记一次fastjson转jackson的生产事故

最新推荐文章于 2024-07-16 21:34:16 发布
最新推荐文章于 2024-07-16 21:34:16 发布
阅读量759 收藏 2
点赞数
分类专栏: 使用与规范 java理论与实践 文章标签: java json 后端 jsonobject
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43525722/article/details/110518574
版权

之前暴露出fastjson存在漏洞,虽然后期fastjson团队对于相关漏洞有修复,但是为了确保服务和数据的安全性,公司还是决定所有项目弃用fastjson,改用jackson。因为之前项目很多地方都运用了fastjson,改起来算是一个大工程了,有些地方没注意可能就会导致出错,这不,在换了以后的确遇到了问题。
客户需要下单,具体逻辑我就不讲了,里面有一个json字符串转对象的操作,然后获取对象中的data属性用于后续操作。用过fastjson的伙伴都知道可以使用JSON.parseObject(String content)将json字符串转换为对象:

String jsonString="{"data":"testFastjson"}"
String body = String.valueOf(JSON.parseObject(jsonString).get("data"));

公司代码不便公开,在这里简要的进行了更改。通过程序调试我们可以看到,最终body的值为"testFastjson",为正确的值。
在这里插入图片描述
然后在使用jackson替换fastjson,需要实现同样的功能,我们使用了jackson提供的new ObjectMapper().readValue(String content, Class valueType)。因为对jackson的用法不是很清楚,然后就直接运用了,代码如下:

String jsonString="{"data":"testFastjson"}"
String body = String.valueOf(new ObjectMapper().readValue(jsonString, ObjectNode.class).get("data"))

同样debug以后查看转换后的body值,发现body的值为"“testFastjson”":
在这里插入图片描述
大家有没有发现有什么不一样?没错,jackson最后竟然的数据是带""的。what?除了问题当然是需要解决,不仅要解决,还要搞明白这里为什么会是这个样子。本着怀疑的态度,我debug进了jackson相关方法的readValue源码进行查看:

 public <T> T readValue(String content, Class<T> valueType)
        throws JsonProcessingException, JsonMappingException
    {
        _assertNotNull("content", content);
        return readValue(content, _typeFactory.constructType(valueType));
    }

继续进去:

public <T> T readValue(String content, JavaType valueType)
        throws JsonProcessingException, JsonMappingException
    {
        _assertNotNull("content", content);
        try { // since 2.10 remove "impossible" IOException as per [databind#1675]
            return (T) _readMapAndClose(_jsonFactory.createParser(content), valueType);
        } catch (JsonProcessingException e) {
            throw e;
        } catch (IOException e) { // shouldn't really happen but being declared need to
            throw JsonMappingException.fromUnexpectedIOE(e);
        }
    }

重点来了,里面调用的是_readMapAndClose(JsonParser p0, JavaType valueType)方法,我们继续进去;

protected Object _readMapAndClose(JsonParser p0, JavaType valueType)
        throws IOException
    {
        try (JsonParser p = p0) {
            Object result;
            JsonToken t = _initForReading(p, valueType);
            final DeserializationConfig cfg = getDeserializationConfig();
            final DeserializationContext ctxt = createDeserializationContext(p, cfg);
            if (t == JsonToken.VALUE_NULL) {
                // Ask JsonDeserializer what 'null value' to use:
                result = _findRootDeserializer(ctxt, valueType).getNullValue(ctxt);
            } else if (t == JsonToken.END_ARRAY || t == JsonToken.END_OBJECT) {
                result = null;
            } else {
                JsonDeserializer<Object> deser = _findRootDeserializer(ctxt, valueType);
                if (cfg.useRootWrapping()) {
                    result = _unwrapAndDeserialize(p, ctxt, cfg, valueType, deser);
                } else {
                    //走这里
                    result = deser.deserialize(p, ctxt);
                }
                ctxt.checkUnresolvedObjectId();
            }
            if (cfg.isEnabled(DeserializationFeature.FAIL_ON_TRAILING_TOKENS)) {
                _verifyNoTrailingTokens(p, ctxt, valueType);
            }
            return result;
        }
    }

我们看一下最后的返回结果:
在这里插入图片描述
发现返回的结果是一个LinkedHashMap,其中的key是data,value是"testFastJson":

key:"data"
value:""testFastJson""

到这里我们发现了,如果以ObjectMapper作为返回类的话,它的本质是最终转换成键值对的LinkedHashMap,且key是属性名称,值是属性对应的值但是加上了双引号,这就是问题的本质了,然后我们再依据这个key去获取值的话,那就肯定是带引号的值了:
在这里插入图片描述
所以不对,最终导致问题的出现。在这里记录一下以防大家跟我有同样问题的伙伴提个醒。如果大家想要获取正确的数据,如果已经知道需要转换的结构,大家可以先自定义个具体的类别,将ObjectMapper.class替换成对应的类别即可,如果不知道需要具体转换的类别,可以在转换完成之后,调用对应的asText()方法即可获得正确的值:

