fastjson源码分析-序列化回调接口实现分析

最新推荐文章于 2024-03-18 14:06:01 发布
最新推荐文章于 2024-03-18 14:06:01 发布
阅读量180 收藏 1
点赞数
分类专栏: fastjson源码分析 文章标签: java json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45946035/article/details/122154651
版权
文章详细分析了Fastjson库中MapSerializer和ListSerializer的序列化过程,涉及对象引用处理、键值过滤、泛型判断、引用输出和特性控制等内容。
摘要由CSDN通过智能技术生成

2021SC@SDUSC

特定序列化实现解析

以MapSerializer序列化为例的分析

按照代码的顺序第一个分析到Map序列化器,内部调用write:

 public void write(JSONSerializer serializer
            , Object object
            , Object fieldName
            , Type fieldType
            , int features) throws IOException {
        write(serializer, object, fieldName, fieldType, features, false);
    }

在其最终调用的write方法中:

 if ((out.features & mapSortFieldMask) != 0 || (features & mapSortFieldMask) != 0) {
            if (map instanceof JSONObject) {
                map = ((JSONObject) map).getInnerMap();
            }

            if ((!(map instanceof SortedMap)) && !(map instanceof LinkedHashMap)) {
                try {
                    map = new TreeMap(map);
                } catch (Exception ex) {
                    // skip
                }
            }
        }

首先JSONObject包装HashMap或者LinkedHashMap

        serializer.setContext(parent, object, fieldName, 0);
        try {
            if (!unwrapped) {
                out.write('{');
            }

            serializer.incrementIndent();

            Class<?> preClazz = null;
            ObjectSerializer preWriter = null;

            boolean first = true;

            if (out.isEnabled(SerializerFeature.WriteClassName)) {
                String typeKey = serializer.config.typeKey;
                Class<?> mapClass = map.getClass();
                boolean containsKey = (mapClass == JSONObject.class || mapClass == HashMap.class || mapClass == LinkedHashMap.class) 
                        && map.containsKey(typeKey);
                /** 序列化的map不包含key=@type或者自定义值,则输出map的类名 */
                if (!containsKey) {
                    out.writeFieldName(typeKey);
                    out.writeString(object.getClass().getName());
                    first = false;
                }
            }

然后创建当前新的序列化context ;
然后在接下来的循环中开始遍历filter来确定哪些输出哪些不输出:
遍历JSONSerializer的PropertyPreFilter拦截器,拦截key是否输出:

遍历JSONSerializerPropertyPreFilter拦截器,拦截key是否输出
                    List<PropertyPreFilter> preFilters = serializer.propertyPreFilters;
                    if (preFilters != null && preFilters.size() > 0) {
                        if (entryKey == null || entryKey instanceof String) {
                            if (!this.applyName(serializer, object, (String) entryKey)) {
                                continue;
                            }
                        } else if (entryKey.getClass().isPrimitive() || entryKey instanceof Number) {
                            String strKey = JSON.toJSONString(entryKey);
                            if (!this.applyName(serializer, object, strKey)) {
                                continue;
                            }
                        }
                    }

遍历PropertyPreFilter拦截器,拦截key是否输出 :

List<PropertyPreFilter> preFilters = this.propertyPreFilters;
                    if (preFilters != null && preFilters.size() > 0) {
                        if (entryKey == null || entryKey instanceof String) {
                            if (!this.applyName(serializer, object, (String) entryKey)) {
                                continue;
                            }
                        } else if (entryKey.getClass().isPrimitive() || entryKey instanceof Number) {
                            String strKey = JSON.toJSONString(entryKey);
                            if (!this.applyName(serializer, object, strKey)) {
                                continue;
                            }
                        }
                    }

遍历JSONSerializer的PropertyFilter拦截器,拦截key是否输出

 List<PropertyFilter> propertyFilters = serializer.propertyFilters;
                    if (propertyFilters != null && propertyFilters.size() > 0) {
                        if (entryKey == null || entryKey instanceof String) {
                            if (!this.apply(serializer, object, (String) entryKey, value)) {
                                continue;
                            }
                        } else if (entryKey.getClass().isPrimitive() || entryKey instanceof Number) {
                            String strKey = JSON.toJSONString(entryKey);
                            if (!this.apply(serializer, object, strKey, value)) {
                                continue;
                            }
                        }
                    }

