0.22吧,其他博主的帖子都是fastjson1.x的。

这下面是我的Redis配置

import com.alibaba.fastjson.support.spring.GenericFastJsonRedisSerializer;
import org.springframework.cache.annotation.CachingConfigurerSupport;
import org.springframework.cache.annotation.EnableCaching;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.serializer.StringRedisSerializer;

/**
 * @description 缓存配置类
 * @author ouyang
 * @version 1.0
 * @date 2023-03-14 8:25
 */
@Configuration
@EnableCaching
public class RedisConfig extends CachingConfigurerSupport {

    @Bean
    @SuppressWarnings(value = { "unchecked", "rawtypes" })
    public RedisTemplate<Object, Object> redisTemplate(RedisConnectionFactory connectionFactory) {
        RedisTemplate<Object, Object> template = new RedisTemplate<>();
        template.setConnectionFactory(connectionFactory);
        GenericFastJsonRedisSerializer serializer = new GenericFastJsonRedisSerializer();
        // 使用GenericFastJsonRedisSerializer来序列化和反序列化redis的key值
        template.setKeySerializer(new StringRedisSerializer());
        template.setValueSerializer(serializer);
        // Hash的key也采用StringRedisSerializer的序列化方式
        template.setHashKeySerializer(new StringRedisSerializer());
        template.setHashValueSerializer(serializer);

        template.afterPropertiesSet();
        return template;
    }
}

现在只需要给fastjson添加白名单就行了

尝试1(高版本不支持)

通过修改全局对象的方式进行白名单设置

尝试2(高版本不支持)

配置jvm启动参数,上面都不支持,这个应该也不支持

尝试3(成功)

查看GenericFastJsonRedisSerializer源码,发现里面有两个构造函数,一个无参(我现在用的),另一个是contextFilter我也不知道是干嘛的,但是发现参数名竟然是acceptNames,理解意思大概是支持的名称?

于是我就尝试了有参构造序列化

import com.alibaba.fastjson.support.spring.GenericFastJsonRedisSerializer;
import org.springframework.cache.annotation.CachingConfigurerSupport;
import org.springframework.cache.annotation.EnableCaching;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.data.redis.connection.RedisConnectionFactory;
import org.springframework.data.redis.core.RedisTemplate;
import org.springframework.data.redis.serializer.StringRedisSerializer;

/**
 * @description 缓存配置类
 * @author ouyang
 * @version 1.0
 * @date 2023-03-14 8:25
 */
@Configuration
@EnableCaching
public class RedisConfig extends CachingConfigurerSupport {

    @Bean
    @SuppressWarnings(value = { "unchecked", "rawtypes" })
    public RedisTemplate<Object, Object> redisTemplate(RedisConnectionFactory connectionFactory) {
        RedisTemplate<Object, Object> template = new RedisTemplate<>();
        template.setConnectionFactory(connectionFactory);

        // 解决autoType is not support.xxxx.xx的问题
        String[] acceptNames = {"org.springframework.security.core.authority.SimpleGrantedAuthority"};
        GenericFastJsonRedisSerializer serializer = new GenericFastJsonRedisSerializer(acceptNames);
        
        // 使用GenericFastJsonRedisSerializer来序列化和反序列化redis的key值
        template.setKeySerializer(new StringRedisSerializer());
        template.setValueSerializer(serializer);
        // Hash的key也采用StringRedisSerializer的序列化方式
        template.setHashKeySerializer(new StringRedisSerializer());
        template.setHashValueSerializer(serializer);

        template.afterPropertiesSet();
        return template;
    }
}

重启服务后发现成功了!