String jsonString="{"data":"testFastjson"}"
String body = new ObjectMapper().readValue(jsonString, ObjectNode.class).get("data").asText()

我么看一下改完之后获取的情况:
在这里插入图片描述
至此问题得到解决。虽然看起来很简单,但是在实际操作中还是需要注意。在这里虽然只是多了一个引号,但是如果不及时发现处理将会导致大量订单的失败,会带来很大的损失。记录此次的问题过程,给自己一个提醒,以后小问题也需要好好的对待。

程序届的伪精英
关注
专栏目录
fastjsonjackson序列化数据的区别
12-21
fastjsonjackson序列化数据的区别直奔主题一言不合就上代码注意 直奔主题 1、fastjson将字符串反序列化为对象时,只会处理第一层,内部会序列化为JsonObject或者JsonArray,使用二级结构和三级结构时还要再次处理...
JacksonfastJSON 导包异常
zzvar的博客
06-04 2252
内容 一、异常信息 HTTP Status 400 - type Status report message org.springframework.http.converter.HttpMessageNotWritableException: No converter found for return value of type 二、解决办法 1、异常 异常截图 详细信息 exception org.springframework.http.converter.HttpMessage
jacksonfastjson
xuxuxux123的博客
09-11 5063
json
Java学习|JSON 处理库:Gson、FastJsonJackson的比较与使用指南
最新发布
weixin_44435110的博客
07-16 2545
Java开发中,处理JSON数据是一个常见需求。Gson、FastJsonJackson是最受欢迎的三大JSON处理库。本文将详细比较它们的特点、使用注意事项,并提供代码示例和常见面试问答,帮助开发者在不同场景下做出最优选择。
FastjsonJackson该选哪个呢?
weixin_45737309的博客
11-29 1万+
来源:toutiao.com/i6815906868183958027一、FastJson为何二、真的很快吗?三、FastJson并没有那么流行四、弃坑fastjson一、FastJso...
java:fastjson,jackson自定义反序列化器设计暨jackson反序列化时出现StackOverflowError异常的原因分析
10km的专栏
05-04 1952
方法实现字段解析,在字段解析过程中自动识别snake-case的数据库字段名为camel-case的JavaBean字段名(参见findProperty方法),并在最后调用setter方法赋值modified,initialized字段确保它们的值与原始输入值一致。字段的值是不确定的。取决于这两个字段被反序列化时的顺序,如果它们被在放在最后反序列化,那它们的值是正确的,否则它们的值与原始输入值肯定是不一致的。为基类,BeanDeserializer是Jackson默认的Java Bean反序列化实现。
json解析之fastjsonjackson使用对比
以茉萱的博客
12-22 1685
fastjson是由国内的阿里推出的一种json处理器,由java语言编写,无依赖,不需要引用额外的jar包,能直接运行在jdk环境中,它的解析速度是非常之快的,目前超过了所有json库。提示:以下是引用fastjson的方法,数据未涉及到私密信息。
例举fastJsonjacksonjson的区别
10-17
Java开发中,将对象换为JSON格式是一个常见的任务,FastJsonJackson是两个非常流行的JSON库。它们都提供了高效且便捷的API用于JSON序列化和反序列化,但它们在处理方式上存在一些差异。以下是对FastJson和...
FastJson_JackSon.jar
02-23
FastJson综合工具
Java四大json库gson+fastjson+jackson+json-lib
11-22
为了方便地处理JSON数据,Java社区提供了多个优秀的JSON库,包括Gson、FastjsonJacksonjson-lib。这四大JSON库各有特点,适应不同的使用场景。 1. Gson: Gson是Google提供的一个开源库,它能够将Java对象换...
fastjsonjackson的性能比较
08-07
博客文章可能会通过一系列基准测试来比较fastjsonjackson的性能。这些测试可能包括序列化和反序列化大对象、处理大量小对象、以及各种不同的数据结构。性能比较通常会关注以下几个方面: 1. **速度**:比较两个库...
FastJsonJackSonJsonProperty)
cxywangshun的博客
05-06 438
安全漏洞 Fastjson曾多次被发现存在安全漏洞,其中包括反序列化漏洞、代码执行漏洞、DoS漏洞等等。这些漏洞可能会导致应用程序受到攻击,造成数据泄露、系统瘫痪等严重后果。反序列化性能 Fastjson的反序列化性能在所有Java JSON库中是最快的,但是在某些情况下,它的反序列化性能可能会比其他库慢。例如,当JSON数据包含大量的嵌套对象或数组时,Fastjson的反序列化性能可能会受到影响。
Jackson无缝替换Fastjson
Edward_hjh的博客
11-23 1404
