1、前言
最近升級SpringBoot,從2.1.6版本升級到2.2.6版本,發現enableDefaultTyping方法過期過期了。
該方法是指定序列化輸入的類型,就是將數據庫里的數據安裝一定類型存儲到redis緩存中。
2、為什么要指定序列化輸入類型
2.1、沒有指定序列化輸入類型
如果注釋掉enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL),那存儲到redis里的數據將是沒有類型的純json,我們調用redis API獲取到數據后,java解析將是一個LinkHashMap類型的key-value的數據結構,我們需要使用的話就要自行解析,這樣增加了編程的復雜度。
[{"id":72,"uuid":"c4d7fc52-4096-4c79-81ef-32cb1b87fd28","type":2}]
2.2、指定序列化輸入類型
指定enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL)的話,存儲到redis里的數據將是有類型的json數據,例如:
["java.util.ArrayList",[{"@class":"com.model.app","id":72,"uuid":"c4d7fc52-4096-4c79-81ef-32cb1b87fd28","type":2}]]
這樣java獲取到數據后,將會將數據自動轉化為java.util.ArrayList和com.model.app,方便直接使用。
3、enableDefaultTyping過期怎么解決
3.1 查找函數接口
查看enableDefaultTyping內部實現
-
/** @deprecated */
-
@Deprecated
-
public ObjectMapper enableDefaultTyping(ObjectMapper.DefaultTyping dti) {
-
return this.enableDefaultTyping(dti, As.WRAPPER_ARRAY);
-
}
查看enableDefaultTyping內部實現
-
/** @deprecated */
-
@Deprecated
-
public ObjectMapper enableDefaultTyping(ObjectMapper.DefaultTyping applicability, As includeAs) {
-
return this.activateDefaultTyping(this.getPolymorphicTypeValidator(), applicability, includeAs);
-
}
查看activateDefaultTyping內部實現
-
public ObjectMapper activateDefaultTyping(PolymorphicTypeValidator ptv, ObjectMapper.DefaultTyping applicability, As includeAs) {
-
if (includeAs == As.EXTERNAL_PROPERTY) {
-
throw new IllegalArgumentException("Cannot use includeAs of " + includeAs);
-
} else {
-
TypeResolverBuilder <?> typer = this._constructDefaultTypeResolverBuilder(applicability, ptv);
-
typer = typer.init(Id.CLASS, (TypeIdResolver)null);
-
typer = typer.inclusion(includeAs);
-
return this.setDefaultTyping(typer);
-
}
-
}
這里我們可以直接調用activateDefaultTyping方法了,從而不用調用過期的enableDefaultTyping方法。
再看activateDefaultTyping的參數默認是哪些呢?代碼里有這樣一個靜態初始化:
-
static {
-
DEFAULT_BASE = new BaseSettings((ClassIntrospector)null, DEFAULT_ANNOTATION_INTROSPECTOR, (PropertyNamingStrategy)null, TypeFactory.defaultInstance(), (TypeResolverBuilder)null, StdDateFormat.instance, (HandlerInstantiator)null, Locale.getDefault(), (TimeZone)null, Base64Variants.getDefaultVariant(), LaissezFaireSubTypeValidator.instance);
-
}
3.2 解決
從而我們知道,默認的參數有哪些,
ObjectMapper objectMapper = new ObjectMapper();
objectMapper.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY);
//objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
objectMapper.activateDefaultTyping(
LaissezFaireSubTypeValidator.instance ,
ObjectMapper.DefaultTyping.NON_FINAL,
JsonTypeInfo.As.WRAPPER_ARRAY);
jackson2JsonRedisSerializer.setObjectMapper(objectMapper);
4 DefaultTyping 類型定義
如果想知道詳細的說明,大家google去吧:
-
public static enum DefaultTyping {
-
JAVA_LANG_OBJECT,
-
OBJECT_AND_NON_CONCRETE,
-
NON_CONCRETE_AND_ARRAYS,
-
NON_FINAL,
-
EVERYTHING;
