java 序列化 混淆_代码混淆与JSON数据序列化问题

最新推荐文章于 2023-10-15 15:10:32 发布
最新推荐文章于 2023-10-15 15:10:32 发布
阅读量332 收藏
点赞数
文章标签: java 序列化 混淆
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_36068015/article/details/114090802
版权
本文探讨了Java代码混淆对JSON数据序列化的影响。混淆可能导致JavaBean的字段和方法名称改变,引起反序列化异常。解决方案包括保留set/get方法不混淆或使用Map类型的Model,但后者在处理自定义对象时需要手动反序列化。
摘要由CSDN通过智能技术生成

Java代码混淆和JSON数据序列化问题

基本观点:

第一点:Java代码生成的Jar文件很容易被反编译,常用工具JD-GUI(http://jd.benow.ca/)

第二点:Jar文件常用的“加密”方式是混淆(有专门的混淆软件,有些需要收费的),使得类名、类中字段和方法名称等难以肉眼判断。例如

3b880da18165b5b5d688e748d12d5ef9.png

第三点:JSON协议使用方便,非常流行。常用框架由于可以使用自定义Model类,直接转换成JSON格式的数据,使用起来方便快捷。我使用的alibaba的fastjson.jar。(吐槽一下:虽然该包有不少bug需要进一步完善,整体已经相当不错了。) 例如:

基本的Model

public class User {

private String name;

private int age;

public User() {

}

public User(String name, int age) {

this.name = name;

this.age = age;

}

public String getName() {

return name;

}

public void setName(String name) {

this.name = name;

}

public int getAge() {

return age;

}

public void setAge(int age) {

this.age = age;

}

}

测试:

import com.alibaba.fastjson.JSONObject;

public class Test {

public static void main(String[] args) {

String json = JSONObject.toJSONString(new User("wsc", 25));

System.out.println(json);

User user = JSONObject.parseObject(json, User.class);

System.out.println(user.getAge());

System.out.println(user.getName());

}

}

打印:

{"age":25,"name":"wsc"}

25

wsc

第四点:

当使用框架转换Model为String类型的JSON数据时,通常是根据Model的set和get方法获取需要保存到磁盘的字段名称,常见手段是反射,如果直接获取Field,可能会产生很多,包括某些Field其实用户不想保存到磁盘transient字段或者中间变量字段,尽管fastjson.jar使用了字节码框架ASM来提高效率,也是需要通过set/get方法获取到字段名称。

问题:

如果使用了混淆,代码中字段和方法名称都被混淆,JavaBean的规则被改写,确实是能反序列化出对象,但是可能User名称已经被更改为AA,属性Name可能被更改为f.这个时候就会出现异常。

解决办法:

方法1:有些人推荐set和get方法不适用混淆,相当于Model的结构是公开的,虽然能够避免,总体不安全。

方法2:JSON序列化还有另外一种机制,Model是Map类型

9dc107a30d6353cf1011bb1e706458b3.png

Map是直接获取字段名称的。

使用方法2的缺点是:当你反序列化的时候,如果你的Model里字段类型是自定义类对象,比如User对象中Age不是String,而是自定义类型Age,它是无法帮你自动反序列化成自定义对象Age的,需要手动创建。

举例:

AppCheckBasic是一个基本Model,集成了JSONObject,由于JOSNObject本身是Map结构,所以AppCheckBasic也是一个Map。

AppCheckBasic有一个属性apps,它是List 类型。

public class AppCheckBasic extends JSONObject {

private static final long serialVersionUID = 1L;

@SuppressWarnings("unchecked")

public void initial() {

// 把所有层次结构初始化

List apps = null;

Object obj = this.get("apps");

// 初始化赋值后使用

if (obj instanceof ArrayList) {

apps = (List) obj;

}

// 反序列化(非第一次初始化后)

if (obj instanceof JSONArray) {

JSONArray array = (JSONArray) this.get("apps");

apps = new ArrayList();

for (int i = 0; i < array.size(); i++) {

// AppBasic内部没有"复杂"数据类型

AppBasic appBasic = JSON.parseObject(array.getString(i),

AppBasic.class);

apps.add(appBasic);