一般默认的换器不能满足我们的需求,需要自定义消息换器,可以创建自己的换器类(FastjsonJackson消息换器),并在 Spring Boot 配置中进行注册。通常情况下,只需要注册您的自定义换器,Spring Boot 将自动将其应用于适当的请求和响应。@Override//使用fastjson converter@Bean// 通过该方法对mapper对象进行设置,所有序列化的对象都将按改规则进行序列化。
!注意 FastJson有可能会导致Bean换错误
qq_36632604的博客
07-28 170
我试了一个多小时查bug 始终没有找出错误 ,然后最终试了一下换了GoJson 然后bug竟然好了 GoJson效果 FastJson效果 当key为id与_id的时候两个之间差一个下标 而FastJson竟然一直出错,我简直不敢相信,我还从10点把整个项目排查bug查了一个多小时 真的无语!!!!!!!!!! xdm当fastJson出错的时候,尽早试试其他比如Gojson 不然真的很浪费时间!!! ...
解决解析时出现错误 com.alibaba.fastjson.JSONException: expect ':' at 0, actual =
热门推荐
luoluo_lj的博客
05-07 4万+
​​​​​​​​​​​​问题: JSONObject propertyData = deviceMongoModel.getData(); String powerStr = propertyData.getString("power"); JSONObject powerObject = JSONObject.parseObject(powerStr); 在解析第三...
FastJson问题
lonelymanontheway的博客
09-04 1869
JSONObject与Map互相换; 循环引用; write javaBean error, fastjson version 1.2.73, class xxx, fieldName : 0; ClassCastException:LinkedHashMap cannot be cast to JSONObject; field ignore; fix Type handler was null on parameter mapping for property;...
用了几年的 Fastjson,我最终替换成了Jackson
2401_84048621的博客
04-07 1174
经过日积月累, 以下是小编归纳整理的深入了解Java虚拟机文档,希望可以帮助大家过关斩将顺利通过面试。由于整个文档比较全面,内容比较多,篇幅不允许,下面以截图方式展示。由于篇幅限制,文档的详解资料太全面,细节内容太多,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!《一线大厂Java面试题解析+核心总结学习笔+最新讲解视频+实战项目源码》点击传送门即可获取!经过日积月累, 以下是小编归纳整理的深入了解Java虚拟机文档,希望可以帮助大家过关斩将顺利通过面试。
前端报502 bad gateway的原因及解决方案
firstcode666的博客
12-28 3万+
502 Bad Gateway服务器作为网关或者代理时,为了完成请求访问下一个服务器,但该服务器返回了非法的应答。 解决办法是:再刷新一下网页或清理一下电脑的缓冲文件在打开你想打开的网页就好了. 一般情况下,这种办法是行得通的,但也不排除你所访问的网页被屏蔽的可能,如果你所访问的网页被屏蔽的话,就不管你怎么刷新也是没用的了。 1.什么是502 bad gateway 报错 简单来说502是报错类型代码bad gateway错误的网关 2.产生502错误的原因 连接超时 我们向服务器器发送请求 由于.
fastjson 代码执行 (CNVD-2017-02833)复现
YouthBelief的博客
10-29 3069
文章目录前言一、fastjson 代码执行 (CNVD-2017-02833)0x01 漏洞描述0x02 影响范围0x03 漏洞利用1.直接用rce工具0x04 漏洞修复总结 前言 Fastjson 是一个 Java 库,可以将 Java 对象换为 JSON 格式,当然它也可以将 JSON 字符串换为 Java 对象 一、fastjson 代码执行 (CNVD-2017-02833) 0x01 漏洞描述 fastjson在解析json的过程中,支持使用@type字段来指定反序列化的类型,并调用该类的s
fastjsonjackson区别
04-02
fastjsonjackson都是Java中常用的JSON解析库,它们的主要区别如下: 1. 性能:fastjson的解析速度比jackson快很多,因为fastjson采用了一些优化技术,如ASM字节码生成和对象池等。 2. 安全性:fastjson曾经存在一些安全漏洞,但目前已经修复,而jackson在过去也曾经存在一些安全漏洞。 3. 文档:jackson的文档比fastjson更加详细和全面,而fastjson的文档相对较少,不过它的GitHub上提供了一些示例代码和文档。 4. 换:fastjson支持将JSON字符串换成Java对象、Java对象换成JSON字符串、Java对象换成JSON对象等多种换方式,而jackson只支持将JSON字符串换成Java对象和Java对象换成JSON字符串。 5. 扩展性:fastjson的扩展性比jackson强,它提供了很多扩展点,如序列化、反序列化、注解等,可以通过编写插件来扩展它的功能。而jackson的扩展性相对较差,只能通过继承和重写某些类或接口来实现扩展。 总体来说,fastjsonjackson都是很好的JSON解析库,选择哪一个取决于具体的应用场景和需求。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值