遍历PropertyFilter拦截器,拦截key是否输出:

 List<PropertyFilter> propertyFilters = this.propertyFilters;
                    if (propertyFilters != null && propertyFilters.size() > 0) {
                        if (entryKey == null || entryKey instanceof String) {
                            if (!this.apply(serializer, object, (String) entryKey, value)) {
                                continue;
                            }
                        } else if (entryKey.getClass().isPrimitive() || entryKey instanceof Number) {
                            String strKey = JSON.toJSONString(entryKey);
                            if (!this.apply(serializer, object, strKey, value)) {
                                continue;
                            }
                        }
                    }

遍历JSONSerializer的NameFilter拦截器,适用于key字符别名串转换:

 List<NameFilter> nameFilters = serializer.nameFilters;
                    if (nameFilters != null && nameFilters.size() > 0) {
                        if (entryKey == null || entryKey instanceof String) {
                            entryKey = this.processKey(serializer, object, (String) entryKey, value);
                        } else if (entryKey.getClass().isPrimitive() || entryKey instanceof Number) {
                            String strKey = JSON.toJSONString(entryKey);
                            entryKey = this.processKey(serializer, object, strKey, value);
                        }
                    }

遍历NameFilter拦截器,适用于key字符串别名转换:

List<NameFilter> nameFilters = this.nameFilters;
                    if (nameFilters != null && nameFilters.size() > 0) {
                        if (entryKey == null || entryKey instanceof String) {
                            entryKey = this.processKey(serializer, object, (String) entryKey, value);
                        } else if (entryKey.getClass().isPrimitive() || entryKey instanceof Number) {
                            String strKey = JSON.toJSONString(entryKey);
                            entryKey = this.processKey(serializer, object, strKey, value);
                        }
                    }

处理map序列化value拦截器, ValueFilter 和 ContextValueFilter:

if (entryKey == null || entryKey instanceof String) {
                        value = this.processValue(serializer, null, object, (String) entryKey, value);
                    } else {
                        boolean objectOrArray = entryKey instanceof Map || entryKey instanceof Collection;
                        if (!objectOrArray) {
                            String strKey = JSON.toJSONString(entryKey);
                            value = this.processValue(serializer, null, object, strKey, value);
                        }
                    }

然后,开启WriteNonStringKeyAsString, 将key做一次json串转换:

 if (out.isEnabled(NON_STRINGKEY_AS_STRING) && !(entryKey instanceof Enum)) {
                        String strEntryKey = JSON.toJSONString(entryKey);
                        serializer.write(strEntryKey);
                    } else {
                        serializer.write(entryKey);
                    }

                    out.write(':');

map序列化实现方法主要做了以下几件事情:

处理对象引用,使用jdk的IdentityHashMap类严格判断对象严格相等。
针对map的key和value执行拦截器操作。
针对value的类型,查找value的class类型序列化输出。
序列化map处理引用的逻辑在 com.alibaba.fastjson.serializer.JSONSerializer#writeReference ,带分析的源码如下:

 public void writeReference(Object object) {
        SerialContext context = this.context;
        Object current = context.object;

        /** 如果输出引用就是自己this, ref值为 @ */
        if (object == current) {
            out.write("{\"$ref\":\"@\"}");
            return;
        }

        SerialContext parentContext = context.parent;

        /** 如果输出引用就是父引用, ref值为 .. */
        if (parentContext != null) {
            if (object == parentContext.object) {
                out.write("{\"$ref\":\"..\"}");
                return;
            }
        }