-
private DefaultTyping() {
-
}
-
}
DefaultTyping有四個選項:
JAVA_LANG_OBJECT: 當對象屬性類型為Object時生效;
OBJECT_AND_NON_CONCRETE: 當對象屬性類型為Object或者非具體類型(抽象類和接口)時生效;
NON_CONCRETE_AND+_ARRAYS: 同上, 另外所有的數組元素的類型都是非具體類型或者對象類型;
NON_FINAL: 對所有非final類型或者非final類型元素的數組。
因此,當開啟DefaultTyping后,會開發者在反序列化時指定要還原的類,過程中調用其構造方法setter方法或某些特殊的getter方法,當這些方法中存在一些危險操作時就造成了代碼執行。
下面其實可以分別看看這四個值的作用是什么。
4.1、JAVA_LANG_OBJECT
JAVA_LANG_OBJECT :當類里的屬性聲明為一個Object時,會對該屬性進行序列化和反序列化,並且明確規定類名。(當然,這個Object本身也得是一個可被序列化/反序列化的類)。
例如下面的代碼,我們給 People 里添加一個 Object object 。
-
package com.l1nk3r.jackson;
-
import com.fasterxml.jackson.databind.ObjectMapper;
-
import java.io.IOException;
-
-
public class JavaLangObject {
-
public static void main(String args[]) throws IOException {
-
People p = new People();
-
p.age = 10;
-
p.name = "com.l1nk3r.jackson.l1nk3r";
-
p. object = new l1nk3r();
-
ObjectMapper mapper = new ObjectMapper();
-
mapper.enableDefaultTyping(ObjectMapper.DefaultTyping.JAVA_LANG_OBJECT);
-
String json = mapper.writeValueAsString(p);
-
System.out.println(json);
-
//{"age":10,"name":"com.l1nk3r.jackson.l1nk3r","object":["com.l1nk3r.jackson.l1nk3r",{"length":100}]}
-
People p2 = mapper.readValue(json, People. class);
-
System.out.println(p2);
-
//age= 10, name=com.l1nk3r.jackson.l1nk3r, com.l1nk3r.jackson.l1nk3r@4566e5bd
-
}
-
}
-
class People {
-
public int age;
-
public String name;
-
public Object object;
-
-
@Override
-
public String toString() {
-
return String.format("age=%d, name=%s, %s", age, name, object == null ? "null" : object);
-
}
-
}
-
class l1nk3r {
-
public int length = 100;
-
}
4.2、OBJECT_AND_NON_CONCRETE
所以按照上面的描述那么輸出的序列化json信息中應該攜帶了相關的類的信息,而在反序列化的時候自然會進行還原。
OBJECT_AND_NON_CONCRETE :除了上文 提到的特征,當類里有 Interface 、 AbstractClass 時,對其進行序列化和反序列化。(當然,這些類本身需要是合法的、可以被序列化/反序列化的對象)。
例如下面的代碼,這次我們添加名為 Sex 的 interface ,發現它被正確序列化、反序列化了,就是這個選項控制的。
-
package com.l1nk3r.jackson;
-
import com.fasterxml.jackson.databind.ObjectMapper;
-
import java.io.IOException;
-
-
public class JavaLangObject {
-
public static void main(String args[]) throws IOException {
-
People p = new People();
-
p.age = 10;
-
p.name = "com.l1nk3r.jackson.l1nk3r";
-
p.object = new l1nk3r();
-
p.sex= new MySex();
-
ObjectMapper mapper = new ObjectMapper();
-
mapper.enableDefaultTyping(ObjectMapper.DefaultTyping.OBJECT_AND_NON_CONCRETE);
-
String json = mapper.writeValueAsString(p);
-
System.out.println(json);
-
//{"age":10,"name":"com.l1nk3r.jackson.l1nk3r","object":["com.l1nk3r.jackson.l1nk3r",{"length":100}],"sex":["com.l1nk3r.jackson.MySex",{"sex":0}]}
-
People p2 = mapper.readValue(json, People.class);
-
System.out.println(p2);
-
//age= 10, name=com.l1nk3r.jackson.l1nk3r, com.l1nk3r.jackson.l1nk3r
-
}
-
}
-
class People {
-
public int age;
-
public String name;
-
public Object object;
