fastjson autoType is not support

最新推荐文章于 2024-05-13 16:25:35 发布
最新推荐文章于 2024-05-13 16:25:35 发布
阅读量2.2k 收藏 6
点赞数 13
分类专栏: 八二哥 文章标签: java json
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45278293/article/details/126247602
版权

问题描述

在做SpringSecurity 的用户权限功能时,登录用户实体类中需要获取权限信息。实体类继承UserDetails,通过方法 getAuthorities获取用户权限信息。

package org.javaboy.tienchin.common.core.domain.model;

import java.util.ArrayList;
import java.util.Collection;
import java.util.Set;
import java.util.stream.Collectors;

import org.javaboy.tienchin.common.core.domain.entity.SysUser;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import com.alibaba.fastjson2.annotation.JSONField;

/**
 * 登录用户身份权限
 *
 * @author tienchin
 */
public class LoginUser implements UserDetails {
    private static final long serialVersionUID = 1L;

    /**
     * 用户ID
     */
    private Long userId;

    /**
     * 部门ID
     */
    private Long deptId;

    /**
     * 用户唯一标识
     */
    private String token;

    /**
     * 登录时间
     */
    private Long loginTime;

    /**
     * 过期时间
     */
    private Long expireTime;

    /**
     * 登录IP地址
     */
    private String ipaddr;

    /**
     * 登录地点
     */
    private String loginLocation;

    /**
     * 浏览器类型
     */
    private String browser;

    /**
     * 操作系统
     */
    private String os;

    /**
     * 权限列表
     */
    private Set<String> permissions;

    /**
     * 用户信息
     */
    private SysUser user;

    public Long getUserId() {
        return userId;
    }

    public void setUserId(Long userId) {
        this.userId = userId;
    }

    public Long getDeptId() {
        return deptId;
    }

    public void setDeptId(Long deptId) {
        this.deptId = deptId;
    }

    public String getToken() {
        return token;
    }

    public void setToken(String token) {
        this.token = token;
    }

    public LoginUser() {
    }

    public LoginUser(SysUser user, Set<String> permissions) {
        this.user = user;
        this.permissions = permissions;
    }

    public LoginUser(Long userId, Long deptId, SysUser user, Set<String> permissions) {
        this.userId = userId;
        this.deptId = deptId;
        this.user = user;
        this.permissions = permissions;
    }

    @JSONField(serialize = false)
    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUserName();
    }

    /**
     * 账户是否未过期,过期无法验证
     */
    @JSONField(serialize = false)
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    /**
     * 指定用户是否解锁,锁定的用户无法进行身份验证
     *
     * @return
     */
    @JSONField(serialize = false)
    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    /**
     * 指示是否已过期的用户的凭据(密码),过期的凭据防止认证
     *
     * @return
     */
    @JSONField(serialize = false)
    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    /**
     * 是否可用 ,禁用的用户不能身份验证
     *
     * @return
     */
    @JSONField(serialize = false)
    @Override
    public boolean isEnabled() {
        return true;
    }

    public Long getLoginTime() {
        return loginTime;
    }

    public void setLoginTime(Long loginTime) {
        this.loginTime = loginTime;
    }

    public String getIpaddr() {
        return ipaddr;
    }

    public void setIpaddr(String ipaddr) {
        this.ipaddr = ipaddr;
    }

    public String getLoginLocation() {
        return loginLocation;
    }

    public void setLoginLocation(String loginLocation) {
        this.loginLocation = loginLocation;
    }

    public String getBrowser() {
        return browser;
    }

    public void setBrowser(String browser) {
        this.browser = browser;
    }

    public String getOs() {
        return os;
    }

    public void setOs(String os) {
        this.os = os;
    }

    public Long getExpireTime() {
        return expireTime;
    }

    public void setExpireTime(Long expireTime) {
        this.expireTime = expireTime;
    }

    public Set<String> getPermissions() {
        return permissions;
    }

    public void setPermissions(Set<String> permissions) {
        this.permissions = permissions;
    }

    public SysUser getUser() {
        return user;
    }

    public void setUser(SysUser user) {
        this.user = user;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        if (permissions != null && permissions.size() > 0) {
            return permissions.stream().map(SimpleGrantedAuthority::new).collect(Collectors.toList());
        }
        return new ArrayList<>();
    }
}

用户登录后,将该实体类存储在redis中,然后校验用户权限时,用携带的 token 再次从redis 中获取该用户信息。
代码片段:

    /**
     * 刷新令牌有效期
     *
     * @param loginUser 登录信息
     */
    public void refreshToken(LoginUser loginUser) {
        loginUser.setLoginTime(System.currentTimeMillis());
        loginUser.setExpireTime(loginUser.getLoginTime() + expireTime * MILLIS_MINUTE);
        // 根据uuid将loginUser缓存
        String userKey = getTokenKey(loginUser.getToken());
        redisCache.setCacheObject(userKey, loginUser, expireTime, TimeUnit.MINUTES);
    }