        SerialContext rootContext = context;
        /** 查找最顶层序列化context */
        for (;;) {
            if (rootContext.parent == null) {
                break;
            }
            rootContext = rootContext.parent;
        }

        if (object == rootContext.object) {
            /** 如果最顶层引用就是自己this, ref值为 $*/
            out.write("{\"$ref\":\"$\"}");
        } else {
            /** 常规java对象引用,直接输出 */
            out.write("{\"$ref\":\"");
            out.write(references.get(object).toString());
            out.write("\"}");
        }
    }

ListSerializer序列化

ListSerializer的序列化和map的序列化类似:

 public final void write(JSONSerializer serializer, Object object, Object fieldName, Type fieldType, int features)
                                                                                                       throws IOException {

        boolean writeClassName = serializer.out.isEnabled(SerializerFeature.WriteClassName)
                || SerializerFeature.isEnabled(features, SerializerFeature.WriteClassName);

        SerializeWriter out = serializer.out;

        Type elementType = null;
        if (writeClassName) {
            /** 获取泛型字段真实类型 */
            elementType = TypeUtils.getCollectionItemType(fieldType);
        }

        if (object == null) {
            /** 如果集合对象为空并且开启WriteNullListAsEmpty特性, 输出[] */
            out.writeNull(SerializerFeature.WriteNullListAsEmpty);
            return;
        }

        List<?> list = (List<?>) object;

        if (list.size() == 0) {
            /** 如果集合对象元素为0, 输出[] */
            out.append("[]");
            return;
        }

        /** 创建当前新的序列化context */
        SerialContext context = serializer.context;
        serializer.setContext(context, object, fieldName, 0);

        ObjectSerializer itemSerializer = null;
        try {
            /** 判断是否开启json格式化 */
            if (out.isEnabled(SerializerFeature.PrettyFormat)) {
                out.append('[');
                serializer.incrementIndent();

                int i = 0;
                for (Object item : list) {
                    if (i != 0) {
                        out.append(',');
                    }

                    serializer.println();
                    if (item != null) {
                        /** 如果存在引用,输出元素引用信息 */
                        if (serializer.containsReference(item)) {
                            serializer.writeReference(item);
                        } else {
                            /** 通过元素包含的类型查找序列化实例 */
                            itemSerializer = serializer.getObjectWriter(item.getClass());
                            SerialContext itemContext = new SerialContext(context, object, fieldName, 0, 0);
                            serializer.context = itemContext;
                            /** 根据具体序列化实例输出 */
                            itemSerializer.write(serializer, item, i, elementType, features);
                        }
                    } else {
                        serializer.out.writeNull();
                    }
                    i++;
                }

                serializer.decrementIdent();
                serializer.println();
                out.append(']');
                return;
            }

            out.append('[');
            for (int i = 0, size = list.size(); i < size; ++i) {
                Object item = list.get(i);
                if (i != 0) {
                    out.append(',');
                }

                if (item == null) {
                    out.append("null");
                } else {
                    Class<?> clazz = item.getClass();

                    if (clazz == Integer.class) {
                        /** 元素类型如果是整数,直接输出 */
                        out.writeInt(((Integer) item).intValue());
                    } else if (clazz == Long.class) {
                        /** 元素类型如果是长整数,直接输出并判断是否追加类型L */
                        long val = ((Long) item).longValue();
                        if (writeClassName) {
                            out.writeLong(val);
                            out.write('L');
                        } else {
                            out.writeLong(val);
                        }
                    } else {
                        if ((SerializerFeature.DisableCircularReferenceDetect.mask & features) != 0){
                            /** 如果禁用循环引用检查,根据元素类型查找序列化实例输出 */
                            itemSerializer = serializer.getObjectWriter(item.getClass());
                            itemSerializer.write(serializer, item, i, elementType, features);
                        }else {
                            if (!out.disableCircularReferenceDetect) {
                                /** 如果没有禁用循环引用检查,创建新的序列化上下文 */
                                SerialContext itemContext = new SerialContext(context, object, fieldName, 0, 0);
                                serializer.context = itemContext;
                            }

