Hessian源码分析和Hack --让Hessian携带远程调用端的信息(下)

最新推荐文章于 2022-08-21 10:01:26 发布
最新推荐文章于 2022-08-21 10:01:26 发布
阅读量170 收藏
点赞数
分类专栏: 转载 分布式系统架构 RPC 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yanglinlin/article/details/84764280
版权

接着说Spring包装过的Hessian怎么来Hack。 
刚开始我以为只要改了hessian的源码,就可以了。其实不然,因为Spring通过了几层包装,让你不能得不到request对象。 
Spring里边hessian的入口是HessianServiceExporter这个类,主要方法有两个 

Java代码   收藏代码
  1. public void prepare() {  
  2.     HessianSkeleton skeleton = null;  
  3.   
  4.     try {  
  5.         try {  
  6.             // Try Hessian 3.x (with service interface argument).  
  7.             Constructor ctor = HessianSkeleton.class.getConstructor(new Class[] {Object.class, Class.class});  
  8.             checkService();  
  9.             checkServiceInterface();  
  10.             skeleton = (HessianSkeleton)  
  11.                     ctor.newInstance(new Object[] {getProxyForService(), getServiceInterface()});  
  12.         }  
  13.         catch (NoSuchMethodException ex) {  
  14.             // Fall back to Hessian 2.x (without service interface argument).  
  15.             Constructor ctor = HessianSkeleton.class.getConstructor(new Class[] {Object.class});  
  16.             skeleton = (HessianSkeleton) ctor.newInstance(new Object[] {getProxyForService()});  
  17.         }  
  18.     }  
  19.     catch (Throwable ex) {  
  20.         throw new BeanInitializationException("Hessian skeleton initialization failed", ex);  
  21.     }  
  22.   
  23.     if (hessian2Available) {  
  24.         // Hessian 2 (version 3.0.20+).  
  25.         this.skeletonInvoker = new Hessian2SkeletonInvoker(skeleton, this.serializerFactory);  
  26.     }  
  27.     else {  
  28.         // Hessian 1 (version 3.0.19-).  
  29.         this.skeletonInvoker = new Hessian1SkeletonInvoker(skeleton, this.serializerFactory);  
  30.     }  
  31. }  
  32.   
  33.   
  34. /** 
  35.  * Processes the incoming Hessian request and creates a Hessian response. 
  36.  */  
  37. public void handleRequest(HttpServletRequest request, HttpServletResponse response)  
  38.         throws ServletException, IOException {  
  39.   
  40.     Assert.notNull(this.skeletonInvoker, "HessianServiceExporter has not been initialized");  
  41.             if (!"POST".equals(request.getMethod())) {  
  42.         throw new HttpRequestMethodNotSupportedException(  
  43.                 "POST""HessianServiceExporter only supports POST requests");  
  44.     }  
  45.   
  46.     try {  
  47.       this.skeletonInvoker.invoke(request.getInputStream(), response.getOutputStream());  
  48.     }  
  49.     catch (Throwable ex) {  
  50.       throw new NestedServletException("Hessian skeleton invocation failed", ex);  
  51.     }finally{  
  52.         ServiceContext.end();  
  53.     }  
  54. }  



prepare()方法是在Spring环境加载的时候执行的,用来初始化Hessian的HessianSkeleton并包装成Spring自己的Hessian2SkeletonInvoker。 
handleRequest()方法是每次远程调用的入口,里边的这个方法执行后续hessian的解析流程 

Java代码   收藏代码
  1. this.skeletonInvoker.invoke(request.getInputStream(), response.getOutputStream());  


skeletonInvoker也就是prepare里初始化的Hessian2SkeletonInvoker,跟进去看看先 

Java代码   收藏代码
  1. class Hessian2SkeletonInvoker extends HessianSkeletonInvoker {  
  2.   
  3.     public Hessian2SkeletonInvoker(HessianSkeleton skeleton, SerializerFactory serializerFactory) {  
  4.         super(skeleton, serializerFactory);  
  5.     }  
  6.   
  7.     public void invoke(InputStream inputStream, OutputStream outputStream) throws Throwable {  
  8.         Hessian2Input in = new Hessian2Input(inputStream);  
  9.         if (this.serializerFactory != null) {  
  10.             in.setSerializerFactory(this.serializerFactory);  
  11.         }  
  12.   
  13.         int code = in.read();  
  14.         if (code != 'c') {  
  15.             throw new IOException("expected 'c' in hessian input at " + code);  
  16.         }  
  17.   
  18.         AbstractHessianOutput out = null;  
  19.         int major = in.read();  
  20.         int minor = in.read();  
  21.         if (major >= 2) {  
  22.             out = new Hessian2Output(outputStream);  
  23.         }  
  24.         else {  
  25.             out = new HessianOutput(outputStream);  
  26.         }  
  27.         if (this.serializerFactory != null) {  
  28.             out.setSerializerFactory(this.serializerFactory);  
  29.         }  
  30.   
  31.         this.skeleton.invoke(in, out);  
  32.     }  
  33.   
  34. }  


