中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

JDK反序列化時修改類全限定性名的示例分析

發布時間:2021-07-23 09:17:55 來源:億速云 閱讀:127 作者:小新 欄目:編程語言

小編給大家分享一下JDK反序列化時修改類全限定性名的示例分析,希望大家閱讀完這篇文章之后都有所收獲,下面讓我們一起去探討吧!

應用場景

SpringSecurityOAuth3有一個奇葩的設計,那就是它將與access_token相關的所有屬于都封裝到OAuth3AccessToken中,然后保存時會直接將該對象序列化成字節寫入數據庫。我們在資源服務器中想要直接讀數據庫來取出access_token來驗證令牌的有效性,然而又不想引入SpringSecurity的相關依賴污染jar包。這時可以將SpringSecurity中OAuth3AccessToken的唯一實現類DefaultOAuth3AccessToken的源碼copy到我們的項目中,然后通過JDBC讀取byte[],通過JDK自帶的反序列化機制來還原DefaultOAuth3AccessToken對象。這時就會遇到問題,即原來的OAuth3AccessToken所在包是以org.springframework.security開頭的,而我們copy過來源碼后,包名是以我們自己定義的包cn.com.XXXX開頭的,這樣在反序列化時,即使兩個類的字段完全一樣,但由于字節流中存儲的類信息的全限定性名不同,也會導致反序列化失敗。

解決方案

我們可以定義子類繼承JDK的ObjectInputStream,然后重寫readClassDescriptor()方法:

@Override
    protected ObjectStreamClass readClassDescriptor() throws IOException, ClassNotFoundException {
	ObjectStreamClass read = super.readClassDescriptor();
	if (read.getName().startsWith("原包名")) {
		Class type = Class.forName(read.getName().replace("新包名"));
		return ObjectStreamClass.lookup(type);
	}
	return read;
}

這樣在反序列化時就不會報錯了。原理并不復雜,其實就是在解析字節流時,將解析后應為org.springframework.security.oauth3.common.DefautOAuthToken的class,替換成了我們自己copy過來源碼的cn.com.XXXXXX.DefaultOAuthToken從而達到”欺騙”的目的。在該場景下,我們就可以做到在資源提供方不引入SpringSecurity框架而只使用SpringSecurityOAuth3的授權服務。資源提供方直接讀數據庫來驗證令牌的有效性,而不是向授權服務查詢。

看完了這篇文章,相信你對“JDK反序列化時修改類全限定性名的示例分析”有了一定的了解,如果想了解更多相關知識,歡迎關注億速云行業資訊頻道,感謝各位的閱讀!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

jdk
AI

临洮县| 大英县| 平原县| 蒲城县| 新宾| 香河县| 新兴县| 格尔木市| 西昌市| 南雄市| 顺平县| 丰顺县| 东阿县| 水富县| 启东市| 巴南区| 新竹县| 枣阳市| 西安市| 彭水| 泰来县| 衡山县| 定日县| 隆德县| 兴山县| 宁德市| 穆棱市| 杭州市| 阿巴嘎旗| 桂林市| 腾冲县| 隆安县| 东阿县| 宁河县| 保亭| 文登市| 馆陶县| 田东县| 寿宁县| 喜德县| 工布江达县|