                            if (serializer.containsReference(item)) {
                                /** 处理对象引用 */
                                serializer.writeReference(item);
                            } else {
                                /** 根据集合类型查找序列化实例处理,JavaBeanSerializer后面单独分析 */
                                itemSerializer = serializer.getObjectWriter(item.getClass());
                                if ((SerializerFeature.WriteClassName.mask & features) != 0
                                        && itemSerializer instanceof JavaBeanSerializer)
                                {
                                    JavaBeanSerializer javaBeanSerializer = (JavaBeanSerializer) itemSerializer;
                                    javaBeanSerializer.writeNoneASM(serializer, item, i, elementType, features);
                                } else {
                                    itemSerializer.write(serializer, item, i, elementType, features);
                                }
                            }
                        }
                    }
                }
            }
            out.append(']');
        } finally {
            serializer.context = context;
        }
    }

ListSerializer序列化主要判断是否需要格式化json输出,对整型和长整型进行特殊取值,如果是对象类型根据class类别查找序列化实例处理,和hessian2源码实现原理类似。

Kai._.
关注
专栏目录
JSONObject转Map方法总结
qq_36159724的博客
08-14 8255
JSONObject转Map有两种方式实现1. 对于使用版本高于1.2.15的fastjson的可以尝试使用JSONObject的getInnerMap()方法2. 对于老版本的fastjson可以使用递归的方式 有两种方式实现 1. 对于使用版本高于1.2.15的fastjson的可以尝试使用JSONObject的getInnerMap()方法 Map map = JSONObject.par...
fastjson深度源码解析- 序列化(六) - json特定序列化实现解析
商宗海的博客
02-04 3852
序列化回调接口实现分析 特定序列化实现解析 MapSerializer序列化 按照代码的顺序第一个分析到Map序列化器,内部调用write: public void write(JSONSerializer serializer , Object object , Object fieldName
fastjson,将json字符串转成java.util.Map,并对Date类型字段进行格式处理。
dear_Alice_moon的专栏
12-13 2438
阿里的 Fastjson 开源工具是一款非常好用的工具,用于处理json报文非常方便快捷,在这里我给它点个赞。 fastjson中, JSONObject 类有一个函数 getInnerMap() 函数,可以将 json 字符串转成 java.util.Map 对象。 具体案例分析: 1、先创建一个实体类 User 对象。 注意,在User...
maven alibaba JSON的依赖架包
孙小白
07-31 5万+
&lt;!-- https://mvnrepository.com/artifact/com.alibaba/fastjson --&gt; &lt;dependency&gt; &lt;groupId&gt;com.alibaba&lt;/groupId&gt; &lt;artifactId&gt;fastjson&lt;/artifactId&gt; ...
java对于com.alibaba.fastjson.JSONObject的用法
技术开发爱好者的成长之路
03-27 1232
java的Map类的get方法,当找不到传参的key时,返回值是null,对应这里value就是null,此时会走到最后一个条件里,调用value=(JSONObject)toJSON(value),此时value被赋值null;所以,getJSONObject(String s)找不到key等于传参s时,会返回null.this.map就是这个JSONObject对象对应的原生Map。当toJSON()传参为nul时,返回值也是null.
通过fastjson解析json数据工具
北京小辉
12-15 478
目录 一、原始数据内容 二、通过fastjson解析json数据 一、原始数据内容eventLogJson.txt { "u": { "cookieid": "HsOorABPB", "account": "05289", "email": "Fh8h@G4hbi.com", "phoneNbr": "20096655112", "birthday": "2002-01-1...
fastjson深度源码解析- 序列化(四) - json序列化实现解析
商宗海的博客