Hessian2SkeletonInvoker的构造函数进行父类的初始化,也就是初始化了最重要的HessianSkeleton 
再看invoke()方法,是不是有点眼熟,对了,这就是hessian源代码里边的以部分代码,用来包装输入输入流为Hessian自己的Hessian2Input 等,然后判断开头的字节是否正确,以及确定HessianOutput的版本。这些都是解析输入流里边的字节标志位来实现的。 在方法的最后调用了

Java代码   收藏代码
  1. this.skeleton.invoke(in, out);  

,也就是把控制权交给了Hessian来处理,这样后续的工作就是Hessian中完成。但是这样就ok了吗?慢着,我们是不是漏了点什么? 对,那个ServiceContext上下文。因为Hessian是在自己的入口Servlet中生成上下文的,但是Spring并没有生成这个东西。所以,我在这里自己生成了它,唯一一个能够生成的地方就在Spring的HessianServiceExporter的handleRequest()里边,只有在这里才有request对象。因此我把handleRequest()方法中加了一句ServiceContext.begin(request, null, null);然后在finally里边加了一句ServiceContext.end(); 
代码如下: 

Java代码   收藏代码
  1. public void handleRequest(HttpServletRequest request, HttpServletResponse response)  
  2.         throws ServletException, IOException {  
  3.   
  4.     Assert.notNull(this.skeletonInvoker, "HessianServiceExporter has not been initialized");  
  5.     ServiceContext.begin(request, nullnull);  
  6.     if (!"POST".equals(request.getMethod())) {  
  7.         throw new HttpRequestMethodNotSupportedException(  
  8.                 "POST""HessianServiceExporter only supports POST requests");  
  9.     }  
  10.   
  11.     try {  
  12.       this.skeletonInvoker.invoke(request.getInputStream(), response.getOutputStream());  
  13.     }  
  14.     catch (Throwable ex) {  
  15.       throw new NestedServletException("Hessian skeleton invocation failed", ex);  
  16.     }finally{  
  17.         ServiceContext.end();  
  18.     }  
  19. }  



ServiceContext.begin()方法生成一个ThreadLocal对象,ServiceContext.end()则释放它里边的上下文。 
加了这个地方,就可以用上面的hessian源码进行剩余操作了 

