阿里巴巴fastjson的使用問題

最近項目里用到了阿里巴巴的fastjson工具，遇到一些問題，記錄分享一下

github說明：

fastjson是阿里巴巴的開源JSON解析庫，它可以解析JSON格式的字符串，支持將Java Bean序列化為JSON字符串，也可以從JSON字符串反序列化到JavaBean。

使用：

添加maven依賴

<dependency>
    <groupId>com.alibaba</groupId>
    <artifactId>fastjson</artifactId>
    <version>1.2.54</version>
</dependency>

API使用

String text = JSON.toJSONString(obj); //序列化
VO vo = JSON.parseObject("{...}", VO.class); //反序列化

但有時候會出現

使用Redis 配置替換fastjson 反序列化報錯 com.alibaba.fastjson.JSONException: autoType is not support

解決方法是

在RedisSerializer<T>的實現類中添加白名單

//添加白名單
static {
    ParserConfig.getGlobalInstance().addAccept("com.glz.oauthmanager");
}

public class FastJsonRedisSerializer<T> implements RedisSerializer<T> {

    public static final Charset DEFAULT_CHARSET = Charset.forName("UTF-8");

    private Class<T> clazz;

    //添加白名單
    static {
        ParserConfig.getGlobalInstance().addAccept("com.glz.oauthmanager");
    }

    public FastJsonRedisSerializer(Class<T> clazz) {
        super();
        this.clazz = clazz;
    }

    @Override
    public byte[] serialize(T t) throws SerializationException {
        if (t == null) {
            return new byte[0];
        }
        return JSON.toJSONString(t, SerializerFeature.WriteClassName).getBytes(DEFAULT_CHARSET);
    }

    @Override
    public T deserialize(byte[] bytes) throws SerializationException {
        if (bytes == null || bytes.length <= 0) {
            return null;
        }
        String str = new String(bytes, DEFAULT_CHARSET);
        return (T) JSON.parseObject(str, clazz);
    }

}

如果還是不行，官方還有其他解決辦法

1. 在代碼中配置

ParserConfig.getGlobalInstance().addAccept("com.taobao.pac.client.sdk.dataobject."); 

如果有多個包名前綴，分多次addAccept

2. 加上JVM啟動參數

    -Dfastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao. 

如果有多個包名前綴，用逗號隔開

3. 通過fastjson.properties文件配置。

在1.2.25/1.2.26版本支持通過類路徑的fastjson.properties文件來配置，配置方式如下：

fastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao. // 如果有多個包名前綴，用逗號隔開

二、打開autotype功能

如果通過配置白名單解決不了問題，可以選擇繼續打開autotype功能，fastjson在新版本中內置了多重防護，但是還是可能會存在一定風險。兩種方法打開autotype，二選一，如下：

1、JVM啟動參數

-Dfastjson.parser.autoTypeSupport=true

2、代碼中設置

ParserConfig.getGlobalInstance().setAutoTypeSupport(true); 

如果有使用非全局ParserConfig則用另外調用setAutoTypeSupport(true)；