JDK反序列化時修改類全限定性名的示例分析

小編給大家分享一下JDK反序列化時修改類全限定性名的示例分析,希望大家閱讀完這篇文章之后都有所收獲,下面讓我們一起去探討吧!

創(chuàng)新互聯(lián)公司專業(yè)為企業(yè)提供松陽網(wǎng)站建設(shè)、松陽做網(wǎng)站、松陽網(wǎng)站設(shè)計、松陽網(wǎng)站制作等企業(yè)網(wǎng)站建設(shè)、網(wǎng)頁設(shè)計與制作、松陽企業(yè)網(wǎng)站模板建站服務(wù),十多年松陽做網(wǎng)站經(jīng)驗,不只是建網(wǎng)站,更提供有價值的思路和整體網(wǎng)絡(luò)服務(wù)。

應(yīng)用場景

SpringSecurityOAuth3有一個奇葩的設(shè)計,那就是它將與access_token相關(guān)的所有屬于都封裝到OAuth3AccessToken中,然后保存時會直接將該對象序列化成字節(jié)寫入數(shù)據(jù)庫。我們在資源服務(wù)器中想要直接讀數(shù)據(jù)庫來取出access_token來驗證令牌的有效性,然而又不想引入SpringSecurity的相關(guān)依賴污染jar包。這時可以將SpringSecurity中OAuth3AccessToken的唯一實現(xiàn)類DefaultOAuth3AccessToken的源碼copy到我們的項目中,然后通過JDBC讀取byte[],通過JDK自帶的反序列化機(jī)制來還原DefaultOAuth3AccessToken對象。這時就會遇到問題,即原來的OAuth3AccessToken所在包是以org.springframework.security開頭的,而我們copy過來源碼后,包名是以我們自己定義的包cn.com.XXXX開頭的,這樣在反序列化時,即使兩個類的字段完全一樣,但由于字節(jié)流中存儲的類信息的全限定性名不同,也會導(dǎo)致反序列化失敗。

解決方案

我們可以定義子類繼承JDK的ObjectInputStream,然后重寫readClassDescriptor()方法:

@Override
    protected ObjectStreamClass readClassDescriptor() throws IOException, ClassNotFoundException {
	ObjectStreamClass read = super.readClassDescriptor();
	if (read.getName().startsWith("原包名")) {
		Class type = Class.forName(read.getName().replace("新包名"));
		return ObjectStreamClass.lookup(type);
	}
	return read;
}

這樣在反序列化時就不會報錯了。原理并不復(fù)雜,其實就是在解析字節(jié)流時,將解析后應(yīng)為org.springframework.security.oauth3.common.DefautOAuthToken的class,替換成了我們自己copy過來源碼的cn.com.XXXXXX.DefaultOAuthToken從而達(dá)到”欺騙”的目的。在該場景下,我們就可以做到在資源提供方不引入SpringSecurity框架而只使用SpringSecurityOAuth3的授權(quán)服務(wù)。資源提供方直接讀數(shù)據(jù)庫來驗證令牌的有效性,而不是向授權(quán)服務(wù)查詢。

看完了這篇文章,相信你對“JDK反序列化時修改類全限定性名的示例分析”有了一定的了解,如果想了解更多相關(guān)知識,歡迎關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道,感謝各位的閱讀!

新聞名稱:JDK反序列化時修改類全限定性名的示例分析
文章出自:http://bm7419.com/article44/goegee.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供商城網(wǎng)站、網(wǎng)站設(shè)計公司靜態(tài)網(wǎng)站、服務(wù)器托管、小程序開發(fā)營銷型網(wǎng)站建設(shè)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

網(wǎng)站優(yōu)化排名