-
public Sex sex;
-
-
-
public String toString() {
-
return String.format("age=%d, name=%s, %s", age, name, object == null ? "null" : object);
-
}
-
}
-
class l1nk3r {
-
public int length = 100;
-
}
-
class MySex implements Sex {
-
int sex;
-
-
-
public int getSex() {
-
return sex;
-
}
-
-
-
public void setSex(int sex) {
-
this.sex = sex;
-
}
-
}
-
-
interface Sex {
-
public void setSex(int sex);
-
public int getSex();
-
}
默認的、無參的 enableDefaultTyping 是 OBJECT_AND_NON_CONCRETE 。
4.3、NON_CONCRETE_AND_ARRAYS
NON_CONCRETE_AND_ARRAYS :除了上文提到的特征,還支持上文全部類型的Array類型。
例如下面的代碼,我們的Object里存放l1nk3r的數組。
-
package com.l1nk3r.jackson;
-
import com.fasterxml.jackson.databind.ObjectMapper;
-
import java.io.IOException;
-
-
public class JavaLangObject {
-
public static void main(String args[]) throws IOException {
-
People p = new People();
-
p.age = 10;
-
p.name = "com.l1nk3r.jackson.l1nk3r";
-
l1nk3r[] l1nk3rs= new l1nk3r[2];
-
l1nk3rs[ 0]=new l1nk3r();
-
l1nk3rs[ 1]=new l1nk3r();
-
p.object = l1nk3rs;
-
p.sex= new MySex();
-
ObjectMapper mapper = new ObjectMapper();
-
mapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_CONCRETE_AND_ARRAYS);
-
String json = mapper.writeValueAsString(p);
-
System.out.println(json);
-
//{"age":10,"name":"com.l1nk3r.jackson.l1nk3r","object":["[Lcom.l1nk3r.jackson.l1nk3r;",[{"length":100},{"length":100}]],"sex":["com.l1nk3r.jackson.MySex",{"sex":0}]}
-
People p2 = mapper.readValue(json, People.class);
-
System.out.println(p2);
-
//age= 10, name=com.l1nk3r.jackson.l1nk3r, [Lcom.l1nk3r.jackson.l1nk3r;@1e127982
-
}
-
}
-
class People {
-
public int age;
-
public String name;
-
public Object object;
-
public Sex sex;
-
-
-
public String toString() {
-
return String.format("age=%d, name=%s, %s", age, name, object == null ? "null" : object);
-
}
-
}
-
class l1nk3r {
-
public int length = 100;
-
}
-
class MySex implements Sex {
-
int sex;
-
-
-
public int getSex() {
-
return sex;
-
}
-
-
-
public void setSex(int sex) {
-
this.sex = sex;
-
}
-
}
-
-
interface Sex {
-
public void setSex(int sex);
-
-
public int getSex();
-
}
4.4、NON_FINAL
NON_FINAL :包括上文提到的所有特征,而且包含即將被序列化的類里的全部、非final的屬性,也就是相當於整個類、除final外的的屬性信息都需要被序列化和反序列化。
例如下面的代碼,添加了類型為l1nk3r的變量,非Object也非虛,但也可以被序列化出來。
-
package com.l1nk3r.jackson;
-
import com.fasterxml.jackson.databind.ObjectMapper;
-
import java.io.IOException;
-
-
public class JavaLangObject {
-
public static void main(String args[]) throws IOException {
-
People p = new People();
-
p.age = 10;
-
p.name = "l1nk3r";
-
p.object = new l1nk3r();
-
p.sex= new MySex();
-
p.l1nk3r= new l1nk3r();
-
ObjectMapper mapper = new ObjectMapper();
-
mapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL);
-
String json = mapper.writeValueAsString(p);
-
System.out.println(json);
-