    /**
     * 获取用户身份信息
     *
     * @return 用户信息
     */
    public LoginUser getLoginUser(HttpServletRequest request) {
        // 获取请求携带的令牌
        String token = getToken(request);
        if (StringUtils.isNotEmpty(token)) {
            try {
                Claims claims = parseToken(token);
                // 解析对应的权限以及用户信息
                String uuid = (String) claims.get(Constants.LOGIN_USER_KEY);
                String userKey = getTokenKey(uuid);
                LoginUser user = redisCache.getCacheObject(userKey);
                return user;
            } catch (Exception e) {
            }
        }
        return null;
    }

在获取 LoginUser user = redisCache.getCacheObject(userKey);用户信息时,报错:fastjson2.JSONException: autoType is not support. org.springframework.security.core.authority.SimpleGrantedAuthority

原因分析:

通过报错信息容易知道是获取Redis 里的 LoginUser 信息,对LoginUser 信息进行反序列化时报错。
查看自己的Redis 序列化配置。

 @Bean
    @SuppressWarnings(value = {"unchecked", "rawtypes"})
    public RedisTemplate<Object, Object> redisTemplate(RedisConnectionFactory connectionFactory) {
        RedisTemplate<Object, Object> template = new RedisTemplate<>();
        template.setConnectionFactory(connectionFactory);

        FastJson2JsonRedisSerializer serializer = new FastJson2JsonRedisSerializer(Object.class);

        ObjectMapper mapper = new ObjectMapper();
        mapper.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
        mapper.activateDefaultTyping(LaissezFaireSubTypeValidator.instance, ObjectMapper.DefaultTyping.NON_FINAL, JsonTypeInfo.As.PROPERTY);
        serializer.setObjectMapper(mapper);

        // 使用StringRedisSerializer来序列化和反序列化redis的key值
        template.setKeySerializer(new StringRedisSerializer());
        template.setValueSerializer(serializer);

        // Hash的key也采用StringRedisSerializer的序列化方式
        template.setHashKeySerializer(new StringRedisSerializer());
        template.setHashValueSerializer(serializer);

        template.afterPropertiesSet();
        return template;
    }

序列化配置:

package org.javaboy.tienchin.framework.config;

import java.nio.charset.Charset;

import com.alibaba.fastjson.parser.ParserConfig;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.data.redis.serializer.RedisSerializer;
import org.springframework.data.redis.serializer.SerializationException;
import com.alibaba.fastjson2.JSON;
import com.alibaba.fastjson2.JSONReader;
import com.alibaba.fastjson2.JSONWriter;
import org.springframework.util.Assert;

/**
 * Redis使用FastJson序列化
 *
 * @author tienchin
 */
public class FastJson2JsonRedisSerializer<T> implements RedisSerializer<T> {
    public static final Charset DEFAULT_CHARSET = Charset.forName("UTF-8");

    @SuppressWarnings("unused")
    private ObjectMapper objectMapper = new ObjectMapper();

    private Class<T> clazz;

    public FastJson2JsonRedisSerializer(Class<T> clazz) {
        super();
        this.clazz = clazz;
    }
    static {
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
    }

    @Override
    public byte[] serialize(T t) throws SerializationException {
        if (t == null) {
            return new byte[0];
        }
        return JSON.toJSONString(t, JSONWriter.Feature.WriteClassName).getBytes(DEFAULT_CHARSET);
    }

    public void setObjectMapper(ObjectMapper objectMapper) {
        Assert.notNull(objectMapper, "'objectMapper' must not be null");
        this.objectMapper = objectMapper;
    }

    @Override
    public T deserialize(byte[] bytes) throws SerializationException {
        if (bytes == null || bytes.length <= 0) {
            return null;
        }
        String str = new String(bytes, DEFAULT_CHARSET);

        return JSON.parseObject(str, clazz, JSONReader.Feature.SupportAutoType);
    }
}

解决方案:

通过网上查阅资料,实验过各种方法发现不能解决问题。但是发现,做序列化都是用的 fastjson,而我这里使用的是 fastjson2,将FastJson2JsonRedisSerializer 使用 fastjson 进行修改,并添加 ParserConfig.getGlobalInstance().setAutoTypeSupport(true),发现问题解决。

package org.javaboy.tienchin.framework.config;

import com.alibaba.fastjson.JSON;
import com.alibaba.fastjson.serializer.SerializerFeature;
import com.fasterxml.jackson.databind.JavaType;
import com.fasterxml.jackson.databind.ObjectMapper;
import com.fasterxml.jackson.databind.type.TypeFactory;
import org.springframework.data.redis.serializer.RedisSerializer;
import org.springframework.data.redis.serializer.SerializationException;
import com.alibaba.fastjson.parser.ParserConfig;
import org.springframework.util.Assert;

import java.nio.charset.Charset;

