Jackson 使用 defaultTyping 实现通用的序列化和反序列化

最新推荐文章于 2024-03-30 16:28:18 发布
最新推荐文章于 2024-03-30 16:28:18 发布
阅读量1.8k 收藏
点赞数
文章标签: java
原文链接:https://segmentfault.com/a/1190000009680752
版权

Jackson 使用 defaultTyping 实现通用的序列化和反序列化

核心

private ObjectMapper createObjectMapping() {
    ObjectMapper objectMapper = new ObjectMapper();
    objectMapper.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
    objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
    return objectMapper;
}

  • 通过 objectMapper.enableDefaultTyping() 方法设置

  • 即使使用 Object.class 作为 jcom.fasterxml.jackson.databind.JavaType 也可以实现相应类型的序列化和反序列化

  • 好处:只定义一个序列化器就可以了(通用)

maven 引入

<dependency>
    <groupId>com.fasterxml.jackson.core</groupId>
    <artifactId>jackson-databind</artifactId>
    <version>2.4.1.3</version>
</dependency>
<dependency>
    <groupId>junit</groupId>
    <artifactId>junit</artifactId>
    <version>4.12</version>
    <scope>test</scope>
</dependency>

代码

import com.fasterxml.jackson.annotation.JsonAutoDetect;
import com.fasterxml.jackson.annotation.PropertyAccessor;
import com.fasterxml.jackson.core.JsonProcessingException;
import com.fasterxml.jackson.databind.JavaType;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.type.TypeFactory;
import org.junit.Assert;
import org.junit.Test;

import java.io.IOException;
import java.io.Serializable;

/**
 * Created by sealde on 6/7/17.
 */
public class SerializerTest {
    private static final String userString =
            "{\"id\":null,\"username\":\"admin\",\"password\":\"admin\"}";
    private static final String userStringWithDefaultType =
            "[\"com.seal_de.domain.UserInfo\",{\"id\":null,\"username\":\"admin\",\"password\":\"admin\"}]";

    /** 直接使用 ObjectMapping  **/
    @Test
    public void serialize() throws JsonProcessingException {
        CustomSerializer serializer = new CustomSerializer(Object.class);
        String s = serializer.serialize(createUser());
        Assert.assertEquals(s, userString);
    }

    /** 设置了 DefaultTyping 的 ObjectMapper **/
    @Test
    public void serializeWithDefaultType() throws JsonProcessingException {
        CustomSerializer serializer = new CustomSerializer(Object.class);
        serializer.setObjectMapper(createObjectMapping());
        String s = serializer.serialize(createUser());
        Assert.assertEquals(s, userStringWithDefaultType);
    }

    /** 直接使用 ObjectMapping 的反序列化,需要给定序列化的类 **/
    @Test
    public void deserialize() throws IOException {
        CustomSerializer<UserInfo> serializer = new CustomSerializer(UserInfo.class);
        UserInfo userInfo = serializer.deserialize(userString);
        System.out.println(userInfo);
        Assert.assertEquals(userInfo, createUser());
    }

    /** 使用设置了 DefaultTyping 的 ObjectMapping 来反序列化,可以使用 Object 达到想要的效果 **/
    @Test
    public void deserializeWithDefaultTyping() throws IOException {
        CustomSerializer serializer = new CustomSerializer(Object.class);
        serializer.setObjectMapper(createObjectMapping());
        UserInfo userInfo = (UserInfo) serializer.deserialize(userStringWithDefaultType);
        System.out.println(userInfo);
        Assert.assertEquals(userInfo, createUser());
    }

    private ObjectMapper createObjectMapping() {
        ObjectMapper objectMapper = new ObjectMapper();
        objectMapper.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
        objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
        return objectMapper;
    }

    private UserInfo createUser() {
        UserInfo userInfo = new UserInfo();
        userInfo.setUsername("admin");
        userInfo.setPassword("admin");
        return userInfo;
    }

    private class CustomSerializer<T> {
        private final JavaType javaType;
        private ObjectMapper objectMapper = new ObjectMapper();

        public CustomSerializer(JavaType javaType) {
            this.javaType = javaType;
        }

        public CustomSerializer(Class clazz) {
            this.javaType = TypeFactory.defaultInstance().constructType(clazz);
        }

        public void setObjectMapper(ObjectMapper objectMapper) {
            this.objectMapper = objectMapper;
        }

        public String serialize(Object o) throws JsonProcessingException {
            return this.objectMapper.writeValueAsString(o);
        }

        public T deserialize(String s) throws IOException {
            return this.objectMapper.readValue(s, this.javaType);
        }
    }

    private class UserInfo implements Serializable {

        private static final long serialVersionUID = 1L;

        private String id;
        private String username;
        private String password;

        public String getId() {
            return id;
        }

        public void setId(String id) {
            this.id = id;
        }

        public String getUsername() {
            return username;
        }

        public void setUsername(String username) {
            this.username = username;
        }

        public String getPassword() {
            return password;
        }

        public void setPassword(String password) {
            this.password = password;
        }

