前言
第一次接触Xstream,是在做一个socket通信的项目,由于是二次重新开发,所以有部分代码沿用了原来的代码(改造前用的webservice),其中xml字符串转换为对象,以及对象转换为xml字符串的代码用到了这个包,所以我也就照葫芦画瓢,最终把项目顺利做完了,由于没有遇到什么问题,所以也就没有对Xstream做深入的了解和探索,直到前几天又接手到一个新的项目,里面接口调用涉及到同样的业务需求,然后就再次想到Xstream,然后很自然地遇到了一些问题,所以也就有了这篇文章,好了,废话少说,直接开始吧。
过程:我太难了|
由于上次用过,所以我就自以为轻车熟路的开始了,下面是收到的消息体(也就是需要转换成对象的xml字符串):
认证成功
张三
610123456789012345
1
然后我就按照自己的理解,创建了消息体对象:
// 为了方便,我省略了get/set方法,一下同
// 文件名: MsgText.java
public class MsgText {
private Result result;// 结果
}
// 文件名: Result.java
public class Result {
private String message;// 消息
private Data data; // 数据
private String code; // 消息代码
}
// 文件名: Data.java
public class Data {
private String AAC003;
private String AAC002;
}
下面是业务代码,也是以及我的理解写:
String result = "<?xml version=\"1.0\" encoding=\"UTF-8\" standalone=\"yes\"?>认证成功张三6101234567890123451
";
XStream xstream = new XStream(new StaxDriver());
xstream.alias("MsgText", MsgText.class);
MsgText fromXML = (MsgText)xstream.fromXML(result);
毫无疑问地报错,以下是报错信息:
Security framework of XStream not initialized, XStream is probably vulnerable.
Exception in thread "main" com.thoughtworks.xstream.mapper.CannotResolveClassException: result
经过查找资料,第一行错误是初始化失败,查到的资料如下:
意思是:xstream 的安全框架没有初始化,xstream 容易受攻击。
解决方法:xStream对象设置默认安全防护,同时设置允许的类
解决代码如下:
XStream.setupDefaultSecurity(xStream); // 其中xStream是你实例的XStream的变量名,这是个静态方法
xStream.allowTypes(new Class[]{Test.class, Test1.class});
设置完成后,第二行依然报错,查了很多资料,问题依然没有解决,然后我打算按照自己的理解先做一些尝试,然后在设置别名那里增加了一行代码:
xstream.alias("Result", Result.class);
错误依旧,然后我又加入了一行代码:
xstream.alias("Data", Data.class);
可依然还是相同的错误,我都快疯了,但问题总是要解决吧,可能是运气好,我都不知道自己怎么想到的,觉得可能是alias方法的大小写有问题,然后就经过N次的尝试和摸索,终于报错变了,变成类转换异常:
代码如下:
XStream xstream = new XStream(new StaxDriver());
xstream.alias("msgtext", MsgText.class);
xstream.alias("result", Result.class);
xstream.alias("data", Data.class);
Class>[] classes = new Class[] { MsgText.class, Result.class,Data.class };
XStream.setupDefaultSecurity(xstream);
xstream.allowTypes(classes);
MsgText fromXML = (MsgText)xstream.fromXML(result);
错误如下:
Exception in thread "main" java.lang.ClassCastException: lss.test.reckoner.util.Result cannot be cast to lss.test.reckoner.ejb.MsgText
at lss.test.reckoner.ejb.Test.main(Test.java:20)
然后,这时候我才恍然大悟,原来报文根对象必须是根节点(result),接着我把最后一行代码改成如下:
Result fromXML = (Result)xstream.fromXML(result);
然后就再也不报错了,接着我觉得那应该和msgtext和data都没有关系,然后删除了下面的代码:
xstream.alias("msgtext", MsgText.class);
xstream.alias("data", Data.class);
也把这里:
Class>[] classes = new Class[] { MsgText.class, Result.class,Data.class };
改成:
Class>[] classes = new Class[] { Result.class};
到此问题已经完美解决了
总结
xml对象对应的是xml字符串的根节点,本例中就是Result,而不是我理解的MsgText
xstream.alias("msgtext", MsgText.class)这个方法设置别名对应是xml的节点名,大小写要一致
拓展
这里再拓展些xstream的知识点
关于XStream
XStream是一个简单的库,用于将对象序列化为XML并再次返回。
特征
使用方便。提供高级外观,简化了常见用例。
不需要映射。大多数对象都可以序列化,而无需指定映射。
性能。速度和低内存占用是设计的关键部分,使其适用于具有高消息吞吐量的大型对象图或系统。
清洁XML。没有重复的信息可以通过反射获得。这导致XML更容易为人类阅读,并且比本机Java序列化更紧凑。
不需要修改对象。序列化内部字段,包括私有和最终字段。支持非公开和内部类。类不需要具有默认构造函数。
完整对象图支持。将维护在对象模型中遇到的重复引用。支持循环引用。
与其他XML API集成。通过实现接口,XStream可以直接与任何树结构(而不仅仅是XML)进行串行化。
可定制的转换策略。可以注册策略,允许自定义特定类型如何表示为XML。
安全框架。对未编组类型进行精细控制,以防止受操纵输入的安全问题。
错误消息。当由于格式错误的XML而发生异常时,会提供详细的诊断信息以帮助隔离和修复问题。
替代输出格式。模块化设计允许其他输出格式。XStream目前提供JSON支持和变形。
使用
创建XStream 对象
有两种创建方式:
第一种:不需要XPP3库 开始使用Java6
XStream xstream = new XStream(new StaxDriver());
第二种:需要XPP3库
XStream xstream = new XStream();//需要XPP3库
注意: Xstream序列化XML时需要引用的jar包:xstream-[version].jar、xpp3-[version].jar、xmlpull-[version].jar。Xstream序列化Json需要引用的