dubbo服务端方法增加字段导致消费端反序列化失败

已于 2023-09-05 22:55:28 修改
阅读量500 收藏 1
点赞数
分类专栏: 日常工作 文章标签: dubbo
于 2023-09-02 22:35:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunny8zhou/article/details/132612915
版权

背景

前几天在实现一个新功能时,在dubbo provider提供的SDK中某个方法的返回对象增加了一个字段,照理consumer不使用的时候无需升级也不受影响,结果provider上线后发现未升级的consumer出现反序列失败的异常,这就让我一脸懵B了,于是我赶紧去排查一遍。

先说明一下情况,dubbo的版本为2.7.X,provider发布的SDK为1.0版本:

<groupId>com.test.provider/groupId>
<artifactId>dubbo-api</artifactId>
<version>1.0</version>

对外提供的方法:

public interface ProviderApi {

    ResponseVo test(Long id);
}

public class ResponseVo implements Serializable {

    private Long id;
}

本次该方法的返回对象增加新的对象字段:

// 新的返回对象
public class ResponseVo implements Serializable {

    private Long id;
   
    private UserInfo userInfo;
}

public class UserInfo {
    private String name;
}

因此SDK的版本升级为1.1:

<groupId>com.test.provider/groupId>
<artifactId>dubbo-api</artifactId>
<version>1.1</version>

此时consumer A由于没用到 userInfo,因此继续使用1.0版本

 异常过程

provider发布完成后,consumer A突然出现一堆调用异常的告警,当时紧急将provider回滚后才正常,事后查看日志,发现异常日志如下:

[EXCEPTION] side=consumer, preCode: null, code: RpcException, message: Failed to invoke remote method: test, cause: org.apache.dubbo.remoting.RemotingException: com.alibaba.com.caucho.hessian.io.HessianFieldException: com.ResponseVo: com.UserInfo cannot be assigned from null
    at com.alibaba.com.caucho.hessian.io.JavaDeserializer.logDeserializeError(JavaDeserializer.java:174)
    at com.alibaba.com.caucho.hessian.io.JavaDeserializer$ObjectFieldDeserializer.deserialize(JavaDeserializer.java:415)
    at com.alibaba.com.caucho.hessian.io.JavaDeserializer.readObject(JavaDeserializer.java:277)
    at com.alibaba.com.caucho.hessian.io.JavaDeserializer.readObject(JavaDeserializer.java:204)
    at com.alibaba.com.caucho.hessian.io.SerializerFactory.readObject(SerializerFactory.java:555)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObjectInstance(Hessian2Input.java:2850)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2773)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2308)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2747)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2308)
    at com.alibaba.com.caucho.hessian.io.JavaDeserializer.readObject(JavaDeserializer.java:279)
    at com.alibaba.com.caucho.hessian.io.JavaDeserializer.readObject(JavaDeserializer.java:204)
    at com.alibaba.com.caucho.hessian.io.SerializerFactory.readObject(SerializerFactory.java:555)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObjectInstance(Hessian2Input.java:2850)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2773)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2308)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2747)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2308)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2110)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2104)
    at com.alibaba.com.caucho.hessian.io.JavaDeserializer$ObjectFieldDeserializer.deserialize(JavaDeserializer.java:411)
    at com.alibaba.com.caucho.hessian.io.JavaDeserializer.readObject(JavaDeserializer.java:277)
    at com.alibaba.com.caucho.hessian.io.JavaDeserializer.readObject(JavaDeserializer.java:204)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObjectInstance(Hessian2Input.java:2848)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2175)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2104)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2148)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2104)
    at org.apache.dubbo.common.serialize.hessian2.Hessian2ObjectInput.readObject(Hessian2ObjectInput.java:96)
    at org.apache.dubbo.common.serialize.hessian2.Hessian2ObjectInput.readObject(Hessian2ObjectInput.java:101)
Caused by: java.lang.IllegalStateException: Serialized class com.UserInfo must implement java.io.Serializable
    at com.alibaba.com.caucho.hessian.io.SerializerFactory.getDefaultDeserializer(SerializerFactory.java:500)
    at com.alibaba.com.caucho.hessian.io.SerializerFactory.getDeserializer(SerializerFactory.java:479)
    at com.alibaba.com.caucho.hessian.io.SerializerFactory.getObjectDeserializer(SerializerFactory.java:584)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObjectInstance(Hessian2Input.java:2846)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2175)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2104)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2148)
    at com.alibaba.com.caucho.hessian.io.Hessian2Input.readObject(Hessian2Input.java:2104)
    at com.alibaba.com.caucho.hessian.io.JavaDeserializer$ObjectFieldDeserializer.deserialize(JavaDeserializer.java:411)
    ... 182 more