/**
 * Redis使用FastJson序列化
 *
 * @author tienchin
 */
public class FastJson2JsonRedisSerializer<T> implements RedisSerializer<T> {
    @SuppressWarnings("unused")
    private ObjectMapper objectMapper = new ObjectMapper();

    public static final Charset DEFAULT_CHARSET = Charset.forName("UTF-8");

    private Class<T> clazz;

    static {
        ParserConfig.getGlobalInstance().setAutoTypeSupport(true);
    }

    public FastJson2JsonRedisSerializer(Class<T> clazz) {
        super();
        this.clazz = clazz;
    }

    @Override
    public byte[] serialize(T t) throws SerializationException {
        if (t == null) {
            return new byte[0];
        }
        return JSON.toJSONString(t, SerializerFeature.WriteClassName).getBytes(DEFAULT_CHARSET);
    }

    @Override
    public T deserialize(byte[] bytes) throws SerializationException {
        if (bytes == null || bytes.length <= 0) {
            return null;
        }
        String str = new String(bytes, DEFAULT_CHARSET);

        return JSON.parseObject(str, clazz);
    }

    public void setObjectMapper(ObjectMapper objectMapper) {
        Assert.notNull(objectMapper, "'objectMapper' must not be null");
        this.objectMapper = objectMapper;
    }