        @Override
        public boolean equals(Object o) {
            if (this == o) return true;
            if (o == null || getClass() != o.getClass()) return false;

            UserInfo userInfo = (UserInfo) o;

            if (id != null ? !id.equals(userInfo.id) : userInfo.id != null) return false;
            if (username != null ? !username.equals(userInfo.username) : userInfo.username != null) return false;
            if (password != null ? !password.equals(userInfo.password) : userInfo.password != null) return false;

            return true;
        }

        @Override
        public int hashCode() {
            int result = id != null ? id.hashCode() : 0;
            result = 31 * result + (username != null ? username.hashCode() : 0);
            result = 31 * result + (password != null ? password.hashCode() : 0);
            return result;
        }

        @Override
        public String toString() {
            return "UserInfo{" +
                    "id='" + id + '\'' +
                    ", username='" + username + '\'' +
                    ", password='" + password + '\'' +
                    '}';
        }
    }
}
weixin_34055787
关注
Java序列化与JNDI注入漏洞案例实战
悦分享
08-04 446
序列化主要是提供了一种机制,方便数据在网络之间进行传输,或者独立于程序存储在本地磁盘。序列化使用场景很广,比如服务器收到请求参数,一种处理方式是一个个解析数据,自己构建处理数据。还有一种就是直接将数据反序列化为对象。当要把对象存储到缓存时,我们可以自己解析对象生成数据保存到缓存,取出时也自己处理数据转换为对象,也可以直接借助语言的序列化机制帮我们将对象序列化为数据存储起来,从缓存里获取数据后直接反序列化转为对象。在这些场景里,很明显序列化机制能极大改善我们的编程体验。Java 序列化基础。...
RedisTemplate自定义配置及序列化问题
Good_omen的博客
04-06 3223
1 简介 本文将通过实例讲解Springboot以Template方式整合Redis,并遇到一些序列化的问题。代码结构如下: 2 整合过程 2.1 自动配置类 把相关依赖引入到项目中后,Springboot就自动帮我们生成了Template类,分别是RedisTemplate和StringRedisTemplate。看一下自动配置类能看出这两个类都已经创建到Spring容器里了。 public class RedisAutoConfiguration { public RedisAutoConfi
Jackson之多态反序列化
qq_20392381的博客
09-26 779
1.场景描述 JSON作为一种轻量级的数据交换格式,其清晰和简洁的结构能够轻松地与Java对象产生映射关系。例如,一个Coke(可口可乐)类的java代码如下: public class Coke{ String name = "Coke"; int capacity= 500; } 用json描述该类: { "name":"Coke", "cap...
jackson框架java反序列化漏洞_Jackson enableDefaultTyping 方法反序列化代码执行漏洞(CVE-2017-7525)...
weixin_35983968的博客
02-23 484
Earlier this year, a vulnerability was discovered in the Jackson data-binding library, a library for Java that allows developers to easily serialize Java objects to JSON and vice versa, that allowed a...
10 分钟轻松学会 Jackson 反序列化自动适配子类
程序之心
03-17 360
作者:丁仪 来源:https://chengxuzhixin.com/blog/post/Jackson-fan-xu-lie-hua-zi-dong-shi-pei-zi-lei.html json 格式使用非常方便,通常情况下我们反序列化的时候需要指定具体类型。如果遇到继承类型可能会解析失败。今天总结下基于类型扩展的子类自动适配,能够实现反序列化时按需适配子类。 比如定义 Model 类型,仅有字段 key,类型为 String。默认情况下,json 里面只能配置 Model 已有...
enableDefaultTypingjackson反序列化漏洞介绍
zzhongcy的专栏
04-28 5869
