Security整合Redis为何序列化报错_配专用反序列化器
Security对象反序列化必报错,因Spring Security内置类无无参构造器且Jackson默认不识别;需配置ObjectMapper开启DefaultTyping、可见性,并注册SimpleGrantedAuthorityDeserializer和UsernamePasswordAuthenticationToken MixIn。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
把Security对象存进Redis后取不出来,这事儿太常见了。问题往往不是配置漏了,而是反序列化器没对上类型——尤其是像 SimpleGrantedAuthority、UsernamePasswordAuthenticationToken 这类Spring Security框架的内置类,Jackson默认根本不认识它们。
为什么 Security 对象反序列化必报错
Spring Security的认证对象(比如 Authentication、SecurityContext)在设计上就和标准POJO不太一样。它们大多没有无参构造器,身上也没贴 @JsonCreator 注解。Jackson默认只认规规矩矩的POJO,一碰到这些“特立独行”的类,处理方式就很简单粗暴:直接退化成 LinkedHashMap。结果呢?最后抛出那个经典的 ClassCastException: LinkedHashMap cannot be cast to SecurityContext。更棘手的是 SimpleGrantedAuthority,它的构造参数虽然只是个 String,但在JSON序列化后,可能变成一个带了 @class 字段的复杂结构,反序列化时自然找不到匹配的构造器。
必须配 ObjectMapper + DefaultTyping
光用一个 Jackson2JsonRedisSerializer 是远远不够的,关键得让它“认识”并记住这些对象的运行时类型信息。这就必须对底层的 ObjectMapper 进行精准配置:
objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL)—— 这是核心,让所有非final类在序列化时自动带上@class字段,记录类型。objectMapper.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY)—— 放宽可见性规则,允许Jackson访问私有字段和getter方法。- 最后,也是最容易漏掉的一步:必须调用
jsonSerializer.setObjectMapper(objectMapper),否则上面的配置全是白费功夫。
这三条,漏掉任意一条,反序列化都会在类型还原的关键阶段失败。
自定义 SimpleGrantedAuthorityDeserializer 是刚需
即便开了 DefaultTyping,SimpleGrantedAuthority 这个类因为其特殊的构造方式,仍然可能反序列化失败。这时候,一个专用的反序列化器就成了必需品:
public class SimpleGrantedAuthorityDeserializer extends StdDeserializer{ public SimpleGrantedAuthorityDeserializer() { super(SimpleGrantedAuthority.class); } @Override public SimpleGrantedAuthority deserialize(JsonParser p, DeserializationContext ctxt) throws IOException { JsonNode node = p.getCodec().readTree(p); String authority = node.has("authority") ? node.get("authority").asText() : node.asText(); return new SimpleGrantedAuthority(authority); } }
写好之后,别忘了把它注册到 ObjectMapper 里:
SimpleModule module = new SimpleModule();module.addDeserializer(SimpleGrantedAuthority.class, new SimpleGrantedAuthorityDeserializer());objectMapper.registerModule(module);
别忽略 UsernamePasswordAuthenticationToken 的构造约束
这个类的情况又有所不同。它只有带参构造器,并且参数顺序是固定的(principal, credentials, authorities)。Jackson需要明确知道如何传递这些参数,否则就会报 Cannot construct instance... no Creators 的错误。通常有两种应对策略:
- 第一种,给你自己的子类加上
@JsonCreator和@JsonProperty注解。但这种方式不推荐,因为修改框架类或其子类会带来侵入性。 - 第二种,也是更优雅安全的方式:使用MixIn。具体操作是,新建一个空的
UsernamePasswordAuthenticationTokenMixin类,在里面通过@JsonCreator(mode = JsonCreator.Mode.PROPERTIES)和对应的@JsonProperty注解来定义反序列化规则。然后通过objectMapper.addMixIn(UsernamePasswordAuthenticationToken.class, UsernamePasswordAuthenticationTokenMixin.class)进行绑定。这种方式无侵入,也避免了直接开启AutoTypeSupport(true)可能带来的反序列化安全风险。
话说回来,真正让人卡住的地方,往往不是“知不知道要配”,而是配置了却没生效。比如,ObjectMapper 实例没真正挂载到序列化器上,或者MixIn的注册顺序错了——如果在 setObjectMapper 之后才注册模块,那这个模块压根就不会起作用。这些细节,才是解决问题的关键所在。
游乐网为非赢利性网站,所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系youleyoucom@outlook.com。
同类文章
mysql如何限制单条SQL执行消耗的内存_调整sort_buffer_size与join_buffer
MySQL内存调优实战:如何精准控制单条SQL的内存消耗? 说到MySQL性能调优,sort_buffer_size和join_buffer_size这两个参数总是绕不开的话题。很多工程师的第一反应是:“调大点是不是就能快些?” 事情可没这么简单。盲目调整不仅可能毫无收益,甚至还会引发内存溢出(OO
Redis发布订阅支持消息类型自定义吗_通过序列化与反序列化规范消息结构
Redis发布订阅不校验消息类型,业务需自行约定序列化协议 简单来说,Redis的发布订阅(Pub Sub)机制本身,对消息内容是完全“无感”的。它就像一个只管搬运、不管验货的传送带。这意味着,消息类型的定义、校验和解析,完全落在了业务开发者的肩上。在Spring Boot这类框架中,如果使用不当,
SQL如何计算分组内的方差与标准差_窗口聚合函数实操
SQL中VARIANCE和STDDEV默认按样本计算(除以n-1),PostgreSQL、Oracle、Snowflake均如此;MySQL的VARIANCE()等价VAR_SAMP(),STDDEV()等价STDDEV_SAMP();SQL Server需显式用STDEV()或STDEVP()。
为什么SQL触发器在执行存储过程时不触发_排查触发器嵌套触发限制
为什么SQL触发器在执行存储过程时不触发?排查触发器嵌套触发限制 触发器调用存储过程后不触发,根本不是“不触发”,而是被嵌套层数限制拦住了 很多开发者遇到触发器“失灵”时,第一反应是检查语法或权限。但真相往往更直接:你很可能撞上了SQL Server那堵硬性的32层嵌套墙。无论是DML还是DDL触发
mysql如何高效地统计不同状态的数量_使用CountIf单次扫描
MySQL不支持COUNTIF函数,需用SUM(CASE WHEN THEN 1 ELSE 0 END)实现单次扫描多状态统计,比多次COUNT(*)更高效。 MySQL 没有 COUNTIF 函数,别白找 如果你是从Excel或者其他数据库(比如SQLite、PostgreSQL)转过来的,可
- 日榜
- 周榜
- 月榜
1
2
3
4
5
6
7
8
9
10
相关攻略
2015-03-10 11:25
2015-03-10 11:05
2021-08-04 13:30
2015-03-10 11:22
2015-03-10 12:39
2022-05-16 18:57
2025-05-23 13:43
2025-05-23 14:01
热门教程
- 游戏攻略
- 安卓教程
- 苹果教程
- 电脑教程
热门话题