//["com.l1nk3r.jackson.People",{"age":10,"name":"l1nk3r","object":["com.l1nk3r.jackson.l1nk3r",{"length":100}],"sex":["com.l1nk3r.jackson.MySex",{"sex":0}],"l1nk3r":["com.l1nk3r.jackson.l1nk3r",{"length":100}]}]
-
People p2 = mapper.readValue(json, People.class);
-
System.out.println(p2);
-
//age= 10, name=l1nk3r, com.l1nk3r.jackson.l1nk3r
-
}
-
}
-
class People {
-
public int age;
-
public String name;
-
public Object object;
-
public Sex sex;
-
public l1nk3r l1nk3r;
-
-
-
public String toString() {
-
return String.format("age=%d, name=%s, %s", age, name, object == null ? "null" : object, sex == null ? "null" : sex,
-
l1nk3r == null ? "null" : l1nk3r);
-
}
-
}
-
class l1nk3r {
-
public int length = 100;
-
}
-
class MySex implements Sex {
-
int sex;
-
-
-
public int getSex() {
-
return sex;
-
}
-
-
-
public void setSex(int sex) {
-
this.sex = sex;
-
}
-
}
-
-
interface Sex {
-
public void setSex(int sex);
-
-
public int getSex();
-
}
5 JsonTypeInfo注解
@JsonTypeInfo 也是jackson多態類型綁定的一種方式,它一共支持下面5種類型的取值。
-
@JsonTypeInfo(use = JsonTypeInfo.Id.NONE)
-
@JsonTypeInfo(use = JsonTypeInfo.Id.CLASS)
-
@JsonTypeInfo(use = JsonTypeInfo.Id.MINIMAL_CLASS)
-
@JsonTypeInfo(use = JsonTypeInfo.Id.NAME)
-
@JsonTypeInfo(use = JsonTypeInfo.Id.COSTOM)
下面使用一段測試代碼可以看看這五個類型的分別作用。
-
package com.l1nk3r.jackson;
-
import com.fasterxml.jackson.annotation.JsonTypeInfo;
-
import com.fasterxml.jackson.databind.ObjectMapper;
-
import java.io.IOException;
-
-
public class Jsontypeinfo {
-
public static void main(String[] args) throws IOException {
-
ObjectMapper mapper= new ObjectMapper();
-
User user = new User();
-
user.name= "l1nk3r";
-
user.age= 100;
-
user.obj= new Height();
-
String json = mapper.writeValueAsString(user);
-
System.out.println(json);
-
}
-
}
-
-
class User{
-
public String name;
-
public int age;
-
-
public Object obj;
-
-
public String toString(){
-
return "name:" + name + " age:" + age + " obj:" + obj;
-
}
-
}
-
-
class Height{
-
public int h = 100;
-
}
5.1、Id.NONE
這種方式的輸出結果實際上是我們最想要的,這里只需要相關參數的值,並沒有其他一些無用信息。
{"name":"l1nk3r","age":100,"obj":{"h":100}}
5.2、Id.CLASS
這種方式的輸出結果中攜帶了相關java類,也就是說反序列化的時候如果使用了JsonTypeInfo.Id.CLASS修飾的話,可以通過 @class 方式指定相關類,並進行相關調用。
{"name":"l1nk3r","age":100,"obj":{"@class":"com.l1nk3r.jackson.Height","h":100}}
5.3、Id.MINIMAL_CLASS
這種方式的輸出結果也攜帶了相關類,和 id.CLASS 的區別在 @class 變成了 @c ,從官方文檔中描述中這個應該是一個更短的類名字。同樣也就是說反序列化的時候如果使用了JsonTypeInfo.Id.MINIMAL_CLASS修飾的話,可以通過 @c 方式指定相關類,並進行相關調用。
{"name":"l1nk3r","age":100,"obj":{"@c":"com.l1nk3r.jackson.Height","h":100}}
5.4、Id.NAME
這種輸出方式沒有攜帶類名字,在反序列化時也是不可以利用的。
{"name":"l1nk3r","age":100,"obj":{"@type":"Height","h":100}}
5.5、Id.COSTOM
這個無法直接用,需要手寫一個解析器才可以配合使用,所以直接回拋出異常。
6、參考:
http://www.lmxspace.com/2019/07/30/Jackson-%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E6%B1%87%E6%80%BB/