最近查看到jackson反序列化漏洞的问题,网上查了查资料,这里记录一下 1. DefaultTyping类型 public static enum DefaultTyping { JAVA_LANG_OBJECT, OBJECT_AND_NON_CONCRETE, NON_CONCRETE_AND_ARRAYS, NON_FINAL, EVERYTH...
Jackson ObjectMapper activateDefaultTyping 中 JsonTypeInfo 的作用
i余数的博客
09-07 3718
主要用于将Java Class 以指定的格式序列化到Json字符串中,反序列化时就不需要显示的指定转换类型了。以属性的的方式,在Json字符串中体现为:"@class"为key,Class Type 为value。以数组的方式,Class Type 为第一个元素,Json字符串为第二个元素。以对象的形式,Class Type 为key, Json字符串为value。反序列化时需要显示指定读取的Java Class 类型。序列化后的字符串不包含Class Type。准备一个Person类,用于后续测试。
SpringBoot + jackson + redis 序列化反序列化 配置正确姿势
u014212540的博客
02-04 5578
SpringBoot + jackson + redis 序列化反序列化 配置正确姿势
jackson自定义全局序列化反序列化
chuobenggu7592的博客
07-14 4383
需要自定义Jackson序列化反序列化有两种方式,一种是全局定义,一种是非全局定义。先来看看全局定义。全局定义的步骤如下,以定义一个localDateTime的序列化反序列化为例: 一、创建序列化类 创建一个序列化类然后继承JsonSerializer,重写serialize序列化方法。其...
Redis实现JSON序列化注解CRUD
weixin_45189306的博客
03-17 826
Redis通过JSON实现序列化,简易注解CRUD
Redis配置序列化反序列化Jackson ObjectMapper 中的 enableDefaultTyping 方法从 2.10.0 开始标记为过期
流沙QuickSand
10-05 3730
Redis配置序列化反序列化Jackson ObjectMapper 中的 enableDefaultTyping 方法从 2.10.0 开始标记为过期
Jackson-databind 反序列化漏洞(CVE-2017-7525)
玄道的网安博客
06-17 3738
漏洞原理 Jackson-databind 支持 Polymorphic Deserialization 特性(默认情况下不开启),当 json 字符串转换的 Target class 中有 polymorph fields,即字段类型为接口、抽象类或 Object 类型时,攻击者可以通过在 json 字符串中指定变量的具体类型 (子类或接口实现类),来实现实例化指定的类,借助某些特殊的 class,如 TemplatesImpl,可以实现任意代码执行。 所以,本漏洞利用条件如下: 开启 Jackso
基于业务定制RedisTemplateConfig对象(拓展)enableDefaultTyping过期
tongshuixu8025的博客
02-23 422
reids配置文件
jackson.ObjectMapper里的一个enableDefaultTyping方法过期
pengjunlee的博客
06-11 2354
jackson.ObjectMapper里的一个enableDefaultTyping方法过期了,项目每次编译时提示,同时过期可能是有漏洞或者效率太低了,总而言之最好处理下 看了下网上也没有解决方案,我这边记录下解决方案。 最好的解决办法就是看过期方法的源码,一般过期方法会给出新的方法来替换过期方法的说明 可以看到@link 里已经给出了这个说明。 我这边修改的: ObjectMapper om = new ObjectMapper(); om.setVi...
[JAVA安全]JACKSON反序列化
snowlyzz的博客
01-28 2076
JACKSON反序列化原理
ObjectMapper
最新发布
m0_71814756的博客
03-30 762
在这个例子中,我们激活了默认的类型信息处理功能,并指定了类型信息的存储方式为非最终(NON_FINAL),这意味着类型信息将被包含在序列化的 JSON 数据中。综上所述,选择合适的序列化器取决于具体的业务需求和数据存储的特点。根据需求选择适当的序列化器可以提高数据的存储效率和操作的便利性。提供了丰富的功能和配置选项,可以根据需求进行定制化设置,用于处理各种复杂的 JSON 数据和对象转换场景。的行为进行灵活的定制,以满足特定的序列化反序列化需求。类中的方法,用于配置对象序列化反序列化时的行为。
Redis在SpringBoot工程中的综合应用
qq_44194174的博客
10-14 259
Redis在SpringBoot工程中的综合应用 准备初始数据 1、初始化数据库 DROP DATABASE IF EXISTS `blog`; CREATE DATABASE `blog` DEFAULT character set utf8mb4; SET names utf8mb4; SET FOREIGN_KEY_CHECKS = 0; USE `blog`; CREATE TABLE `tb_tag` ( `id` bigint(20) NOT NULL AUTO_INCREMENT COM
Json使用Jackson实现子类多态
热门推荐
fish的专栏
07-09 1万+
目的: Json序列化/反序列化不需要知道具体子类的类型,只需要根据
Jackson库:对象序列化与泛型绑定详解
Jackson是一个流行的JSON库,它提供了一种高效且灵活的方式来处理JSON数据,包括对象的序列化反序列化。本文主要关注于以下几个关键知识点: 1. Jackson对象序列化: 在Java中,Jackson库允许我们将Java对象转换...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值