快捷導(dǎo)航

JDK反序列化時修改類的全限定性名解析

更新時間：2017年12月20日 16:47:01 作者：司青

這篇文章主要介紹了JDK反序列化時修改類的全限定性名解析，具有一定借鑒價值，需要的朋友可以參考下。

應(yīng)用場景

SpringSecurityOAuth2有一個奇葩的設(shè)計(jì)，那就是它將與access_token相關(guān)的所有屬于都封裝到OAuth2AccessToken中，然后保存時會直接將該對象序列化成字節(jié)寫入數(shù)據(jù)庫。我們在資源服務(wù)器中想要直接讀數(shù)據(jù)庫來取出access_token來驗(yàn)證令牌的有效性，然而又不想引入SpringSecurity的相關(guān)依賴污染jar包。這時可以將SpringSecurity中OAuth2AccessToken的唯一實(shí)現(xiàn)類DefaultOAuth2AccessToken的源碼copy到我們的項(xiàng)目中，然后通過JDBC讀取byte[],通過JDK自帶的反序列化機(jī)制來還原DefaultOAuth2AccessToken對象。這時就會遇到問題，即原來的OAuth2AccessToken所在包是以org.springframework.security開頭的，而我們copy過來源碼后，包名是以我們自己定義的包c(diǎn)n.com.XXXX開頭的，這樣在反序列化時，即使兩個類的字段完全一樣，但由于字節(jié)流中存儲的類信息的全限定性名不同，也會導(dǎo)致反序列化失敗。

解決方案

我們可以定義子類繼承JDK的ObjectInputStream，然后重寫readClassDescriptor()方法：

@Override
    protected ObjectStreamClass readClassDescriptor() throws IOException, ClassNotFoundException {
	ObjectStreamClass read = super.readClassDescriptor();
	if (read.getName().startsWith("原包名")) {
		Class type = Class.forName(read.getName().replace("新包名"));
		return ObjectStreamClass.lookup(type);
	}
	return read;
}

這樣在反序列化時就不會報錯了。原理并不復(fù)雜，其實(shí)就是在解析字節(jié)流時，將解析后應(yīng)為org.springframework.security.oauth2.common.DefautOAuthToken的class，替換成了我們自己copy過來源碼的cn.com.XXXXXX.DefaultOAuthToken從而達(dá)到”欺騙”的目的。在該場景下，我們就可以做到在資源提供方不引入SpringSecurity框架而只使用SpringSecurityOAuth2的授權(quán)服務(wù)。資源提供方直接讀數(shù)據(jù)庫來驗(yàn)證令牌的有效性，而不是向授權(quán)服務(wù)查詢。

總結(jié)

以上就是本文關(guān)于JDK反序列化時修改類的全限定性名解析的全部內(nèi)容，希望對大家有所幫助。感興趣的朋友可以繼續(xù)參閱本站其它相關(guān)專題，如有不足之處，歡迎留言指出。感謝朋友們對本站的支持！

您可能感興趣的文章:

相關(guān)文章

java簡單讀取properties配置文件的方法示例
這篇文章主要介紹了java簡單讀取properties配置文件的方法,涉及java針對properties配置的載入及文件屬性讀取相關(guān)操作技巧,需要的朋友可以參考下
2017-09-09
精通Java泛型的使用與原理
針對利用繼承來實(shí)現(xiàn)通用程序設(shè)計(jì)所產(chǎn)生的問題，泛型提供了更好的解決方案，本文詳細(xì)的介紹了Java泛型的使用與原理，感興趣的可以了解一下
2022-03-03
Tomcat 實(shí)現(xiàn)WebSocket詳細(xì)介紹
這篇文章主要介紹了Tomcat 如何實(shí)現(xiàn)WebSocket的相關(guān)資料,對WebSocket協(xié)議通信的過程進(jìn)行了詳細(xì)介紹，需要的朋友可以參考下
2016-12-12
java中的常用集合類整理
本篇文章給大家?guī)淼膬?nèi)容是關(guān)于java中List集合及其實(shí)現(xiàn)類的方法介紹（附代碼），有一定的參考價值，有需要的朋友可以參考一下，希望對你有所幫助。下面我們就來學(xué)習(xí)一下吧,希望能給你帶來幫助
2021-06-06
完美解決Java中的線程安全問題
下面小編就為大家?guī)硪黄昝澜鉀QJava中的線程安全問題。小編覺得挺不錯的，現(xiàn)在就分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2017-08-08
java生成mvt切片的方法實(shí)現(xiàn)
本文主要介紹了java生成mvt切片的方法實(shí)現(xiàn)，文中通過示例代碼介紹的非常詳細(xì)，對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值，需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
2023-07-07
IDEA mybatis-generator逆向工程生成代碼
這篇文章主要介紹了IDEA mybatis-generator逆向工程生成代碼，小編覺得挺不錯的，現(xiàn)在分享給大家，也給大家做個參考。一起跟隨小編過來看看吧
2018-06-06
Springboot集成定時器和多線程異步處理操作
這篇文章主要介紹了Springboot集成定時器和多線程異步處理操作，具有很好的參考價值，希望對大家有所幫助。一起跟隨小編過來看看吧
2020-09-09
Java中IO流之字符流與字節(jié)流的轉(zhuǎn)換方式
在Java中,字節(jié)流與字符流是處理數(shù)據(jù)的兩種方式,字節(jié)流適用于處理各種數(shù)據(jù)類型,如圖片、音頻等非文本數(shù)據(jù),而字符流專門用于處理文本數(shù)據(jù),Java提供了InputStreamReader和OutputStreamWriter這兩個類來實(shí)現(xiàn)字節(jié)流向字符流的轉(zhuǎn)換
2024-10-10
Spring jndi數(shù)據(jù)源配置方法詳解
這篇文章主要為大家詳細(xì)介紹了Spring jndi數(shù)據(jù)源的配置方法，具有一定的參考價值，感興趣的小伙伴們可以參考一下解
2017-07-07