Jackson反序列化方法

最新推荐文章于 2024-02-16 23:39:34 发布
最新推荐文章于 2024-02-16 23:39:34 发布
阅读量476 收藏
点赞数
文章标签: 网络安全 java eclipse web安全 scikit-learn web3.py numpy
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y473158Yansu/article/details/133916047
版权
文章介绍了Jackson库在Java中进行对象序列化和反序列化的过程,包括ObjectMapper的使用方法,如何处理多态问题,以及DefaultTyping和@JsonTypeInfo注解在解决类型识别上的应用。同时提到了Jackson反序列化可能导致的安全漏洞,尤其是在使用默认类型设定或特定注解时。
摘要由CSDN通过智能技术生成

Jackson

Jackson是一个开源的Java序列化和反序列化工具,可以将Java对象序列化为XML或JSON格式的字符串,以及将XML或JSON格式的字符串反序列化为Java对象。由于其使用简单,速度较快,且不依靠除JDK外的其他库,被众多用户所使用。

依赖

com.fasterxml.jackson.core jackson-databind 2.7.9 com.fasterxml.jackson.core jackson-core 2.7.9 com.fasterxml.jackson.core jackson-annotations 2.7.9 # Jackson序列化与反序列化 Jackson提供了ObjectMapper.writeValueAsString()和ObjectMapper.readValue()两个方法来实现序列化和反序列化的功能。

POJO

package Jackson;

public class User {
private String username;
private String password;
public User() {
}

public User(String username, String password) {
    this.username = username;
    this.password = password;
}

public String getUsername() {
    return username;
}

public String getPassword() {
    return password;
}

public void setUsername(String username) {
    this.username = username;
}

public void setPassword(String password) {
    this.password = password;
}

}
测试

public class JacksonTest {
public static void main(String[] args) throws IOException {
User user = new User(“Sentiment”,“123456”);
ObjectMapper mapper = new ObjectMapper();
String json = mapper.writeValueAsString(user);
System.out.println(json);
User other = mapper.readValue(json,User.class);
System.out.println(other);
}
}
结果

{“username”:“Sentiment”,“password”:“123456”}
Jackson.User@67b6d4ae

多态问题

和fastjson的一样,需要解决多态的问题,比如:Apple是苹果还是苹果手机等,在fastjson中引入了@type字段来解决该问题

而在Jackson中也有与之对应的方法,Jackson实现了JacksonPolymorphicDeserialization机制来解决这个问题,有两种方法:DefaultTyping和@JsonTypeInfo注解。

DefaultTyping

Jackson提供一个enableDefaultTyping设置,其包含4个值,在com.fasterxml.jackson.databind.ObjectMapper.DefaultTyping能看到

JAVA_LANG_OBJECT
OBJECT_AND_NON_CONCRETE
NON_CONCRETE_AND_ARRAYS
NON_FINAL
默认情况下,即无参数的enableDefault

