- 浏览: 450965 次
- 性别:
- 来自: 杭州
文章分类
最新评论
-
syw19901001:
30多条mysql数据库优化方法,千万级数据库记录查询轻松解决 ...
MYSQL的全表扫描,主键索引(聚集索引、第一索引),非主键索引(非聚集索引、第二索引),覆盖索引四种不同查询的分析 -
gaoyuanyuan121:
直接改成root.war,根路径能访问,项目路径也能访问,赞 ...
jetty 中如何设置root app -
freezingsky:
翻出来,再看一次!
AOP 的简单入门 -
Shen.Yiyang:
inter12 写道Shen.Yiyang 写道我说的不是NI ...
ReentrantLock、sync、ReentrantReadWriteLock性能比较 -
inter12:
Shen.Yiyang 写道我说的不是NIO和BIO的区别,而 ...
ReentrantLock、sync、ReentrantReadWriteLock性能比较
Hessian 的字段序列化小记
一背景:
今天线上碰到一个问题,在通过hessian的反序列化的时候失败了。
简单查看了下原因,是因为服务端和客户端依赖的bean包版本不一致导致的。
二 具体分析:
Client --- > commons-entity
Sever --- > commons-entity
做了依赖倒置处理,服务端及客户端都持有服务接口及对象的包。
commons-entity 存在两个版本:服务端版本(新版本)及客户端版本(旧版本)。两个版本之间区别在于对于某个字段的类型做了改变。
下面就分析下不同场景下hessian的处理结果。
1.服务端 字段A:Date 客户端 字段A:Timestamp 反序列化出错
2.服务端 字段A:Timestamp 客户端 字段A:Date 序列化正常
因为Date是Timestamp的父类,故在反序列化时,向上转型是没有问题的。反之向下转型就存在问题。所以1就会出问题,因为1需要将Date转化成Timestamp类型。
结论:在反序列化时,若是客户端对象是服务端对象的父类,那么不会失败。
tip:对于日期类型的对象还是建议定义为long类型。
三 扩展
以上就是我们具体的故障情况,那么扩展的来测试下一下两种情况是否存在问题。
场景一:
服务端 存在字段A 客户端 无字段A 反序列化正常
结论:反序列化时依赖于客户端所持有的对象,对服务传递字节流进行处理的。不是依赖于服务端的对象处理。这样也很容易理解。因为是客户端需要生成对象。
场景二:
服务端 无字段A 客户端 存在字段A 反序列化正常
结论:反序列化是先解析客户端对象,然后拿着该对象的属性到服务端的字节流中查找,若是存在则生成,若是不存在则忽略该属性的设置,设置为默认值。
总结:在客户端反序列化时候,从服务端中取,若是取不到,则不管,设置为默认值。不管服务端属性是否多余客户端,一切以客户端为准。
四 具体实践代码
附一个hessian的简单使用的核心代码:
server: package com.inter12.hessian; import org.mortbay.jetty.Server; import org.mortbay.jetty.servlet.Context; import org.mortbay.jetty.servlet.ServletHolder; import com.inter12.hessian.service.IPersonServiceServlet; /** * Hello world! */ public class App { /** * * URL: http://localhost:8080/IPersonService * @param args * @throws Exception */ public static void main(String[] args) throws Exception { System.out.println("Hello World!"); // 1.启动一个SERVER 并指定端口 Server server = new Server(8080); // 2.设置应用的跟路径为 / 你也可以设置成自己需要的应用名字。例如我这个的应用是/jTest Context context = new Context(server, "/", Context.SESSIONS); // 3.添加servlet. OKServlet就是我们具体处理业务的类! context.addServlet(new ServletHolder(new IPersonServiceServlet()), "/IPersonService"); // 4.启动。收工,这样就搞定了内置 servlet容器! server.start(); } }
IPersonServiceServlet的实现:
public class IPersonServiceServlet extends HessianServlet implements IPersonService { @Override public void service(ServletRequest arg0, ServletResponse arg1) throws IOException, ServletException { super.service(arg0, arg1); } @Override public void hello() { } @Override public IPerson gerPerson() { Person person = new Person(); person.setAge(20); person.setName("joan"); person.setBirthDay(new Timestamp(System.currentTimeMillis())); return person; } }
相关的依赖:
<dependency>
<groupId>org.mortbay.jetty</groupId> <artifactId>jetty</artifactId> <version>6.1H.14</version> </dependency> <dependency> <groupId>com.inter12.hesian</groupId> <artifactId>common-interface</artifactId> <version>1.0.0</version> </dependency> <dependency> <groupId>hessian</groupId> <artifactId>hessian</artifactId> <version>3.0.1</version> </dependency>
Client:
public class App { public static void main( String[] args ) throws MalformedURLException { // System.out.println( "Hello World!" ); String url = "http://localhost:8080/IPersonService"; HessianProxyFactory factory = new HessianProxyFactory(); IPersonService service = (IPersonService)factory.create(IPersonService.class, url); Person person = (Person)service.gerPerson(); System.out.println(person.show()); } }
相关的依赖:
<dependency> <groupId>hessian</groupId> <artifactId>hessian</artifactId> <version>3.0.1</version> </dependency> <dependency> <groupId>com.inter12.hesian</groupId> <artifactId>common-interface</artifactId> <version>1.0.0</version> </dependency>
五 写在最后
先占个坑,以后再深挖hessian的协议。
- hessian.zip (18.7 KB)
- 下载次数: 1
评论
java序列化类:JavaSerializer的源码:
private static FieldSerializer getFieldSerializer(Class type){
......
else if (java.util.Date.class.equals(type)
|| java.sql.Date.class.equals(type)
|| java.sql.Timestamp.class.equals(type)
|| java.sql.Time.class.equals(type)) {
return DateFieldSerializer.SER;
}
......
