Jackson2JavaTypeMapper安全解析指南

本文深入解析了 Spring 框架中 `Jackson2JavaTypeMapper` 的包信任机制，旨在帮助开发者避免常见的配置误区，提升消息序列化与反序列化的安全性。许多开发者误以为可以通过指定顶级包名来信任其所有子包，但实际上 `Jackson2JavaTypeMapper` 要求明确指定每个需要信任的完整包路径，不支持通配符匹配。文章详细阐述了其工作原理，并提供了正确的配置方法，强调了精确控制信任粒度的重要性。此外，还讨论了信任所有包的风险，以及在 Spring Boot 应用中如何正确配置受信任包，旨在帮助开发者在安全性和便利性之间取得平衡，有效防范潜在的反序列化攻击风险。

本文旨在阐明 `Jackson2JavaTypeMapper` 中配置受信任包的常见误区。许多开发者试图通过指定顶级包名来信任其所有子包，但这种做法是无效的。`Jackson2JavaTypeMapper` 要求明确指定每个需要信任的完整包路径，不支持通配符。文章将详细解释其工作原理，并提供正确的配置方法，以确保安全高效地处理序列化和反序列化。

理解 Jackson2JavaTypeMapper 的安全机制

在基于 Spring 框架和 Jackson 库进行消息序列化与反序列化时，Jackson2JavaTypeMapper 扮演着关键角色。为了防止恶意反序列化攻击（Deserialization Vulnerabilities），它引入了“受信任包”的概念。当尝试反序列化一个对象时，Jackson2JavaTypeMapper 会检查该对象的类是否属于预先配置的受信任包或类列表。如果不在列表中，则会抛出 IllegalArgumentException，拒绝反序列化。

受信任包配置的常见误区

开发者在配置受信任包时，常会遇到一个误区：期望通过添加一个顶级包名（例如 com.domain）来自动信任该包及其下的所有子包（例如 com.domain.service.dto.name）。然而，Jackson2JavaTypeMapper 的 addTrustedPackages() 方法并非这样工作。

考虑以下代码片段：

if (javaTypeMapper instanceof DefaultJackson2JavaTypeMapper) {
    DefaultJackson2JavaTypeMapper defaultMapper = (DefaultJackson2JavaTypeMapper) javaTypeMapper;
    defaultMapper.addTrustedPackages("com.domain");
}

当尝试反序列化一个位于 com.domain.service.dto.name 包下的 SomeDto 类时，系统会抛出类似如下的异常：

java.lang.IllegalArgumentException: The class 'com.domain.service.dto.name.SomeDto' is not in the trusted packages: [java.util, java.lang, com.domain]. If you believe this class is safe to deserialize, please provide its name. If the serialization is only done by a trusted source, you can also enable trust all (*).

从异常信息中可以看出，Jackson2JavaTypeMapper 仅仅将 com.domain 视为一个独立的、完整的包名，而不是一个通配符或前缀。因此，com.domain.service.dto.name.SomeDto 并不被认为是 com.domain 包的一部分。

正确配置受信任包的方法

Jackson2JavaTypeMapper 的 addTrustedPackages() 方法要求提供完整且精确的包名。它不支持使用通配符（如 *）来匹配子包。如果需要信任某个根包下的所有子包，必须显式地列出所有这些子包的完整路径。

例如，如果您需要信任 com.domain.service.dto.name 和 com.domain.another.subpackage 这两个包，您需要这样配置：

import org.springframework.amqp.support.converter.DefaultJackson2JavaTypeMapper;

public class MyMessageConverterConfig {

    public void configureTrustedPackages(DefaultJackson2JavaTypeMapper javaTypeMapper) {
        // 错误示例：无法信任子包
        // javaTypeMapper.addTrustedPackages("com.domain");

        // 正确示例：明确指定每个完整的包路径
        javaTypeMapper.addTrustedPackages(
            "com.domain.service.dto.name",
            "com.domain.another.subpackage",
            "com.domain.model" // 假设还有其他需要信任的包
        );

        // 或者，如果只需要信任某个特定的类，可以直接指定其全限定名
        // javaTypeMapper.addTrustedPackages("com.domain.service.dto.name.SpecificDtoClass");
    }
}

注意事项：

1. 粒度控制： 这种设计提供了更细粒度的控制，增强了安全性。您只信任您明确允许的类或包，而不是广撒网。
2. 维护成本： 如果您的项目包含大量子包，并且这些包下的类都需要被反序列化，那么手动列出所有包可能会增加配置的复杂性和维护成本。在这种情况下，需要权衡安全性和便利性。
3. *信任所有 (`)：** 异常信息中也提到了“enable trust all ()”。这意味着如果您绝对信任消息来源，并且能够确保不会有恶意载荷，可以通过javaTypeMapper.addTrustedPackages("")` 来信任所有包。然而，这会极大地降低安全性，应谨慎使用。 在生产环境中，除非有非常明确的安全策略和控制措施，否则不建议使用此选项。
4. Spring Boot 自动配置： 在 Spring Boot 应用中，通常会通过 spring.jackson.deserialization.whitelisted-packages 或 spring.amqp.deserialization.white-list-packages 等属性进行配置，其底层逻辑与 addTrustedPackages 保持一致，同样要求提供完整的包名。

总结

Jackson2JavaTypeMapper 在处理受信任包时，要求提供精确的、全限定的包名，不支持通配符来匹配子包。理解这一机制对于正确配置反序列化安全至关重要。开发者应根据实际需求，显式列出所有需要信任的包路径或类名，以在保证系统安全的同时，实现预期的反序列化功能。在任何情况下，都应避免盲目信任所有包，以防范潜在的安全风险。

今天关于《Jackson2JavaTypeMapper安全解析指南》的内容介绍就到此结束，如果有什么疑问或者建议，可以在golang学习网公众号下多多回复交流；文中若有不正之处，也希望回复留言以告知！