总结

在redis序列化配置中使用带参数的GenericFastJsonRedisSerializer,然后添加不支持的类名即可

  1. 添加不支持的类名

String[] acceptNames = {"org.springframework.security.core.authority.SimpleGrantedAuthority"};

  1. 使用带参序列化对象

GenericFastJsonRedisSerializer serializer = new GenericFastJsonRedisSerializer(acceptNames);

djouyang9090
关注
  • 4
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
专栏目录
解决com.alibaba.fastjson.JSONException: autoType is not support. xxx 问题
qq_17731471的博客
06-07 1496
最近搞一个项目遇到一个RedisConfig序列化问题,是用fastjson做的。
JSONExceptioncom.alibaba.fastjson.JSONException: expect ‘:’ at 0, actual = 已解决
12-22
当遇到`com.alibaba.fastjson.JSONException: expect ‘:’ at 0, actual =` 这样的错误,通常是由于以下原因: 1. **数据格式不正确**:`result`变量中的数据不是一个有效的JSON字符串。可能的原因包括缺少冒号、...
autoType is not support. org. springframework.security.core.authority FastJson2022年autotype漏洞修复指南
Software As Business
05-27 6406
FastJson2022年autotype漏洞修复指南漏洞说明问题1.产生问题的代码不兜圈子,直接说明升级及解决方案结语 漏洞说明 为了不浪费时间,直接官方说明 官方链接: link 问题 首先说明官方提供给的几种方式中大多是采取禁用autoType这个功能。 但是这个对于业务中使用了autotype功能且已经上线的应用非常不友好,直接使用最新版本fastjson或者开启safemode都会直接导致原有应用报错。下面介绍我司应用升级采取的修改,各位可参考 1.产生问题的代码 在使用fastjson 代理re
遇到not allow unquoted fieldName怎么办
splendid_java的专栏
07-23 548
Exception in thread "main" com.alibaba.fastjson2.JSONException: not allow unquoted fieldName, offset 2, character , line 1, column 3, fastjson-version 2.0.25 { "data":null, "code":200, "msg":"成功"}培养一个好习惯,可以减少犯错的可能,也降低了开发的成本。
Fastjsonautotype is not support
pleaseprintf的博客
04-13 1652
前些天发现了一个巨牛的人工智能学习网站,通俗易懂,风趣幽默,忍不住分享一下给大家。点击跳转到网站,这篇文章男女通用,看懂了就去分享给你的码吧。打开AutoType功能在1.2.25之后的版本,以及所有的.sec01后缀版本中,autotype功能是受限的,和之前的版本不同,如果在升级的过程中遇到问题,可以通过以下方法配置。注意:如果配置了safeMode,配置白名单也是不起作用的。一、添加autotype白名单在代码中配置如果有多个包名前缀,分多次addAccept加上JVM启动参数。
解决com.alibaba.fastjson.JSONException: autoType is not support
热门推荐
左手吐司 · 右手花卷
05-18 3万+
最近发现进程运行日志中出现很多下面的日志: com.alibaba.fastjson.JSONExceptionautoType is not support. com.jd.ac.domain.api.offline.UserInfo at com.alibaba.fastjson.parser.ParserConfig.checkAutoType(ParserConfig.
官方:使用fastjson时遇到Caused by: com.alibaba.fastjson.JSONException: autoType is not support.的问题
top_explore的博客
09-26 2925
问题 在使用FastJson作为redis序列化时,碰到Caused by: com.alibaba.fastjson.JSONException: autoType is not support.这个问题。 原因 #打开AutoType功能 在1.2.25之后的版本,以及所有的.sec01后缀版本中,autotype功能是受限的 解决方法 官方:https://github.com/a...
解决 com.alibaba.fastjson.JSONException: autoType is not support.
loetca
03-15 2万+
1、问题描述 &nbsp;&nbsp;&nbsp;&nbsp;升级fastjson的版本后,反序列化List集合时,报错:Exception in thread “???” com.alibaba.fastjson.JSONException: autoType is not support. 2、问题产生原因 &nbsp;&nbsp;&nbsp;&nbsp;2017年3月15日,fastj...
fastjson SerializerFeature详解
慎独
12-03 1038