}
其中DateFieldSerializer.SER的源码为:
static class DateFieldSerializer extends FieldSerializer {
static final FieldSerializer SER = new DateFieldSerializer();
void serialize(AbstractHessianOutput out, Object obj, Field field)
throws IOException
{
java.util.Date value = null;
try {
value = (java.util.Date) field.get(obj);
} catch (IllegalAccessException e) {
log.log(Level.FINE, e.toString(), e);
}
if (value == null)
out.writeNull();
else
out.writeUTCDate(value.getTime());
}
}
综上:我理解是java在序列化的时候把时间类型都转化为java.util.Date类型在进行序列化传输。
[/color][/size]
Java反序列化类:JavaDeserializer源码似乎是支持Date-->Timestamp的
static class SqlDateFieldDeserializer extends FieldDeserializer {
.....
java.util.Date date = (java.util.Date) in.readObject();
value = new java.sql.Date(date.getTime());
.....
}
static class SqlTimestampFieldDeserializer extends FieldDeserializer {
.......
java.util.Date date = (java.util.Date) in.readObject();
value = new java.sql.Timestamp(date.getTime());
........
}
[color=red]综上,java反序列化的时候可以把,先构造成java.util.Date类,然后再转化为不同的类型如java.sql.Date和java.sql.Timestamp等等[size=x-small]
薛少,你看看源码,是不是原因还没有找到呀?你那抛出的异常也应该贴出来的。搞了一下午总算有点回复了。为了和你交流也不容易呀!哈哈
java序列化类:JavaSerializer的源码:
private static FieldSerializer getFieldSerializer(Class type){
......
else if (java.util.Date.class.equals(type)
|| java.sql.Date.class.equals(type)
|| java.sql.Timestamp.class.equals(type)
|| java.sql.Time.class.equals(type)) {
return DateFieldSerializer.SER;
}
......
}
其中DateFieldSerializer.SER的源码为:
static class DateFieldSerializer extends FieldSerializer {
static final FieldSerializer SER = new DateFieldSerializer();
void serialize(AbstractHessianOutput out, Object obj, Field field)
throws IOException
{
java.util.Date value = null;
try {
value = (java.util.Date) field.get(obj);
} catch (IllegalAccessException e) {
log.log(Level.FINE, e.toString(), e);
}
if (value == null)
out.writeNull();
else
out.writeUTCDate(value.getTime());
}
}
综上:我理解是java在序列化的时候把时间类型都转化为java.util.Date类型在进行序列化传输。
[/color][/size]
Java反序列化类:JavaDeserializer源码似乎是支持Date-->Timestamp的
static class SqlDateFieldDeserializer extends FieldDeserializer {
.....
java.util.Date date = (java.util.Date) in.readObject();
value = new java.sql.Date(date.getTime());
.....
}
static class SqlTimestampFieldDeserializer extends FieldDeserializer {
.......
java.util.Date date = (java.util.Date) in.readObject();
value = new java.sql.Timestamp(date.getTime());
........
}
[color=red]综上,java反序列化的时候可以把,先构造成java.util.Date类,然后再转化为不同的类型如java.sql.Date和java.sql.Timestamp等等[size=x-small]
薛少,你看看源码,是不是原因还没有找到呀?你那抛出的异常也应该贴出来的。搞了一下午总算有点回复了。为了和你交流也不容易呀!哈哈
java序列化类:JavaSerializer的源码:
private static FieldSerializer getFieldSerializer(Class type){
......
else if (java.util.Date.class.equals(type)
|| java.sql.Date.class.equals(type)
|| java.sql.Timestamp.class.equals(type)
|| java.sql.Time.class.equals(type)) {
return DateFieldSerializer.SER;
}
......
}
其中DateFieldSerializer.SER的源码为:
static class DateFieldSerializer extends FieldSerializer {
static final FieldSerializer SER = new DateFieldSerializer();
void serialize(AbstractHessianOutput out, Object obj, Field field)
throws IOException
{
java.util.Date value = null;
try {
value = (java.util.Date) field.get(obj);
} catch (IllegalAccessException e) {
log.log(Level.FINE, e.toString(), e);
}
if (value == null)
out.writeNull();
else
out.writeUTCDate(value.getTime());
}
}
综上:我理解是java在序列化的时候把时间类型都转化为java.util.Date类型在进行序列化传输。
Java反序列化类:JavaDeserializer源码似乎是支持Date-->Timestamp的
static class SqlDateFieldDeserializer extends FieldDeserializer {
.....
java.util.Date date = (java.util.Date) in.readObject();
value = new java.sql.Date(date.getTime());
.....