最低0.47元/天 解锁文章
喜欢挖漏洞的小夏同学
关注
[JAVA安全]JACKSON反序列化
snowlyzz的博客
01-28 2086
JACKSON反序列化原理
Jackson反序列化
Finlinlts的博客
10-01 5619
jackson介绍 Jackson是一个能够将java对象序列化为JSON字符串,也能够将JSON字符串反序列化java对象的框架。是基于Java平台的一套数据处理工具,被称为”最好的Java Json解析器”。它可以使我们高效、简便的处理json字符串。 序列化 序列化函数为databind.ObjectMapper。 当Jackson开启某些配置时,会允许开发者在反序列化时指定要还原的类,过程中调用其构造方法setter方法或某些特殊的getter方法,当这些方法中存在一些危险...
[Java反序列化]—Jackson反序列化
Sentiment的博客
11-12 6717
DefaultTyping类型描述说明属性的类型为Object属性的类型为Object、Interface、AbstractClass属性的类型为Object、Interface、AbstractClass、ArrayNON_FINAL所有除了声明为final之外的属性其实原理上很简单,就是在Jackson进行反序列化时执行了构造器和setter方法,造成恶意代码执行,但其实这种方式也只是本地调试了解原理用,并不适合作为实际攻击方式,真正的攻击还要看其它Jackson的调用链。
Jackson之JSON序列化和多态反序列化
IT- 研究者
07-19 7122
SerDe是Serialize/Deserilize的简称,目的是用于序列化和反序列化。 一、Jackson之序列化和反序列化 JSON作为一种轻量级的数据交换格式,其清晰和简洁的结构能够轻松地与Java对象产生映射关系。Java开发中常常使用Jackson对JSON文本格式进行序列化和反序列化: 序列化:是指将Java对象转换成Json文件或者Json字符串; 反序列化:是指将Json文件或者Json字符串转换成Java对象。 例如,有如下定义的java的bean: public cl.
使用Jackson库进行JSON序列化和反序列化
最新发布
weixin_66196770的博客
02-16 2641
JSON序列化是将Java对象转换为JSON字符串的过程。在JSON序列化过程中,Java对象的属性将被转换为JSON对象的键值对,如果Java对象包含其他Java对象或集合,这些嵌套对象也会被转换为嵌套的JSON对象和JSON数组。JSON反序列化是将JSON字符串转换为Java对象的过程。在JSON反序列化过程中,JSON对象的键值对将被转换为Java对象的属性,如果JSON对象包含其他JSON对象或JSON数组,这些嵌套的JSON也会被转换为嵌套的Java对象和Java集合。
jackson json序列化,反序列化所需jar包
12-08
JacksonJava领域中广泛使用的JSON处理库,它提供了高效的JSON序列化和反序列化功能。在Java应用程序中,我们经常需要将Java对象转换为JSON字符串(序列化)或从JSON字符串恢复Java对象(反序列化),Jackson库就是...
SpringBoot2.0整合jackson配置日期格式化和反序列化的实现
08-26
"SpringBoot2.0整合jackson配置日期格式化和反序列化的实现" SpringBoot2.0整合jackson配置日期格式化和反序列化的实现是指在SpringBoot2.0项目中整合jackson库来实现日期格式化和反序列化的功能。日期格式化是指...
实例解析Json反序列化之ObjectMapper(自定义实现反序列化方法)
10-19
通过自定义反序列化方法,我们可以灵活地处理各种复杂的数据映射需求,将JSON数据准确无误地转换成Java对象,以供后端业务逻辑处理。这一过程不仅涉及到Java反射机制的运用,同时也需要对JSON格式有深入的理解。对于...
使用fasterxml.jackson反序列化json串
01-20
本篇将详细介绍如何使用fasterxml.jackson库来反序列化JSON字符串,并解决反序列化过程中遇到的问题。 首先,我们来理解JSON和反序列化的基本概念。JSON(JavaScript Object Notation)是一种轻量级的数据交换格式...
jackson反序列化对象
xie_l的博客
05-30 610
Jackson解析json字符串是区分大小写的,如果对应的字段首字母为大写或者不好设置对应的类型,写出的get方法是获取不到json值的,那么这时候就需要添加@JsonProperty("name")注解来标注反序列化的是哪个字段。 如果反序列化的对象中包含对象或者集合,比如说Map,List等,这时候就需要自定义反序列化程序,代码如下所示: // 对象get方法 Class<?&...
Java下利用Jackson进行JSON解析和序列化
zzc1684的博客
09-15 1069
Java下常见的Json类库有Gson、JSON-lib和Jackson等,Jackson相对来说比较高效,在项目中主要使用Jackson进行JSON和Java对象转换,下面给出一些Jackson的JSON操作方法。 一、准备工作 首先去官网下载Jackson工具包,下载地址http://wiki.fasterxml.com/JacksonDownload。Jackson有1.x系列和2.x...
关于jackson反序列化
qq_38728337的博客
11-23 160
Jackson多态反序列化
Remember_Z的博客
11-15 1185
多态序列化与反序列化,主要是借助于Jackson的与注解实现,下面将通过几个例子来简述其运用。首先,创建几个基本的实体类。这些类都比较简单,有共同的属性也有不同的属性,这里为了简单,共同属性就只有一个type。
Jackson实现序列化和反序列化
热门推荐
wus_shang的博客
02-08 2万+
简介通俗的来说,Jackson是一个 Java 用来处理 JSON 格式数据的类库,其性能非常好。Jackson具有比较高的序列化和反序列化效率,据测试,无论是哪种形式的转换,Jackson > Gson > Json-lib,而且Jackson的处理能力甚至高出Json-lib近10倍左右,且正确性也十分高。使用Jackson提供了很多类和方法,而在序列化和反序列化中使用的最多的类则...
jackson反序列化之HashMap
fxtxz2的专栏
01-15 1322
解决 Map<String, User> users3 = mapper.readValue(json2, mapper.getTypeFactory().constructParametricType(HashMap.class, String.class, User.class)); 这样可以将String对象转成map。 参考 Jackson对泛型的序列化和反序列化方法汇总 ...
程序验证Jackson反序列化的规则、Jackson序列化与反序列化关键方法程序详细分析
jiayoudangdang的博客
11-11 4029
程序验证Jackson反序列化的规则 没有无参构造时: 如果有参构造的参数全,或者更多(就是有不存在的值),这样还能正常运行 如果参数不全则直接异常 无参构造和有参构造方法都有的时候先走无参构造; 无参构造需要set/get方法来完成序列化和反序列化 Jackson序列化与反序列化关键方法程序详细分析
Jackson实现json的序列化反序列化
怀揣梦想,永不止步.
11-03 598
package cn.veryjava.funny;import com.fasterxml.jackson.core.JsonProcessingException; import com.fasterxml.jackson.databind.ObjectMapper; import org.junit.Assert; import org.junit.Test;import java.io.IO
jackson反序列化
08-04
Jackson反序列化是指将JSON字符串转换为Java对象的过程。通过使用Jackson框架提供的JsonParser和ObjectMapper类,我们可以将JSON字符串解析为对应的Java对象。具体步骤如下: 1. 创建一个JsonParser对象,用于解析JSON字符串。 2. 使用JsonParser的readValueAs()方法,将JSON字符串转换为Java对象。 3. 可以通过指定Java对象的类型,或者使用泛型来指定转换的目标类型。 4. 如果JSON字符串中的属性与Java对象的属性名称不完全匹配,可以使用@JsonProperty注解来指定属性的映射关系。 5. 如果JSON字符串中包含了日期、时间等特殊格式的数据,可以使用@JsonFormat注解来指定日期格式化的方式。 总结起来,Jackson反序列化的过程就是将JSON字符串转换为Java对象的过程,通过使用JsonParser和ObjectMapper类,我们可以灵活地控制转换的过程,并处理一些特殊的数据格式。[1][2][3]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值