应用层的东西,找到接口实现它即可。
如果想要自己选择序列化工具,难点还是在自动转型上,在序列化字符串转成对象的过程中,Spring并未提供有效的、带Class参数的接口,类型自动转换问题,需要第三方框架自行处理。
最好选用带自动转型的序列化框架,错误的写法,很容易导致类型强转失败,本文采用的是FastJSON。
简单的工具类,按自己需求封装,可以指定各种数据类型序列化格式。
/** * @author ChenSS * @date 2018年7月13日 v1 * 2019年10月16日 v2 优化日期 */ public class FastJsonUtils { public static final SerializeConfig serializeConfig; static { serializeConfig = new SerializeConfig(); FastJsonDateSerializer dateTimeSerializer = new FastJsonDateSerializer("yyyy-MM-dd HH:mm:ss"); serializeConfig.put(Date.class, dateTimeSerializer); serializeConfig.put(java.sql.Timestamp.class, dateTimeSerializer); serializeConfig.put(java.sql.Date.class, new FastJsonDateSerializer("yyyy-MM-dd")); serializeConfig.put(java.sql.Time.class, new FastJsonDateSerializer("HH:mm:ss")); // // 使用和json-lib兼容的日期输出格式 // config.put(java.util.Date.class, new JSONLibDataFormatSerializer()); // config.put(java.sql.Date.class, new JSONLibDataFormatSerializer()); } }
FastJson2JsonRedisSerializer
很多人写这个类,完全模仿Jackson的写法,其实没必要,明确自己的需求,保留最少的代码即可。
我泛型直接写Object,因为代码已经能够处理全部类型的数据了。
import cn.seaboot.common.core.FastJsonUtils; import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.serializer.SerializerFeature; import org.springframework.data.redis.serializer.RedisSerializer; import org.springframework.data.redis.serializer.SerializationException; import java.nio.charset.Charset; /** * @author Mr.css * @date 2020/1/2 11:24 */ public class FastJson2JsonRedisSerializer implements RedisSerializer<Object> { @Override public byte[] serialize(Object o) throws SerializationException { if (o == null) { return new byte[0]; } else { return JSON.toJSONString(o, FastJsonUtils.serializeConfig, SerializerFeature.WriteClassName).getBytes(Charset.defaultCharset()); } } @Override public Object deserialize(byte[] bytes) throws SerializationException { if (bytes == null || bytes.length <= 0) { return null; } else { return JSON.parse(new String(bytes, Charset.defaultCharset())); } } }
RedisConfig
如果在使用Cache注解的时候有写key的习惯,KeyGenerator 可以不需要配置,我这里把函数名和所有的参数拼在一起,做成默认的Key值。
import cn.seaboot.common.core.Converter; import com.alibaba.fastjson.parser.ParserConfig; import org.springframework.cache.CacheManager; import org.springframework.cache.annotation.CachingConfigurerSupport; import org.springframework.cache.annotation.EnableCaching; import org.springframework.cache.interceptor.KeyGenerator; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.data.redis.cache.RedisCacheConfiguration; import org.springframework.data.redis.cache.RedisCacheManager; import org.springframework.data.redis.cache.RedisCacheWriter; import org.springframework.data.redis.connection.lettuce.LettuceConnectionFactory; import org.springframework.data.redis.serializer.RedisSerializationContext; import javax.annotation.Resource; import java.time.Duration; /** * @author Mr.css on 2019/12/26 * @date 2019/12/31 */ @Configuration @EnableCaching public class RedisConfig extends CachingConfigurerSupport { @Resource private LettuceConnectionFactory lettuceConnectionFactory; /** * Cache注解可以不指定key,需要有默认策略,按需调整 */ @Bean @Override public KeyGenerator keyGenerator() { return (target, method, params) -> { StringBuilder sb = new StringBuilder(); sb.append(method.getName()); if(params.length > 0){ for (int i = 1; i < params.length; i++) { sb.append(Converter.toString(params[i])); } } return sb.toString(); }; } @Bean @Override public CacheManager cacheManager() { RedisCacheWriter redisCacheWriter = RedisCacheWriter.nonLockingRedisCacheWriter(lettuceConnectionFactory); FastJson2JsonRedisSerializer serializer = new FastJson2JsonRedisSerializer(); RedisSerializationContext.SerializationPair<Object> pair = RedisSerializationContext.SerializationPair.fromSerializer(serializer); RedisCacheConfiguration defaultCacheConfig = RedisCacheConfiguration.defaultCacheConfig().serializeValuesWith(pair); //设置过期时间 30天 defaultCacheConfig = defaultCacheConfig.entryTtl(Duration.ofDays(30)); //初始化RedisCacheManager RedisCacheManager cacheManager = new RedisCacheManager(redisCacheWriter, defaultCacheConfig); //反序列化白名单 ParserConfig.getGlobalInstance().addAccept("cn.seaboot.admin.bean."); return cacheManager; } }
yml
redis: host: 127.0.0.1 port: 6379 timeout: 1000 jedis: pool: min-idle: 1 max-idle: 8 max-wait: 5000
Maven
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-cache</artifactId> </dependency> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-data-redis</artifactId> </dependency>
补充
集成RedisCache,上面代码已经足够,这里介绍FastJSON的一些问题。
FastJSON自动转型的写法
public static void main(String[] args) { ParserConfig.getGlobalInstance().addAccept("cn.swsk.xbry.entity"); TUserInfoEntity entity = new TUserInfoEntity(); entity.setId("13123"); //使用 SerializerFeature.WriteClassName 可以让JSON自动转型 //不依赖 clazz 参数也达到 JSON.parseObject(String json, Class<T> clazz) 相同效果 String str = JSON.toJSONString(entity, SerializerFeature.WriteClassName); System.out.println(JSON.parse(str).getClass()); }
ParserConfig.getGlobalInstance()的必要性
FastJSON最初是没有白名单这个要求的,addAccept接口的设计源自于系统漏洞。
假设去除掉白名单的设计,在知道全类名的情况下,通过Http接口即可创建出系统的任何对象。
import com.alibaba.fastjson.JSON; import com.alibaba.fastjson.parser.ParserConfig; /** * @author Mr.css * @date 2020/1/6 */ public class Test { public static void main(String[] args) { //在没有 ParserConfig.getGlobalInstance() 的情况下,只要知道全类名,即可 new 出程序中任何一个对象 ParserConfig.getGlobalInstance().addAccept("cn.swsk.xbry.entity"); //下列这行代码,等效于Class.forName().newInstance() System.out.println(JSON.parse("{"@type":"cn.swsk.xbry.entity.TUserInfoEntity"}").getClass()); //因为设计原因,或者生产需求,或许你曾经改造过@RequestBody,如果是采用JSON.parse()方式实现的, //那么,要是没有白名单的设计,通过http请求即可攻击到系统内部 } }