}

}

// 初始化内容

this.put("apps", apps);

}

// set和get方法是为了方便

@SuppressWarnings("unchecked")

public List getApps() {

List apps = (List) this.get("apps");

return apps;

}

public void setApps(List apps) {

this.put("apps", apps);

}

}

除了必须手动反序列化重建自定义对象或者复杂对象如List等,为了方便为该Map类型的Bean定义set和get方法。

华天清
关注
Gson解析的Bean不能混淆.zip_java gson 防止混淆
09-15
从源码看Gson解析的bean不能混淆的原因
解析json混淆,导致错误
01-19
1.proguard中需要加入泛型支持 2.需要序列化的class 的get,set方法名不能混淆 3.第三方应用类库的jar包不要参与混淆 另外,所有需要序列化的model类一定要实现 java.io.Serializable
json数据javascript数据(极易混淆,面试常考!)
z19950712的博客
07-01 207
相同点 1、数据都是在名称和值对中 2、数据都由逗号分隔 3、方括号容纳数据,花括号容纳对象 不同点 1、json数据的键必须由双引号包裹,javascript数据不需要 2、json中键必须是字符串(因为其由双引号包裹),javascript中键可以是字符串、数字、和标识符名称(无需由双引号包裹) 3、json数据的值必须是数据类型,而javascript数据可以是数据类型、也可以是有效的表达式(其中包括函数、日期、undefined) ...
遇到一个JSON无法解析遍历的问题JSON数组和JSON对象混淆问题
qq_37099009的博客
10-13 885
今天有个问题,在VUE中,拿到json没法遍历出数据。 对比了网上的案例,发现json格式有问题。 原来我是把JSON数组和JSON对象混淆了。 我的数据: [{"username":"666","content":"666"},{"username":"555","content":"555"},{"username":"444","content":"444"}] 某视频中 官方的数据: 发...
使用json格式最为数据传输的格式,代码混淆数据没有上传成功
lzqjfly的专栏
04-24 2476
为了保护我们个人和公司的利益,我们在发布apk包都要求对软件进行混淆,并且在混淆工程中,系统自动将没有使用到的类屏蔽掉以及对代码进行相应的优化,因此在发布apk混淆是极力推荐的。在本次软件混淆后发现客户端和服务器端的数据不能互通,即apk不能接收到服务器的数据,服务器也不能准确接受到终端上传的数据。经过各种折腾,最终发现混淆出的问题。 apk与服务器端的通信格式为json格式,采用的是
js中json与object易混淆的地方
BOOLEAN的博客
08-30 656
老茂经常搞混jsonjson对象之间的区别,这里说明一下吧。
看雪2017安全开发者峰会ppt-10.Java_JSON序列化之殇
08-30
在本篇文档中,主题聚焦于“看雪2017安全开发者峰会ppt-10.Java_JSON序列化之殇”,探讨了Java语言中JSON处理库的安全问题和防御措施。首先,我们将分析目前主流的JSON处理库,包括Gson、Jackson和Fastjson,并...
Java Tuple与JSON序列化:提升数据交换效率的关键技术
[Java Tuple与JSON序列化:提升数据交换效率的关键技术](https://d2vlcm61l7u1fs.cloudfront.net/media%2F6e8%2F6e8b2f1e-c963-4dd0-86d7-d2ff175c1043%2Fphpvi1TeH.png) # 1. Java Tuple与JSON序列化的概念和重要性...
Go-Go非常快非常不安全的序列化
08-13
此外,Go还提供了`encoding/json`包来处理JSON序列化,这是一种更通用且广泛接受的文本格式,适合网络传输。 序列化过程中的安全隐患主要体现在以下几个方面: 1. **代码注入**:如果反序列化数据来自不可信源,...
jijo:双向JSON序列化
05-04
jijo:双向JSON序列化 设计目标 显式–解耦类型和编码器/解码器(与Aeson中自动派生的实例不同)。 双向性–使用相同的定义进行编码和解码,以防止在定义的一侧更新而另一侧没有更新出错。 完整性–收集尽可能多...
jsonjava代码混淆问题_(转)Android代码混淆-添加了Gson遇到的问题
weixin_34611277的博客
02-17 223
