dubbo缺省协议父类和子类拥有相同属性导致的反序列化为null问题排查

最新推荐文章于 2022-12-30 09:53:07 发布
最新推荐文章于 2022-12-30 09:53:07 发布
阅读量3k 收藏 6
点赞数 5
分类专栏: dubbo 文章标签: dubbo 序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_22076345/article/details/97037939
版权

       注意:文中涉及的的dubbo版本为公司内部定制化版本。

       今天在工作中遇到一个问题:由于自己的疏忽,定义dubbo接口入参时,WareQueryPageDTO继承了一个父类BizCodeBaseDTO,但是有个属性String bizCode,父类和子类中都存在。本地单元测试,接口都能根据bizCode值查询出对应的数据,但是dubbo Consumer端查出的数据一直是错误的。

       检查日志发现,接口消费端明明传入了bizCode值,但是却没有解析出来:

采用的是dubbo缺省协议,序列化方式是Hessian 二进制序列化,在反序列化时会出现父类的同名属性覆盖子类的同名属性问题,所以就变成null,解析不到了。我们使用的是dubbo 2.8.4版本【公司内部定制版本】,这里序列化和反序列化涉及到两个类,在dubbo-serialization-api 包中:

序列化类:com.alibaba.com.caucho.hessian.io.JavaSerializer

反序列化类:com.alibaba.com.caucho.hessian.io.JavaDeserializer

先看一下JavaSerializer序列化方式:

 public JavaSerializer(Class cl, ClassLoader loader) {
        this.introspectWriteReplace(cl, loader);
        if (this._writeReplace != null) {
            this._writeReplace.setAccessible(true);
        }

        List primitiveFields = new ArrayList();

        ArrayList compoundFields;
        int i;
        for(compoundFields = new ArrayList(); cl != null; cl = cl.getSuperclass()) {
            Field[] fields = cl.getDeclaredFields();

            for(i = 0; i < fields.length; ++i) {
                Field field = fields[i];
                if (!Modifier.isTransient(field.getModifiers()) && !Modifier.isStatic(field.getModifiers())) {
                    field.setAccessible(true);
                    if (!field.getType().isPrimitive() && (!field.getType().getName().startsWith("java.lang.") || field.getType().equals(Object.class))) {
                        compoundFields.add(field);
                    } else {
                        primitiveFields.add(field);
                    }
                }
            }
        }

        List fields = new ArrayList();
        fields.addAll(primitiveFields);
        fields.addAll(compoundFields);
        Collections.reverse(fields);
        this._fields = new Field[fields.size()];
        fields.toArray(this._fields);
        this._fieldSerializers = new JavaSerializer.FieldSerializer[this._fields.length];

        for(i = 0; i < this._fields.length; ++i) {
            this._fieldSerializers[i] = getFieldSerializer(this._fields[i].getType());
        }

    }

在循环中先存储子类的属性(基本属性primitiveFields + 引用属性compoundFields),后存储父类的属性,但是

Collections.reverse(fields);

这行代码在一些低版本中是不存在的,通过逆序操作,其实父类的属性在前面,子类属性在后面了。我本地debug结果也是这样:

本例中:是WaresQueryPageDTO extends BizCodeBaseDTO,相同的属性是String bizCode。

再看一下JavaDeserializer反序列化方式:

//组装HashMap
 protected HashMap getFieldMap(Class cl) {
        HashMap fieldMap;
        for(fieldMap = new HashMap(); cl != null; cl = cl.getSuperclass()) {
            Field[] fields = cl.getDeclaredFields();

            for(int i = 0; i < fields.length; ++i) {
                Field field = fields[i];
                if (!Modifier.isTransient(field.getModifiers()) && !Modifier.isStatic(field.getModifiers()) && fieldMap.get(field.getName()) == null) {
                    try {
                        field.setAccessible(true);
                    } catch (Throwable var8) {
                        var8.printStackTrace();
                    }