    protected JavaType getJavaType(Class<?> clazz) {
        return TypeFactory.defaultInstance().constructType(clazz);
    }
}
mobº
关注
  • 13
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
autoType is not support.org.springframework.security.core.authority.SimpleGrantedAuthority错误记录(亲测可用)
黄团团的个人博客
08-25 858
问题是发生在SpringSecurity框架中,从Redis中获取登录用户信息的时候报的autoType is not support.org.springframework.security.core.authority.SimpleGrantedAuthority的错误,这边记录一下这个问题的解决方案。
fastjson SerializerFeature详解
慎独
12-03 1020
依赖 &lt;dependency&gt; &lt;groupId&gt;com.alibaba&lt;/groupId&gt; &lt;artifactId&gt;fastjson&lt;/artifactId&gt; &lt;version&gt;1.2.7&lt;/version&gt;
org.springframework.web.client.HttpClientErrorException: 400错误的解决方法,亲测有效,嘿嘿嘿,已解决
最新发布
PythonAigc的博客
05-13 1352
`org.springframework.web.client.HttpClientErrorException: 400` 异常是Spring框架中的`RestTemplate`或`WebClient`在发起HTTP请求时,由于客户端错误(如请求格式不正确、缺少必要参数等)导致HTTP 400 Bad Request错误响应时抛出的异常。 ### 问题分析 当遇到这个异常时,首先需要检查的是发送到服务器的HTTP请求。HTTP 400错误通常意味着请求没有按照服务器期望的格式或参数发送。可能的原因包括
fastjson 反序列化的时候 autoType is not support
张小凡
05-27 4759
网上一堆答案,官网给出的https://github.com/alibaba/fastjson/wiki/enable_autotype 我的问题其实很简单: { .... ErrorMsgObject errorMsgObject = new ErrorMsgObject(msg, req, e); errorMsgObject.setStatus("fai...
com.alibaba.fastjson.JSONException:autoType is not support. org.xx.security.SimpleGrantedAuthority异常
码不多的博客
06-13 1752
com.alibaba.fastjson.JSONException:autoType is not support. org.xx.security.SimpleGrantedAuthority异常
SpringBoot +Redis+FastJson反序列化失败
HumorChen的博客
11-08 1503
报错信息:autoType is not support 阅读源码后找这个autotype 解决办法: 在fastjson的序列化器中加一句 static { ParserConfig.getGlobalInstance().addAccept("com.humorchen"); }
fastjson的jar包 绿色版
11-26
Fastjson是阿里巴巴开发的一款高效的Java语言实现的JSON库,它具有极快的速度和小巧的体积,广泛应用于数据解析和序列化场景。Fastjson 1.2.2版本是该库的一个稳定版本,提供了丰富的功能和良好的性能。在这个绿色版...
fastjson-autotype-bypass-demo:fastjson 1.2.68版本自动键入绕过
03-08
fastjson-autotype-bypass-demo fastjson 1.2.68版本有限制自动类型绕过参考《 fastjson 1.2.68自动键入绕过反序列化细分小工具的一种挖掘思路》: ://b1ue.cn/archives/382.html 《 fastjson 1.2.68最新版本有限制...
FastJson.java
09-04
com.alibaba.fastjson.JSON读写json
FastJsonJar
01-05
FastJsonJar:Java开发中的高效JSON处理库》 FastJsonJar,正如其名,是一个专为Java开发者设计的高效JSON解析和生成工具。在现代Web服务和移动应用开发中,JSON作为数据交换格式,其使用频率之高不言而喻。...
fastjson-1.2.72
07-07
阿里jar包, fastjson-1.2.72,项目后可以使用,有需要的自取
Java下bug经历汇总
qq_40265247的博客
03-04 870
java下Bug Error:(34, 23) java: expected private String abstract; 变量命名结果用了人家关键字啊啊 java.lang.NoSuchMethodException: java.util.List.() 远程调用时,要用to对象接受,传输过来的json java.lang.ClassCastException: java.util.LinkedHashMap cannot be cast to com.yfxu.common.utils.PageU
fastjson autoType is not suppor
qq_30436011的博客
09-19 256
2017年3月15日,fastjson官方发布安全升级公告,该公告介绍fastjson在1.2.24及之前的版本存在代码执行漏洞,当恶意攻击者提交一个精心构造的序列化数据到服务端时,由于fastjson在反序列化时存在漏洞,可导致远程任意代码执行。 自1.2.25及之后的版本,禁用了部分autotype的功能,也就是”@type”这种指定类型的功能会被限制在一定范围内使用。 而由于反序列化对象时,需要检查是否开启了autotype。所以如果反序列化检查时,autotype没有开启,就会报错。 com...
fastjson: autoType is not support.
Java是世界上最好的语言
10-27 968
fastjson: autoType is not support. fastjson在转json的时候,即发序列化的时候,出异常了:JSONException: autoType is not support. string。是因为json字符串中有个特殊的key “@type”,这个导致反序列化失败了。 如何打开autoType JVM启动参数 -Dfastjson.parser.autoTypeSupport=true 代码中设置 //开启autoType ParserCon
阿里巴巴fastjson版本从1.2.72升级到2.0.14。开启autoType,不支持Object对象接收强转成Java对象的解决方案。
netuser1937的博客
09-22 8497
阿里巴巴fastjson版本从1.2.72升级到2.0.14。开启autoType,不支持Object对象接收强转成Java对象的解决方案。
fastjson autoType is not support错误
qq_24084605的博客
07-11 4189
在springboot集成redis 时,在从redis读取数据时报autoType is not support错误 只需在类中增加即可解决 static { ParserConfig.getGlobalInstance().addAccept("com.zhaoning.blog"); }package com.xxx.blog.config; import com....
Java实战开发》利用spring-security解决CSRF问题,通过重写CsrfFilter 过滤掉指定方法
crazy王的学习
12-27 8302
最近项目渗透测试检测出一些安全问题其中一项为csrf攻击隐患,然后开始修复 csrf简介 CSRF(Cross-site request forgery)跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,XSS利用站点内的信任用户,而CSRF则...
利用spring-security解决CSRF问题
热门推荐
Frankenstein的博客
04-22 4万+
从配置到原理,一步步讲解如何利用Spring的security框架来处理scrf问题。
解决com.alibaba.fastjson.JSONException: autoType is not support. xs:string问题
qq_38867952的博客
06-03 395
解决com.alibaba.fastjson.JSONException: autoType is not support. xs:string问题 产生原因: 由于公司漏洞扫描,fastjson在反序列化时存在漏洞,可导致远程任意代码执行,fastjson版本需要升级;升级fastjson的版本后,禁用了部分autotype的功能,由于反序列化对象时,需要检查是否开启了autotype。所以如果反序列化检查时,autotype没有开启,就会报错。 解决办法: 开启autotype:添加JVM启动参数:-
如何解决 fastjson autoType is not support 问题
06-06
fastjson autoType is not support 问题是由于 fastjson 的反序列化机制中使用了 autoType 的特性,攻击者可以通过构造恶意的 JSON 字符串来实现一些危险的行为,如执行任意代码等。为了防止这种攻击,fastjson 的默认配置是禁用 autoType 特性的,如果你在使用 fastjson 反序列化时遇到了 autoType is not support 问题,那么可以考虑以下两种解决方案: 1.禁用 autoType 特性 可以通过关闭 fastjsonautoType 特性来解决这个问题,具体做法是在代码中添加以下配置: ```java ParserConfig.getGlobalInstance().setAutoTypeSupport(false); ``` 这个配置可以全局生效,也可以局部生效,具体可以根据项目的需要来决定。 2.指定白名单 如果你确实需要使用 autoType 特性,可以通过指定白名单的方式来限制可以反序列化的类,具体做法是在代码中添加以下配置: ```java ParserConfig.getGlobalInstance().addAccept("com.example.model."); ``` 这个配置表示只允许反序列化 com.example.model. 包下的类,其他包下的类会被禁止反序列化。 以上是两种解决 fastjson autoType is not support 问题的方法,具体可以根据项目的情况来选择使用哪种方法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值