1.首先,project.properties里的配置文件变了,之前的项目一直都是在project.properties这个文件中添加一行proguard.config=proguard.cfg然后proguard.cfg是自动生成的,不想被混淆的文件则从proguard.cfg中修改2.应该是adt的以及build sdk的版本问题混淆代码变了,但是在project.properties文件...
jsonjava代码混淆问题_请假JAVA问题,一后缀名为.json的文件如何修改,下面贴出源代码;...
weixin_34878397的博客
02-17 111
[{text:'系统管理',expanded:true,children:[{text:'用户管理',id:'user-manage',leaf:true},{text:'IP地址段设置',id:'ipaddress-manage',leaf:true}]},{text:'日志管理',expanded:t...[{text:'系统管理',expanded: true,children:[{text...
代码混淆JSON数据序列化问题
JThirteen的专栏
08-05 843
 Java代码混淆JSON数据序列化问题  基本观点:  第一点:Java代码生成的Jar文件很容易被反编译,常用工具JD-GUI(http://jd.benow.ca/)  第二点:Jar文件常用的“加密”方式是混淆(有专门的混淆软件,有些需要收费的),使得类名、类中字段和方法名称等难以肉眼判断。例如  第三点:JSON协议使用方便,非常流行。常用框架由于可以使用自定义Model类,...
java 序列化 混淆_Java序列化与反序列化
weixin_39609670的博客
02-24 178
Java序列化与反序列化序列化:指将对象的状态数据以字节流的形式进行处理,在文件中长期存储。反序列:从字面上就能知道,指的就是在需要的候从文件中获取该对象的信息以重新获得一个完全的对象。作用:(1)永久性保存对象,把对象通过序列化字节流保存到本地文件中。(2)通过序列化在网络中传递对象(3)通过序列化在进程间传递对象一、实现序列化功能的两种接口(1)Serializable接口(2)Extern...
java 序列化 混淆_java序列化与反序列化
weixin_39927848的博客
02-13 113
一、定义以及相关概念互联网的产生带来了机器间通讯的需求,而互联通讯的双方需要采用约定的协议,序列化和反序列化属于通讯协议的一部分。通讯协议往往采用分层模型,不同模型每层的功能定义以及颗粒度不同,例如:TCP/IP协议是一个四层协议,而OSI模型却是七层协议模型。在OSI七层协议模型中展现层(Presentation Layer)的主要功能是把应用层的对象转换成一段连续的二进制串,或者反过来,把二进...
【Android】混淆导致json解析出错
后进生的代码笔记
09-26 4625
Android Strudio推出Gson Format插件以后,Gson Format可以为开发者创建我们的json文件对应的java对象模板,这使得Json解析显得特别简单,大大降低了编程人员的间成本。但是一不小心就会出现这样的问题: 在debug状态编译的候程序按照我们设想的去解析数据,但是切换到release打包生成的app却解析得到错误的json 其实是因为在打release包的
Java常见混淆
最新发布
Cybenko
10-15 172
Java常见混淆
JAVA混淆总结
Dream_go888的博客
09-13 419
1String StringBuffer StringBuillder区别? String 字符串常量 StringBuffer 字符串变量:线程安全:多线程 StringBuilder 字符串变量:非线程安全:单线程 String是字符常量,所以当需要变化的候需要重新创建一个对象,而当创建的对象多的候就会被jvm gc掉,就会变慢。 StringBuilder与StringBuff
Json Gson 序列化 实体类 proguard混淆配置 混淆报错解决办法
weixin_44515491的博客
01-19 1661
使用@SerializedName 指定字段名字即可 代码如下看注释 public class CachePool { //重点 指定序列化名字 就可以混淆了 gson序列化也能识别 @SerializedName(&amp;amp;quot;success&amp;amp;quot;) private List&amp;amp;amp;lt;String&amp;amp;amp;gt; success; @SerializedName(&a
Web前端表单序列化技术教程
9. JSON序列化:除了传统的表单序列化,现在更多使用JSONJavaScript Object Notation)作为数据交换格式。在JavaScript中,可以使用`JSON.stringify()`方法将表单数据对象转换为JSON字符串。 10. 应用实践:在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值