依赖 &lt;dependency&gt; &lt;groupId&gt;com.alibaba&lt;/groupId&gt; &lt;artifactId&gt;fastjson&lt;/artifactId&gt; &lt;version&gt;1.2.7&lt;/version&gt;
com.alibaba.fastjson 完整jar包,亲测可用
08-24
你一定会感谢我的,因为真的很不错
com.alibaba.fastjson,很方便的包,比较新的包1.2.79
03-20
`com.alibaba.fastjson`是阿里巴巴开发的一个高性能的Java JSON库,它的全名是Fast JSON (Fast Java Object to JSON and JSON to Java Object)。这个库在Java社区中被广泛使用,因其高效、轻量级且易于使用的特点而...
com.alibaba.fastjson.JSON , net.sf.json.JSONObject
08-22
Java开发中,处理JSON数据时通常会用到一些库,如`com.alibaba.fastjson.JSON` 和 `net.sf.json.JSONObject`。这两个库分别是阿里巴巴的Fastjson和Eclipse的Json-lib。 首先,我们来详细了解一下`...
com.alibaba.fastjson.JSONObject.rar
05-29
在给定的“com.alibaba.fastjson.JSONObject.rar”压缩包中,我们主要关注的是“com.alibaba.fastjson.JSONObject”这个核心组件,它是Fastjson库的核心类,用于处理JSON对象的操作。 首先,我们要理解JSON...
com.alibaba.fastjson.JSONException: autoType is not support.
京北游戏官方
08-06 1533
错误原因是fastJson反序列化的时候发生了异常 解决方法是: 添加autotype白名单 在resource下建立fastjson.properties文件 输入一下内容 #fastjson反序列化时自动解析白名单配置,多个实体用逗号分隔 fastjson.parser.autoTypeAccept=com.rc.openapi.domain.mysql.entity.DBillnoRules 就可以解决反序列化的错误了 ...
(已解决)redis.get报错com.alibaba.fastjson.JSONException: autoType is not support
一茗道人 ~~ ~ 阿亮-的博客
08-16 1101
edis存取值问题,存自定义实体对象; 第一次取的时候报错:com.alibaba.fastjson.JSONException: autoType is not support
解决com.alibaba.fastjson.JSONException: autoType is not support. xs:string问题
qq_38867952的博客
06-03 408
解决com.alibaba.fastjson.JSONException: autoType is not support. xs:string问题 产生原因: 由于公司漏洞扫描,fastjson在反序列化时存在漏洞,可导致远程任意代码执行,fastjson版本需要升级;升级fastjson的版本后,禁用了部分autotype的功能,由于反序列化对象时,需要检查是否开启了autotype。所以如果反序列化检查时,autotype没有开启,就会报错。 解决办法: 开启autotype:添加JVM启动参数:-
开发多线程程序时,需要注意那些问题
最新发布
OO_SEN的博客
08-23 503
线程安全 竞态条件(Race Condition):当多个线程同时访问和修改共享资源时,可能会出现竞态条件,导致不确定的行为。需要通过同步机制(如互斥锁、读写锁、原子操作)来保护共享资源。 死锁(Deadlock):当两个或多个线程相互等待对方释放锁时,程序会陷入死锁状态。避免死锁的一些策略包括:避免嵌套锁、确保加锁顺序一致、使用超时机制等。 活锁(Livelock):与死锁不同,活锁是指线程不断地尝试获取资源但总是失败,导致无法继续执行。避免频繁重试操作或使用退避算法可以减少活锁的发生。 优先级反转(P
笔记redis
风止的博客
08-22 1042
Redis(Remote Dictionary Server)是用C语言开发的一个基于的数据库。
com.alibaba.fastjson.JSONException: autoType is not support. org.springframework.security.core.authority.SimpleGrantedAuthority 怎么解决
05-31
这个错误是由于 fastjson 序列化时使用了 autoType 类型检查导致的。为了避免安全问题fastjson 默认禁用了 autoType。如果你确信数据来源可信,可以开启 autoType 支持。 解决方法: 1. 在 Fastjson 的 ParserConfig 中启用 autoType 支持,例子代码如下: ``` import com.alibaba.fastjson.parser.ParserConfig; ParserConfig.getGlobalInstance().setAutoTypeSupport(true); ``` 2. 如果不想启用 autoType 支持,可以使用 JSON.parseObject() 的重载方法,指定要反序列化的对象类型,例如: ``` String jsonStr = "{\"authority\":\"ROLE_ADMIN\"}"; SimpleGrantedAuthority authority = JSON.parseObject(jsonStr, SimpleGrantedAuthority.class); ``` 这样就可以成功反序列化了。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值