}
static class SqlTimestampFieldDeserializer extends FieldDeserializer {
.......
java.util.Date date = (java.util.Date) in.readObject();
value = new java.sql.Timestamp(date.getTime());
........
}
综上,java反序列化的时候可以把,先构造成java.util.Date类,然后再转化为不同的类型如java.sql.Date和java.sql.Timestamp等等
薛少,你看看源码,是不是原因还没有找到呀?你那抛出的异常也应该贴出来的。搞了一下午总算有点回复了。为了和你交流也不容易呀!哈哈
发表评论
-
AOP 的简单入门
2012-09-08 18:01 4333AOP 的简单入门 自己也算是从业多年,对于 ... -
lucene之第一次亲密接触
2011-12-12 20:30 25411.最近想学lucene ,就去下了最新的3.5版本。发 ... -
struts2学习笔记4
2010-08-02 10:38 9543.所有定义的其他命名空间 是否真是如此呢? ... -
struts2---学习笔记3
2010-08-02 10:38 947<--------------------------- ... -
struts2---学习笔记2
2010-08-02 10:36 1047这里我碰到了一个问题,如果我们简单的将所有的jsp放在/W ... -
struts2---学习笔记1
2010-08-02 10:35 958相信学过一个框架的人在学习另一个框架时会非常的快,因为框架的学 ... -
struts1.x--学习笔记五
2010-08-02 10:33 944一 implict Action which in strut ... -
struts1.x--学习笔记四
2010-08-02 10:32 10105. 显示错误的两种方式 5 ... -
struts1.x--学习笔记三
2010-08-02 10:31 880一.Action ActionForm的三个设计原则 1. ... -
struts1.x--学习笔记二
2010-08-02 10:29 1216step3. 在ActionForm 中,我们需要有表单中提 ... -
struts1.x--学习笔记一
2010-08-02 10:29 897... -
quartz与spring配置
2010-07-30 17:40 1115<!-- 实现规则服务实时加载的定时服务配置文件 --& ... -
spring--AOP简单解析
2010-07-30 17:35 1154SPRING总结 一:IOC 实现IOC的方式有四种 ...
相关推荐
介绍自己不会查吗?这里有一个点就是Hessian的序列化与反序列化与原生序列化与反序列化不同,就以使用的Resin链而言,其中的javax.naming.spi
NULL 博文链接:https://qinghua0208.iteye.com/blog/493516
Hessian 2.0序列化协议规范
Nacos JRaft Hessian 反序列化 RCE 分析.pdf
hessian序列化.pdf
NULL 博文链接:https://san-yun.iteye.com/blog/1688510
主要通过对二者简单的实现方式的对比,介绍了Java序列化和hessian序列化的差异,具有一定参考价值,需要的朋友可以了解下。
hessian.jar,Hessian的序列化输出 ,
a --args gadget入参,多个参数使用多次该命令传入,例-a -a Calc-p --protocol [dubbo|http] 通讯协议名称,默认缺省dubbo-s --serialization [hessian|java] 序列化类型,默认缺省hessian-t --target 目标,例:...
默认就是⾛ dubbo 协议,单⼀⻓连接,进⾏的是 NIO 异步通信,基于 hessian 作为序列化协议。使⽤的场景是:传输数据量⼩ (每次请求在 100kb 以内),但是并发量很⾼。 为了要⽀持⾼并发场景,⼀般是服务提供者就⼏...
hessian轻量级 rpc实现
java hessian-3.0.38.jar。修改了原生的jar包,解决了hessian 序列化BigDecimal的精度问题。注意,请在hessian服务端和客户端中分别替换此jar包哦!! 只替换服务端hessian jar包还是会有问题。
SOFA-Hessian 基于原生Hessian v4.0.51进行改进,目前已经蚂蚁金服内部稳定运行多年。我们修复了一些bug,增强了一些功能,并且添加了一些特性。包括:增加泛化序列化。增加 ClassNameResolver 和 ClassNameFilter ...
远程调用方法就是HttpInvoker:他也是将参数和返回值通过Java的序列化机制进行编组和反编组,它具有RMI的支持所有可序列化对象的优点。试使用Http协议传输二进制流的,同时又具有Hessian、Burlap(传输xml文本)的...
Hessian 2.0序列化协议规范 翻译: Edison peng 目录 1.概述 4 2.设计
该案例有hessian java python,该案例有hessian java python,该案例有hessian java python
Hessian多个版本下载,包括Hessian3.1.6,Hessian3.2.1,Hessian4.0.7
-a:生成exploit下的所有payload(例如:hessian下的SpringPartiallyComparableAdvisorHolder, SpringAbstractBeanFactoryPointcutAdvisor, Rome, XBean, Resin) -t:对生成的payloads进行解码测试 -v:verbose mode...