                    Class type = field.getType();
                    Object deser;
                    if (String.class.equals(type)) {
                        deser = new JavaDeserializer.StringFieldDeserializer(field);
                    } else if (Byte.TYPE.equals(type)) {
                        deser = new JavaDeserializer.ByteFieldDeserializer(field);
                    } else if (Short.TYPE.equals(type)) {
                        deser = new JavaDeserializer.ShortFieldDeserializer(field);
                    } else if (Integer.TYPE.equals(type)) {
                        deser = new JavaDeserializer.IntFieldDeserializer(field);
                    } else if (Long.TYPE.equals(type)) {
                        deser = new JavaDeserializer.LongFieldDeserializer(field);
                    } else if (Float.TYPE.equals(type)) {
                        deser = new JavaDeserializer.FloatFieldDeserializer(field);
                    } else if (Double.TYPE.equals(type)) {
                        deser = new JavaDeserializer.DoubleFieldDeserializer(field);
                    } else if (Boolean.TYPE.equals(type)) {
                        deser = new JavaDeserializer.BooleanFieldDeserializer(field);
                    } else if (Date.class.equals(type)) {
                        deser = new JavaDeserializer.SqlDateFieldDeserializer(field);
                    } else if (Timestamp.class.equals(type)) {
                        deser = new JavaDeserializer.SqlTimestampFieldDeserializer(field);
                    } else if (Time.class.equals(type)) {
                        deser = new JavaDeserializer.SqlTimeFieldDeserializer(field);
                    } else if (Map.class.equals(type) && field.getGenericType() != field.getType()) {
                        deser = new JavaDeserializer.ObjectMapFieldDeserializer(field);
                    } else if (List.class.equals(type) && field.getGenericType() != field.getType()) {
                        deser = new JavaDeserializer.ObjectListFieldDeserializer(field);
                    } else {
                        deser = new JavaDeserializer.ObjectFieldDeserializer(field);
                    }

                    fieldMap.put(field.getName(), deser);
                }
            }
        }

        return fieldMap;
    }

//反序列化
 public Object readMap(AbstractHessianInput in, Object obj) throws IOException {
        try {
            int ref = in.addRef(obj);

            Object resolve;
            while(!in.isEnd()) {
                resolve = in.readObject();
                JavaDeserializer.FieldDeserializer deser = (JavaDeserializer.FieldDeserializer)this._fieldMap.get(resolve);
                if (deser != null) {
                    deser.deserialize(in, obj);
                } else {
                    in.readObject();
                }
            }

            in.readMapEnd();
            resolve = this.resolve(obj);
            if (obj != resolve) {
                in.setRef(ref, resolve);
            }

            return resolve;
        } catch (IOException var6) {
            throw var6;
        } catch (Exception var7) {
            throw new IOExceptionWrapper(var7);
        }
    }

是把序列化中的属性List放到HashMap中,HashMap的key用的是字符串类型:field.getName()。如果是低版本的Dubbo框架,没有上面Collections.reverse(fields);这行代码,的确会导致解析失败,因为HashMap的key是唯一的,如果没有这行代码,属性List是子类的在前,父类的在后,这样反序列化时,如例中的bizCode,子类的属性有值,HashMap赋值了,但是后面父类中的bizCode没有值,所以又被赋为null了。

       到这里,我为什么会遇到父类子类bizCode反序列化为null的情况呢?我怀疑是对方Consumer端dubbo服务版本较低,是有问题的版本,可能没有逆序父类子类顺序那行代码导致的。我本地启动一个Provider服务和Consumer服务,发现调用是没有问题的,数据返回正常。翌日,询问了一下接口调用方,反馈他们使用的dubbo版本是2.6.8版本,查了一下2.6.8版本的JavaSerializer序列化方式那一段代码:

public JavaSerializer(Class cl, ClassLoader loader) {
        this.introspectWriteReplace(cl, loader);
        if (this._writeReplace != null) {
            this._writeReplace.setAccessible(true);
        }

        ArrayList primitiveFields = new ArrayList();

        ArrayList compoundFields;
        int i;
        for(compoundFields = new ArrayList(); cl != null; cl = cl.getSuperclass()) {
            Field[] fields = cl.getDeclaredFields();

            for(i = 0; i < fields.length; ++i) {
                Field field = fields[i];
                if (!Modifier.isTransient(field.getModifiers()) && !Modifier.isStatic(field.getModifiers())) {
                    field.setAccessible(true);
                    if (!field.getType().isPrimitive() && (!field.getType().getName().startsWith("java.lang.") || field.getType().equals(Object.class))) {
                        compoundFields.add(field);
                    } else {
                        primitiveFields.add(field);
                    }
                }
            }
        }
        /**注意:没有属性逆转那行代码*/
        ArrayList fields = new ArrayList();
        fields.addAll(primitiveFields);
        fields.addAll(compoundFields);
        this._fields = new Field[fields.size()];
        fields.toArray(this._fields);
        this._fieldSerializers = new JavaSerializer.FieldSerializer[this._fields.length];

        for(i = 0; i < this._fields.length; ++i) {
            this._fieldSerializers[i] = getFieldSerializer(this._fields[i].getType());
        }

    }

可以看出,在2.6.8版本里,是没有属性逆转那行代码的,这会导致子类属性在前,父类属性在后,反序列化时子类的属性值就被父类的相同属性覆盖了,这也解释了为什么我本地启动两个服务调用没问题,第三方调用有问题,因为是第三方dubbo版本略低的问题。

