架构视角：Jackson3新特性

# Jackson3 新特性 刚刚完成了公司框架的升级，这次springboot3到springboot4没想到绊住我的不是spring和jdk的升级而是jackson，这个平常与我们天天大家到的伙伴在这次springboot4的升级中完成了大版本的升级，不论是api的过期还是包名的修改，还是安全策略的更新，都让我有点手忙加乱，这次的体验更加深了我对AI时代架构师更重要的认识，岁末已至，荷包未满，我将从架构师视角看一次“并不只是升级版本号”的序列化框架演进。 ## 一、为什么 Jackson3 值得架构师关注 在 Java 生态中，**Jackson 几乎是事实上的 JSON 标准实现**,无论是 Spring Boot、微服务通信、Redis 序列化，还是日志与配置解析，Jackson 都处在基础设施层的位置，从 Jackson 2.x 升级到 Jackson 3.x，并不是一次“无感升级”，从实践经验来看，非常痛苦😭，尤其是现在很多生态的依赖包还是jackson2，比如我们常用的swagger（springdoc），**Jackson3 的目标非常明确：安全、类型清晰、面向现代 Java**。 这恰恰是架构师在做长期系统演进时最关心的三个关键词。如果说 Jackson2 更偏向“兼容一切历史包袱”，那么 **Jackson3 是一次价值取向非常明确的重构型演进**，从这个图中可以看到虽然springdoc提供了支持springboot4版本的依赖，但是swagger-core这个类库依然是jackson2的。  ## 二、核心变化一：全面转向 Jakarta 命名空间 ### 1. 从 `javax.*` 到 `jakarta.*` Jackson3 完全移除了对 `javax.*` 的支持，全面迁移到 Jakarta EE 命名空间： ```java javax.xml.bind → jakarta.xml.bind javax.validation → jakarta.validation ``` **架构意义在于：** - 与 Spring Boot 3 / Spring Framework 6 完全对齐 - 避免 Java EE 与 Jakarta EE 混用带来的 ClassLoader 灾难 - 为未来 Java 企业级标准演进扫清历史债务 **只要系统升级到 Spring Boot 4，就应同步规划 Jackson3，而不是继续“卡在 Jackson2”，虽然spring官方在4.0版本做了妥协，依然保留了使用jackson2的方法，但是不推荐使用** ```xml //springboot4 对jackson2的过渡方案 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-jackson2</artifactId> </dependency> ``` ## 三、核心变化二：默认类型安全策略的重构 ### 1. 彻底反思 Default Typing 在 Jackson2 中，`activateDefaultTyping` 是一个“方便但危险”的能力。它曾多次引发 **反序列化漏洞（RCE）**，成为安全审计的高频问题。Jackson3 并没有简单“修补”，而是 **重新设计了类型多态的使用方式**： - 更严格的 `PolymorphicTypeValidator` - 更强制的白名单机制 - 默认配置更偏向 **“不信任任何外部输入”** ```java ObjectMapper mapper = JsonMapper.builder() .polymorphicTypeValidator( BasicPolymorphicTypeValidator.builder() .allowIfBaseType(MyBaseType.class) .build() ) .build(); ``` **架构视角解读：** - Jackson3 明确告诉你： 👉 **“类型多态是架构决策，而不是工具默认行为”** - 框架不再替你承担安全风险 - 你必须在设计阶段就明确哪些类型可以被反序列化 ## 四、核心变化三：ObjectMapper 构建方式现代化 ### 1. 从“可变配置对象”到 Builder 模式 Jackson3 推荐使用 `JsonMapper.builder()`： ``` JsonMapper mapper = JsonMapper.builder() .addModule(new JavaTimeModule()) .disable(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES) .build(); ``` **带来的架构收益：** - ObjectMapper 变成 **可预期、不可随意篡改的基础组件** - 更适合在： - 微服务共享 SDK - 基础设施 Starter - 多线程环境，更适合将JsonMapper注入，提升效率 ## 五、核心变化四：模块体系更加清晰 Jackson3 对模块的依赖关系做了进一步“瘦身”和明确： - `jackson-databind`：核心数据绑定 - `jackson-core`：流式 API - `jackson-annotations`：元数据定义 - 扩展模块（Java Time、Kotlin、Afterburner 等）职责边界更清楚 ## 六、核心变化五：为现代 Java 语言特性而生 Jackson3 明显面向 **Java 17+** 设计： - 更好支持 `record`,lombok的部分替代 - 更清晰的不可变对象反序列化路径 - 与模块化（JPMS）冲突更少 ```java public record User(Long id, String name) {} **这意味着：** - 架构可以更加放心地采用： - 不可变模型 - DDD 中的 Value Object - 减少 Setter / 空构造器带来的模型污染 ``` ## 七、如何看待 Jackson3 升级 “只改版本号”铁定会报错，建议参考官网的升级指南： https://github.com/FasterXML/jackson-future-ideas/wiki/Jackson3-Changes