本文旨在阐明 `jackson2javatypemapper` 中配置受信任包的常见误区。许多开发者试图通过指定顶级包名来信任其所有子包,但这种做法是无效的。`jackson2javatypemapper` 要求明确指定每个需要信任的完整包路径,不支持通配符。文章将详细解释其工作原理,并提供正确的配置方法,以确保安全高效地处理序列化和反序列化。
理解 Jackson2JavaTypeMapper 的安全机制
在基于 Spring 框架和 Jackson 库进行消息序列化与反序列化时,Jackson2JavaTypeMapper 扮演着关键角色。为了防止恶意反序列化攻击(Deserialization Vulnerabilities),它引入了“受信任包”的概念。当尝试反序列化一个对象时,Jackson2JavaTypeMapper 会检查该对象的类是否属于预先配置的受信任包或类列表。如果不在列表中,则会抛出 IllegalArgumentException,拒绝反序列化。
受信任包配置的常见误区
开发者在配置受信任包时,常会遇到一个误区:期望通过添加一个顶级包名(例如 com.domain)来自动信任该包及其下的所有子包(例如 com.domain.service.dto.name)。然而,Jackson2JavaTypeMapper 的 addTrustedPackages() 方法并非这样工作。
考虑以下代码片段:
if (javaTypeMapper instanceof DefaultJackson2JavaTypeMapper) {
DefaultJackson2JavaTypeMapper defaultMapper = (DefaultJackson2JavaTypeMapper) javaTypeMapper;
defaultMapper.addTrustedPackages("com.domain");
}当尝试反序列化一个位于 com.domain.service.dto.name 包下的 SomeDto 类时,系统会抛出类似如下的异常:
立即学习“Java免费学习笔记(深入)”;
java.lang.IllegalArgumentException: The class 'com.domain.service.dto.name.SomeDto' is not in the trusted packages: [java.util, java.lang, com.domain]. If you believe this class is safe to deserialize, please provide its name. If the serialization is only done by a trusted source, you can also enable trust all (*).
从异常信息中可以看出,Jackson2JavaTypeMapper 仅仅将 com.domain 视为一个独立的、完整的包名,而不是一个通配符或前缀。因此,com.domain.service.dto.name.SomeDto 并不被认为是 com.domain 包的一部分。
OEmarry婚庆商家电子商务网站系统(又名:OEmarry婚嫁O2O电商平台系统)是O.E研发团队继OElove婚恋网站产品发布之后经长期的深入调研策划后,根据婚庆行业客户实际应用需求而提供的一套以满足企业级(OEPHP MVC架构)大型数据架构及大规模运营需求的解决方案,该系统的集商家展示点评、O2O团购、垂直搜索、分类导行、本地信息、优惠券、商家活动、在线购物、微信营销、广告管理、手机app
正确配置受信任包的方法
Jackson2JavaTypeMapper 的 addTrustedPackages() 方法要求提供完整且精确的包名。它不支持使用通配符(如 *)来匹配子包。如果需要信任某个根包下的所有子包,必须显式地列出所有这些子包的完整路径。
例如,如果您需要信任 com.domain.service.dto.name 和 com.domain.another.subpackage 这两个包,您需要这样配置:
import org.springframework.amqp.support.converter.DefaultJackson2JavaTypeMapper;
public class MyMessageConverterConfig {
public void configureTrustedPackages(DefaultJackson2JavaTypeMapper javaTypeMapper) {
// 错误示例:无法信任子包
// javaTypeMapper.addTrustedPackages("com.domain");
// 正确示例:明确指定每个完整的包路径
javaTypeMapper.addTrustedPackages(
"com.domain.service.dto.name",
"com.domain.another.subpackage",
"com.domain.model" // 假设还有其他需要信任的包
);
// 或者,如果只需要信任某个特定的类,可以直接指定其全限定名
// javaTypeMapper.addTrustedPackages("com.domain.service.dto.name.SpecificDtoClass");
}
}注意事项:
- 粒度控制: 这种设计提供了更细粒度的控制,增强了安全性。您只信任您明确允许的类或包,而不是广撒网。
- 维护成本: 如果您的项目包含大量子包,并且这些包下的类都需要被反序列化,那么手动列出所有包可能会增加配置的复杂性和维护成本。在这种情况下,需要权衡安全性和便利性。
- *信任所有 (`):** 异常信息中也提到了“enable trust all ()”。这意味着如果您绝对信任消息来源,并且能够确保不会有恶意载荷,可以通过javaTypeMapper.addTrustedPackages("")` 来信任所有包。然而,这会极大地降低安全性,应谨慎使用。 在生产环境中,除非有非常明确的安全策略和控制措施,否则不建议使用此选项。
- Spring Boot 自动配置: 在 Spring Boot 应用中,通常会通过 spring.jackson.deserialization.whitelisted-packages 或 spring.amqp.deserialization.white-list-packages 等属性进行配置,其底层逻辑与 addTrustedPackages 保持一致,同样要求提供完整的包名。
总结
Jackson2JavaTypeMapper 在处理受信任包时,要求提供精确的、全限定的包名,不支持通配符来匹配子包。理解这一机制对于正确配置反序列化安全至关重要。开发者应根据实际需求,显式列出所有需要信任的包路径或类名,以在保证系统安全的同时,实现预期的反序列化功能。在任何情况下,都应避免盲目信任所有包,以防范潜在的安全风险。