yanglinlin
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HessianServiceExporter only supports POST requests异常
weishuwei
05-12 581
服务端配置: web.xml配置: xml 代码   <servlet>       <servlet-name>remote</servlet-name>       <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-...
Hessian源码分析Hack --让Hessian携带远程调用端的信息
只要相信,期待就会成真!
12-01 95
项目选定Hessian作为web service的实现方式,确实很轻量级,速度就跟直接用socket差不多,全是二进制传送节约了不少开销。但是在使用过程中有业务需要是必须获得远程端的ip地址,主机名等信息的。翻便Hessian的文档和google了n次未果,迫不得已到caucho和spring论坛去问,都没有得到答复。今天心一横把hessian的源代码加入到项目中单步跟踪,总算有点小收获。献丑分享...
java hessian spring_SpringMVC集成Hessian
weixin_36350504的博客
03-06 96
SpringMVC集成Hessian首先强调这里是SpringMVC,不是Spring,这两者在集成Hessian的时候还是有差别的。Spring集成相对简单,网上随便搜一个就行。SpringMVC有点麻烦。注:如果你还不了解Hessian,可以看Hessian简单示例前提条件假设你的SpringMVC环境已经配置了好了。主要是在web.xml中有了如下的配置:sysorg.springframe...
分布式.RPC调用-RMI & Hessian框架
记录 分享 成就
08-21 710
Java RMI 指的是远程方法调用 (Remote Method Invocation)。它是一种机制,能够让在某个 Java 虚拟机上的对象调用另一个 Java 虚拟机中的对象上的方法。可以用此方法调用的任何对象必须实现该远程接口。这个是两个java虚拟机之间的调用,所以对程序有要求。客户端调用服务器的接口时必须在本地有个服务器发布的接口(Interface)。特点:效率较快(比Socket慢),只能有Java实现,传输二级制数据,基于应用层HTTP协议的技术。
Hessian源码分析Hack.doc
最新发布
09-14
但是在使用过程中有业务需要是必须获得远程端的ip地址,主机名等信息的。翻便Hessian的文档和google了n次未果,迫不得已到caucho和spring论坛去问,都没有得到答复。今天心一横把hessian的源代码加入到项目中单步...
hessian-lite-3.2.1-fixed-2.jar
01-18
com.alibaba:hessian-lite:jar:3.2.1-fixed-2 hessian-lite hessian-lite-3.2.1-fixed-2.jar
hessian-4.0.63-API文档-中英对照版.zip
05-02
赠送Maven依赖信息文件:hessian-4.0.63.pom; 包含翻译后的API文档:hessian-4.0.63-javadoc-API文档-中文(简体)-英语-对照版.zip; Maven坐标:com.caucho:hessian:4.0.63; 标签:hessian、caucho、jar包、java、...
hessian-4.0.63-API文档-中文版.zip
05-07
赠送Maven依赖信息文件:hessian-4.0.63.pom; 包含翻译后的API文档:hessian-4.0.63-javadoc-API文档-中文(简体)版.zip; Maven坐标:com.caucho:hessian:4.0.63; 标签:hessian、caucho、jar包、java、中文文档;...
Spring使用Hessian实现远程调用
weixin_34186128的博客
05-11 218
2019独角兽企业重金招聘Python工程师标准>>> ...
Hessian调用
08-07
NULL 博文链接:https://zxw961346704.iteye.com/blog/2103951
Hessian解析及应用(整合Spring)
weixin_34072637的博客
11-27 179
        Hessian是一个轻量级的remoting onhttp工具,使用简单的方法提供了RMI的功能。 相比WebService,Hessian更简单、快捷。------来自百度百科。         看官网简介吧:http://hessian.caucho.com/index.xtp         The Hessian binary web service protocol ...
hessian c java_hessian 使用异常处理
weixin_30369183的博客
02-12 542
版本:spring 3.2 +hessian4.0.37异常一:hessian 只能使用post调用!HTTP Status 405 - HessianServiceExporter only supports POST requeststypeStatus reportmessageHessianServiceExporter only supports POST requestsdescr...
PHP调用Javahessian接口报错:Expected 'H'/'C' (Hessian 2.0) or 'c' (Hessian 1.0) in hessian input at -1
qq_32791023的博客
08-10 1597
出错提示: Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception [Hessian skeleton invocation failed; nested exception is java.io.IOException: Expected 'H'/'C' (Hessia...
hessian 问题与解决 是否很快捷
yang576017120的专栏
05-30 418
前几天用hessian发布接口的时候,老是报类似与下面的这种错误 Exception in thread "main" com.caucho.hessian.client.HessianRuntimeException: com.caucho.hessian.io.HessianProtocolException: '6' is an unknown class definition at c...
Hessian的使用以及理解
热门推荐
绝望的生鱼片
06-30 5万+
Hessian的使用以及理解 Hessian版本:3.1.5 将包括如下的内容: Hessian的基本使用 Hessian的原理 Hessian和Spring 的结合使用 扩展 简单说来,Hessian是一个轻量级的RPC框架(RPC是什么?请参考这里)。它基于HTTP协议传输,使用Hessian二进制序列化,对于数据包比较大的情况比较友好。但是它的参数和返回值都需要实现Serializable接口
Hessian的入门
u011186019的专栏
04-06 1464
jar包hessian 4.0.38 一、基于servlet的配置 1、需要创建一个接口 package com.yaoxun.spring4.hessian; /** * 测试Hessian服务接口 * @author Loren * */ public interface HelloService { /** * 说 * @param name */ publ
SpringMVC集成Hessian
偶尔记一下 - mybatis.io
04-14 3万+
SpringMVC集成Hessian首先强调这里是SpringMVC,不是Spring,这两者在集成Hessian的时候还是有差别的。Spring集成相对简单,网上随便搜一个就行。SpringMVC有点麻烦。前提条件假设你的SpringMVC环境已经配置了好了。主要是在web.xml中有了如下的配置:<servlet> <!-- 名字随便,和你springmvc的配置xml一致即可 -->
hessian-affine检测器
06-07
Hessian-Affine检测器是一种用于在图像中检测局部特征的算法。该算法的基本思想是通过计算图像的...Hessian-Affine检测器在计算速度和稳定性方面都有很好的表现,因此在计算机视觉和图像处理领域得到了广泛应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值