灵颖桥人
关注
  • 5
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Dubbo 服务调用返回的对象部分属性返回为null
Risk的博客
09-03 3789
最近在用dubbo的时候出现了一个问题就是 ‘部分的对象属性null’ 通过dubbo进行序列化和反序列话的时候发现有部分的属性null 笔者反复的试验 发现这是一个类似mybatis 的一个机制 ‘父存子取(假的只是简单记忆)’ 也就是说在序列话的时候我们的数据存在对象的父类中 但是在子类的对象属性null 那么在反序列的时候子类的方法会覆盖上去 也就是说反序列的时候会拿到null ...
dubbo-exp:Dubbo反序列化一键快速攻击测试工具,支持dubbo协议和http协议,支持hessian反序列化和java原生反序列化
05-09
工具仅用于安全研究以及内部自查,禁止使用工具发起非法攻击,造成的后果使用者负责Dubbo反序列化测试工具使用帮助usage: java -jar exp.jar [OPTION]-h --help 帮助信息-l --list 输出所有gadget信息-g --gadget ...
诡异问题:Hessian序列化问题
weixin_39313241的博客
07-02 524
问题描述: 在我们线上使用的RPC序列化是Hessian。参数子类父类相同属性时。用Hessian序列化反序列化时。会丢失该属性的值 (为什么会有子类父类相同属性?这是我老板以前写的代码。哈哈哈哈) @Data class A implements Serializable{ /** * 相同属性 */ private String str; private Integer integer; } @Data class B extends A {
Dubbo Hessian序列化问题 参数为null
Johnson的专栏
05-11 1万+
在项目中发现一个很奇怪的问题,将 BizWrapperBean 参数  对象传输到远程服务上,远程服务获取的BizWrapperBean对象为null。而在传输之前明明是有值的。BizWrapperBean类已经实现了序列化接口,它的所有属性都是可序列化的。 最后查明了原因,是序列化问题。由于项目中的远程服务用dubbo实现,Hessian是dubbo的默认序列化协议,它比java的序列化性能
Dubbo协议传输后对象为NULL,为什么?
LiangHuan
04-19 1232
在使用Dubbo+Zookepper做微服务项目时通过Dubbo协议传输后对象为NULL,这到底是怎么回事呢? java 的transient关键字为我们提供了便利,你只需要实现Serilizable接口,将不需要序列化属性前添加关键字transient,序列化对象的时候,这个属性就不会序列化到指定的目的地中。 所以我们的问题也就有了答案: 在被transient关键字修饰后: (1)一旦变量被...
try catch嵌套_踩坑系列之--dubbo异步调用传递性导致嵌套调用返回null值的bug
weixin_39615643的博客
12-06 246
一、现象有三个应用serviceA,serviceB,serviceC,在确保消费没有错乱的前提下(都只有单个服务提供者),期望其调用关系为sequenceDiagram serviceA-->>serviceB:serviceA 异步调用serviceB serviceB->>serviceC:serviceB 同步调用serviceC serv...
dubbo序列化问题(三)子类覆盖父类字段hession反序列化获取不到
lipeng的博客
08-25 2829
在进行dubbo开发中遇到一个问题,当是用hession2进行序列化时,子类父类相同的字段时,hession2反序列化获取不到该字段数据,如下: import java.io.Serializable; import java.util.Date; public class User implements Serializable{ /** * */ p...
SpringBoot 集成dubbo,注入服务为null对象
YouWanJia的博客
12-30 958
SpringBoot注入dubbo服务不成功,nullPointException
java,apache dubbo rest和hessian协议例子
02-01
需要安装zookeeper,默认端口,即可。 provider:运行RestProvider的main方法即可。 consumer:运行RestConsumer的main方法,在控制台,回车即可发一笔请求。
CVE-2019-17564 Apache Dubbo Http 反序列化漏洞深入分析 .pdf
09-05
一旦配置完成,启动Dubbo服务,攻击者就可以通过构造特定的POST请求,利用这个反序列化漏洞。 针对此类安全问题,企业应当重视安全测试和安全建设,特别是金融和网络信息安全领域。定期进行渗透测试,监控和修复...
解决dubbo错误ip及ip乱入问题的方法
08-26
Dubbo 错误 IP 及 IP 乱入问题解决方法 在 Dubbo 框架中,服务注册在 Zookeeper 中,但是注册的 IP 不是本地的 IP,这将导致 Consumer 无法找到 Provider,无法访问服务。今天,我们将分享解决 Dubbo 错误 IP 及 IP...