 很显然是UserInfo没有实现Serializable接口导致,但问题是consumer A并没有升级SDK,不应该反序列到新字段才对呀

原因分析(找出真因)

通过堆栈可以找到反序列化类,发现当response返回的协议里包含sdk类不存在的字段时,dubbo仍然尝试读取它:

// 264 com.alibaba.com.caucho.hessian.io.JavaDeserializer#readObject(com.alibaba.com.caucho.hessian.io.AbstractHessianInput, java.lang.Object, java.lang.String[])
public Object readObject(AbstractHessianInput in,
                             Object obj,
                             String[] fieldNames) throws IOException {
    try {
        int ref = in.addRef(obj);

        for (int i = 0; i < fieldNames.length; i++) {
            String name = fieldNames[i];

            FieldDeserializer deser = (FieldDeserializer) _fieldMap.get(name);

            if (deser != null)
                deser.deserialize(in, obj);
            else
                // 当属性找不到时尝试读取
                in.readObject();
        }

        Object resolve = resolve(obj);

        if (obj != resolve)
            in.setRef(ref, resolve);

        return resolve;
    } catch (IOException e) {
        throw e;
    } catch (Exception e) {
        throw new IOExceptionWrapper(obj.getClass().getName() + ":" + e, e);
    }
}

既然如此,它又如何知道该读取哪个类呢?通过获取dubbo的原始body能够一探究竟:

{

"id":1,
"userInfo": {
            "userName": "test",
            "class": "com.UserInfo"
        }
}

尽管有了class路径,为什么consumer A能加载它呢?原因 com.UserInfo在一个公共包定义,而consumer A又正好引用了,自然也就可以加载了

总结:provider返回新字段时consumer会根据类路径尝试加载,若类不存在时会报classNotFound的warning,若存在则尝试读取但不会设置到field里,而读取的前提是类必须实现java序列化接口

问题回顾

1)既然SDK的字段不存在,为何反序列化时还要读取?

答:跳过不认识的字节,只有读取完整字段才能读取下一个字段

2)既然使用了hession序列化,为何还需要实现Serializable?

