解决com.alibaba.fastjson.JSONException: autoType is not support

转载自 https://blog.csdn.net/cdyjy_litao/article/details/72458538

最近发现进程运行日志中出现很多下面的日志：

• com.alibaba.fastjson.JSONException: autoType is not support. com.jd.ac.domain.api.offline.UserInfo
• at com.alibaba.fastjson.parser.ParserConfig.checkAutoType(ParserConfig.java:882)
• at com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:322)
• at com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1327)
• at com.alibaba.fastjson.parser.deserializer.JavaObjectDeserializer.deserialze(JavaObjectDeserializer.java:45)
• at com.alibaba.fastjson.parser.deserializer.FastjsonASMDeserializer_16_Order.deserialze(Unknown Source)
• at com.alibaba.fastjson.parser.deserializer.JavaBeanDeserializer.deserialze(JavaBeanDeserializer.java:184)
• at com.alibaba.fastjson.parser.DefaultJSONParser.parseObject(DefaultJSONParser.java:368)
• at com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1327)
• at com.alibaba.fastjson.parser.DefaultJSONParser.parse(DefaultJSONParser.java:1293)
• at com.alibaba.fastjson.JSON.parse(JSON.java:137)
• at com.alibaba.fastjson.JSON.parse(JSON.java:128)

网上查了下相关的资料，有几篇分析可以参考：

http://www.tinygroup.org/docs/3281429682083150397

https://github.com/alibaba/fastjson/wiki/enable_autotype

大体原因就是使用fastjson的时候：序列化时将class信息写入，反解析的时候，fastjson默认情况下会开启autoType的检查，相当于一个白名单检查吧，如果序列化信息中的类路径不在autoType中，反解析就会报上面的com.alibaba.fastjson.JSONException: autoType is not support的异常

public Class checkAutoType(String typeName, Class expectClass) { /* 805 */ if (typeName == null) { /* 806 */ return null; /*     */ } /*     */ /* 809 */ String className = typeName.replace('$', '.'); /*     */ /* 811 */ if ((this.autoTypeSupport) || (expectClass != null)) { /* 812 */ for (int i = 0; i < this.acceptList.length; ++i) { /* 813 */ String accept = this.acceptList[i]; /* 814 */ if (className.startsWith(accept)) { /* 815 */ return TypeUtils.loadClass(typeName, this.defaultClassLoader); /*     */ } /*     */ } /*     */ /* 819 */ for (int i = 0; i < this.denyList.length; ++i) { /* 820 */ String deny = this.denyList[i]; /* 821 */ if (className.startsWith(deny)) { /* 822 */ throw new JSONException("autoType is not support. " + typeName); /*     */ } /*     */ } /*     */ } /*     */ /* 827 */ Class clazz = TypeUtils.getClassFromMapping(typeName); /* 828 */ if (clazz == null) { /* 829 */ clazz = this.deserializers.findClass(typeName); /*     */ } /*     */ /* 832 */ if (clazz != null) { /* 833 */ if ((expectClass != null) && (!(expectClass.isAssignableFrom(clazz)))) { /* 834 */ throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName()); /*     */ } /*     */ /* 837 */ return clazz; /*     */ } /*     */ /* 840 */ if (!(this.autoTypeSupport)) { /* 841 */ for (int i = 0; i < this.denyList.length; ++i) { /* 842 */ String deny = this.denyList[i]; /* 843 */ if (className.startsWith(deny)) { /* 844 */ throw new JSONException("autoType is not support. " + typeName); /*     */ } /*     */ } /* 847 */ for (int i = 0; i < this.acceptList.length; ++i) { /* 848 */ String accept = this.acceptList[i]; /* 849 */ if (className.startsWith(accept)) { /* 850 */ clazz = TypeUtils.loadClass(typeName, this.defaultClassLoader); /*     */ /* 852 */ if ((expectClass != null) && (expectClass.isAssignableFrom(clazz))) { /* 853 */ throw new JSONException( "type not match. " + typeName + " -> " + expectClass.getName()); /*     */ } /* 855 */ return clazz; /*     */ } /*     */ } /*     */ } /*     */ /* 860 */ if ((this.autoTypeSupport) || (expectClass != null)) { /* 861 */ clazz = TypeUtils.loadClass(typeName, this.defaultClassLoader); /*     */ } /*     */ /* 864 */ if (clazz != null) /*     */ { /* 866 */ if ((ClassLoader.class.isAssignableFrom(clazz)) || /* 867 */ (DataSource.class/* 867 */ .isAssignableFrom(clazz))) /*     */ { /* 869 */ throw new JSONException("autoType is not support. " + typeName); /*     */ } /*     */ /* 872 */ if (expectClass != null) { /* 873 */ if (expectClass.isAssignableFrom(clazz)) { /* 874 */ return clazz; /*     */ } /* 876 */ throw new JSONException("type not match. " + typeName + " -> " + expectClass.getName()); /*     */ } /*     */ /*     */ } /*     */ /* 881 */ if (!(this.autoTypeSupport)) { /* 882 */ throw new JSONException("autoType is not support. " + typeName); /*     */ } /*     */ /* 885 */ return clazz; /*     */ }

参考 https://github.com/alibaba/fastjson/wiki/enable_autotype  讲解了3种方式添加autoType的白名单：

一、添加autotype白名单

添加白名单有三种方式，三选一，如下:

1. 在代码中配置

ParserConfig.getGlobalInstance().addAccept("com.taobao.pac.client.sdk.dataobject."); 

如果有多个包名前缀，分多次addAccept

2. 加上JVM启动参数

    -Dfastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao. 

如果有多个包名前缀，用逗号隔开

3. 通过fastjson.properties文件配置。

在1.2.25/1.2.26版本支持通过类路径的fastjson.properties文件来配置，配置方式如下：

fastjson.parser.autoTypeAccept=com.taobao.pac.client.sdk.dataobject.,com.cainiao. // 如果有多个包名前缀，用逗号隔开

二、打开autotype功能

如果通过配置白名单解决不了问题，可以选择继续打开autotype功能，fastjson在新版本中内置了多重防护，但是还是可能会存在一定风险。两种方法打开autotype，二选一，如下：

1、JVM启动参数

-Dfastjson.parser.autoTypeSupport=true

2、代码中设置

ParserConfig.getGlobalInstance().setAutoTypeSupport(true); 

如果有使用非全局ParserConfig则用另外调用setAutoTypeSupport(true)；