CVE-2019-17564 Apache-Dubbo反序列化漏洞.md
04-12
CVE-2019-17564,Apache-Dubbo反序列化漏洞
Dubbo Hessian序列化问题 参数为null
qq_34506014的博客
06-27 905
https://blog.csdn.net/a1179785335/article/details/45644775?tdsourcetag=s_pcqq_aiomsg
DUBBO服务为null的情况
热门推荐
yuzhibo0924的博客
04-26 1万+
最近开发公司项目,遇到了dubbo服务为空的情况,现在把出现的情况做个简单的总结:dubbo为空会报空指针异常! 1.第一种情况:引用有误,也就是再注入dubbo服务的时候,使用@Reference注解的时候,引用的并不是ali的dubbo,所以一直引入的都是错误的。导致注入为null; 这种情况比较常见,因为粗心大意导致import 文件错误,只需要认真检查。就可以找出问题所在。 ...
dubbo调用服务,接收到的参数为null解决方案
A-bing的博客
11-02 4966
最近在将老项目使用dubbo框架整合,出现这么个问题: 就是原先service层代码里面有用到HttpServetRequest,因为dubbo远程调用,所以在service层取不到HttpServetRequest,然后准备在controller客户端拿到HttpServetRequest再通过传参的方式传到service层,结果在service端接收到的参数全部为null。 原先的代码(截取部分): @Autowired private HttpServletRequest requ.
dubbo消费者@Reference引入为null,提供者已注册,消费者未消费
mr_zhu_wenxing的博客
09-25 2156
dubbo消费者@Reference引入为null,提供者已注册,消费者未消费 我的错误解决方法: 我遇到的错误是因为@Reference包引入错误,引入的是jdk自带的@Reference,改成alibab的@Reference就好 问题描述: 项目加新功能点之前可以跑通,新加一个功能点之后,不报错也不提示,但前台就是没有数据回显,于是debug查看代码是否携带数据,查看后得到引入的bean为空 解决步骤: 因为之前项目可以跑通,所以也顺带查看了下同包下的controller,比如同个包下的Stemea
39 XXDto继承自BaseXXDto同名属性dubbo数据传递问题
970655147的专栏
02-16 770
前言  大概是 节前吧[1月28号调整], 存在这样一个场景, 某一类接口对应的 reqDto 没有 createUser, 然后 也没有相关的查询能够查找到对应的 操作的操作人, 然后 我当时想了一下 觉得可以在 BaseReqDto 里面增加一个 createUser, 来存放 当前接口操作的 用户, 然后 打印日志的时候 把用户id 打印出来  然后 就引发了这样的一个问题, UserS...
Dubbo 一些你不一定知道但是很好用的功能
chiquanzhe9768的博客
06-12 105
原文:https://mp.weixin.qq.com/s/peBTzuAX5d1UtXc0sYkTtg dubbo功能非常完善,很多时候我们不需要重复造轮子,下面列举一些你不一定知道,但是很好用的功能; 直连Provider 在开发及测试环境下,可能需要绕过注册中心,只测试...
ASP外观专利图像检索平台(源代码+论文).rar
最新发布
07-21
ASP外观专利图像检索平台(源代码+论文)
dubbo连接超时问题排查
09-02
Dubbo连接超时问题通常是由于网络延迟、服务提供者负载过高或者配置错误等多种原因引起的。下面是排查Dubbo连接超时问题的一些常见方法和建议: 1. 检查网络延迟:首先,可以尝试通过ping命令来检查与服务提供者之间的网络延迟情况。如果延迟较高,可能需要优化网络环境或者切换到更稳定的网络连接。 2. 服务提供者负载过高:可以查看服务提供者的系统资源使用情况,例如 CPU、内存、磁盘等是否过载。如果负载过高,可以优化代码、增加服务器资源或者增加服务实例数等来提高性能。 3. 超时配置错误:可以检查Dubbo的超时配置是否正确。例如,可以确认是否设置了正确的连接超时时间、读写超时时间等,以及是否合理地设置了重试次数等参数。 4. 服务提供者响应时间过长:可以对服务提供者进行性能分析,找出响应时间较长的接口或者方法,并优化其实现。如果有必要,可以采用异步调用方式来提高吞吐量和响应速度。 5. 检查服务调用链路:可以通过监控工具或者日志来查看服务调用链路,找出是否存在调用关系错乱、环路或者循环依赖等问题。这些问题可能导致连接超时或者请求被阻塞。 6. 调整Dubbo配置参数:可以尝试调整Dubbo的相关配置参数,如线程池大小、队列大小、IO线程数等,以适应当前的应用场景。 总之,解决Dubbo连接超时问题的关键是要深入分析问题背后的原因,并针对性地采取相应的优化措施。在排查问题过程中,可以结合相关的监控工具、日志和性能测试工具来帮助定位和解决问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值