答:若没有实现Serializable,攻击者可以实例化任何类,举例:攻击者知道服务用了mysql,就一直实例化mysql连接类,导致服务一直建连,参考官方链接

sunny8zhou
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
dubbo简单实例包含服务消费
01-22
这是一个简单的dubbo实例,包含服务消费,下载后只需要修改一下配置文件即可运行
dubbo服务和客户例子
06-04
该代码是dubbo服务和客户例子,直接导入Eclipse即可使用,可配合http://blog.csdn.net/shipeng22022/article/details/72855474一起使用,
【总结】RPC框架Dubbo深入分析
iteye_2022的博客
01-14 334
1,背景 随着互联网的发展,网站应用的规模不断扩大,常规的垂直应用架构已无法应对,分布式服务架构以及流动计算架构势在必行,亟需一个治理系统确保架构有条不紊的演进 单一应用架构 当网站流量很小时,只需一个应用,将所有功能都部署在一起,以减少部署节点和成本 此时,用于简增删改查工作量的数据访问框架(ORM)是关键 垂直应用架构 当访问量逐渐增大,单一应用增加机器带来的加...
类继承导致 RPC 调用 msgpack 序列问题分析
vivisran的博客
04-19 591
问题996 工作态,晚上上线,业务调用方馈通过 JSF(Jingdong Service Framework)RPC 调用的返回参数异常,获取服务列表的所有服务 ser...
dubbo消费者新增了一个字段,上线的时候兼容吗?
Java个体户
08-23 975
背景和结论 上线的时候,不同项目组开发进度不一样,但是服务有依赖,消费者可能先上线,消费者的入参对象添加了一个字段,但是提供者没有上线,所以没有添加该字段。会不会有问题? 结论是没有。测试过程见截图。 消费者多了一个字段 提供者少了一个字段 消费者调用之后,返回数据 官方文档 看官方文档,提供者少了字段,有兼容问题,实际测试并没有兼容问题。 ...
序列对象储存在redis中,在其添加了一个属性后导致序列失败
RitaChenxi的博客
06-30 445
在代码中有一个实体类对象,有abc三个属性,因为需要使用redis存储,就让其实现了序列接口,如图上描述。
cause: java.lang.IllegalStateException: Serialized class com.taotao.pojo.TbItem must implement java....
weixin_33887443的博客
11-22 1647
HTTP Status 500 - Request processing failed; nested exception is com.alibaba.dubbo.rpc.RpcException: Failed to invoke the method getItemById in the service com.taotao.service.ItemService. Tried 3 time...
Caused by: java.lang.IllegalStateException: Serialized class org.mybatis.springSqlSessionTemplate mu
wang20000102的博客
08-17 229
org.mybatis.spring.SqlSessionTemplate must implement java.io.Serializable mybatis-plus提供的公用方法里边有很多类,如果你想要通过RPC远程调用,就需要将他们全部都序列,然而这并不是我们写的,所以。在使用聚合工程时,我们要自己手动写mapper接口,不能使用mybatis-plus提供的方法!这个错误找了一下午,我是使用的Dubbo+zookeeper组合实现的RPC远程调用,项目结构为。
关于调用远程接口,在远程api模块中心已新增一个字段,且将远程接口api发布到远程仓库,但是开发环境中一直没有该字段
鹏神丶明月天
05-08 92
应该把调远程接口的该模块代码重新编译一次,就会重新加载我们已经更新过的api jar包,这样才会有新增的字段出现。这个bug问题就是,本地测试该接口都会有远程接口中新增的该字段,但是开发环境中没有。
Dubbo入门搭建zookeeper集群+服务消费demo
09-10
Dubbo入门搭建zookeeper集群+服务消费demo项目也可以到我的GitHub上下载:https://github.com/panyingting/study
dubbo服务例子
11-23
dubbo服务例子好难才配置成功的,简单易懂
dubbo测试实例(服务消费
04-29
dubbo测试实例(服务消费
Javaweb安全——Dubbo 序列(一)
weixin_43610673的博客
02-13 1352
Apache Dubbo 是一款 RPC 服务开发框架。智能容错和负载均衡,以及服务自动注册和发现。
Dubbo Serialized class xxx.Xxx must implement java.io.Serializable问题解决
旭东怪的博客
06-11 4892
问题描述: Caused by: java.lang.IllegalStateException: Serialized class com.lihero.system.api.domain.water.markSetting.MarkSettingQueryATK must implement java.io.Serializable
Dubbo HessianProtocolException处理方式
fox20210812的博客
09-01 826
Dubbo 消费者调用提供者返回异常信息: org.apache.dubbo.remoting.RemotingException: com.alibaba.com.caucho.hessian.io.HessianProtocolException: ‘java.util.MissingFormatArgumentException’ could not be instantiated\ncom.alibaba.com.caucho.hessian.io.HessianProtocolException:
Dubbo通过Hessian序列对象失败解决
点滴
06-29 1万+
大伙使用过dubbo的同学都知道,dubbo远程调用服务原理是通过序列序列实现的,这里不多说了问题描述:有一次写dubbo接口,需要抛出自定义异常,该异常只有一个构造方法(只有一个参数,为自定义枚举类型),下面是构造方法详情 public RefundOrderException(RefundOrderExceptionCode code) { super(code....
简记:com.alibaba.dubbo.remoting.RemotingException: Fail to decode request due to: RpcInvocation
热门推荐
zhanlanmg的专栏
04-05 2万+
dubbo中默认使用的是hessian的序列,当使用spring-data-commons的pageable时,会在序列时出错,出错原因是由于hessian会先生成一个参数为0的类,再去设置类的值,然而,AbstractPageRequest中的构造函数对参数进行了限制,参数小于1的时候直接thrown异常,所以导致序列出错。这就是原因。所以要么自己定义。要么自己定义。
记一次dubbo 序列问题-Fail to decode request due to: RpcInvocation
不准动我的小老弟
05-22 1万+
记一次dubbo 序列问题 Fail to decode request due to: RpcInvocation 接口&类先行 Api定义层 /** * 抽象类 注意这是抽象类 */ public abstract class AbstractModel implements Serializable { private String name; // getter setter toString } /** * rpc 接口定义 */ public interf
1719378276792.jpg
最新发布
06-26
1719378276792.jpg
dubbo序列导致Timestamp丢失时分秒,怎么办
06-02
这个问题是由于dubbo默认使用了Hessian2进行序列序列,而Hessian2对于java.sql.Timestamp类型的序列存在问题,会导致序列后的对象中Timestamp的时分秒丢失。解决这个问题的方法是使用其他的序列方式,比如使用Java的标准序列方式或者使用JSON进行序列序列。具体的做法如下: 1. 使用Java的标准序列方式 在dubbo的配置文件中,将序列方式改为Java自带的序列方式: ``` <dubbo:protocol name="dubbo" serialization="java" /> ``` 2. 使用JSON进行序列序列dubbo的配置文件中,将序列方式改为fastjson或者jackson: ``` <dubbo:protocol name="dubbo" serialization="fastjson" /> ``` 或者 ``` <dubbo:protocol name="dubbo" serialization="jackson" /> ``` 其中,fastjson和jackson都是常用的JSON序列库。使用JSON进行序列序列可以避免Hessian2对于Timestamp的序列问题,同时还可以提高序列序列的性能。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值