02-04 5717
概要 fastjson序列化主要使用入口就是在JSON.java类中,它提供非常简便和友好的api将java对象转换成json字符串。 JSON成员函数 /** * 便捷序列化java对象,序列化对象可以包含任意泛型属性字段,但是不适用本身是泛型的对象。 * 默认序列化返回字符串,可以使用writeJSONString(Writer, Object,
fastjson深度源码解析- 序列化(五) - json内部注册序列化解析
商宗海的博客
02-04 1319
序列化回调接口实现分析 内部注册的序列化 fastjson针对常用的类型已经注册了序列化实现方案: 注册的类型 序列化实例 是否支持序列化 是否支持反序列化 Boolean BooleanCodec 是 是 Character CharacterCodec 是 是 Byte IntegerCodec 是
com.alibaba.fastjson 序列化 反序列
weixin_41563161的博客
03-31 5373
fastjson 序列化反序列 目录 fastjson 序列化反序列 序列化 SerializeWriter成员变量 一 SerializeWriter成员函数 1 序列化整形数字 2 序列化长整形数字 3 序列化浮点类型数字 4 序列化...
fastjson深度源码解析- 反序列化(二) - 内部注册反序列化解析
商宗海的博客
03-15 3493
序列化回调接口实现分析 内部注册的反序列化 fastjson针对常用的类型已经注册了反序列化实现方案,根据源代码注册com.alibaba.fastjson.parser.ParserConfig#initDeserializers可以得到列表: 注册的类型 反序列化实例 是否支持序列化 是否支持反序列化 SimpleDateFormat MiscC...
fastjson升级为fastjson2
最新发布
xglinux的博客
03-18 1344
替换为 import com.alibaba.fastjson2.JSON;替换为:String json = JSON.toJSONString(this, DateRangeQueryBuilder.TIME_FORMAT);(1) pom修改。
一起读源码 —— Fastjson 的核心方法及其实现原理
Smileyan's blog
04-14 8897
fastjson源码阅读
Fastjson将list集合转换成json串返回给前台页面
JessieandJeff的博客
01-04 2万+
fastjson会自动转关联属性,可在对象的属性上进行如下配置取消自动转关联属性
fastjson的parseObject方法由于new Featrue[]{Featrue.InitStringFieldAsEmpty}参数导致解析实体对象很多字段值为空的解决办法
锋林华的博客
12-27 1337
在自己项目中引入一个jar包文件,这个jar包文件中有一controller类,里面有一段代码如下所示: DealEntity dealEntity= (DealEntity )JSON.parseObject(req.getParameter("dealEntity "),DealEntity.class,new Featrue[]{Featrue.InitStringFieldAsEmpty}); 通过执行断点发现,前端传的实体参数没有问题,到后端解析后这个实体类里的很多字段值就变空了。 经过排查发现
fastjson将字符串转为map的几种方法
gaston的博客
12-03 3461
package com.zkn.newlearn.json; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.JSONObject; import java.util.Map; /** * JSON字符串自动转换 * */ public class JsonToMapTest01 {...
fastjson解析map的循环嵌套json
热门推荐
Good Luck
11-24 9万+
实体类: package com.site.utils; import java.util.List; /** * Create by szw on 2017/11/24 10:17 */ public class Life { private String name;//姓名 private int age;//年龄 private String count
fastjson中map或list和json互相转化
dam454450872的博客
06-27 3590
我们在工作中经常会用到json,市面上也有很多用于json解析的工具,我这边用的是阿里巴巴的fastjson,对应的pom文件为:&lt;dependency&gt;    &lt;groupId&gt;com.alibaba&lt;/groupId&gt;    &lt;artifactId&gt;fastjson&lt;/artifactId&gt;    &lt;version&gt;1.2...
fastjson-1.2.47反序列化
07-27
Fastjson-1.2.47存在反序列化远程命令执行漏洞。在该版本之前的Fastjson版本中,攻击者可以利用特殊构造的json字符串绕过反序列化白名单检测,成功执行任意命令。\[1\]\[2\]然而,在1.2.25版本后,阿里巴巴为了防御Fastjson序列化漏洞,设置了autoTypeSupport属性默认为false,并增加了checkAutoType()函数,通过黑白名单的方式来进行防御。因此,后续发现的Fastjson序列化漏洞都是针对黑名单绕过来实现攻击利用的目的。\[3\] #### 引用[.reference_title] - *1* [Fastjson1.2.47反序列化漏洞](https://blog.csdn.net/weixin_51151498/article/details/128548751)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [fastjson漏洞 - Fastjson1.2.47反序列化漏洞](https://blog.csdn.net/weixin_44971640/article/details/128582582)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值