谷歌应用引擎上的GSON引发安全异常
我想使用Google App Engine上的GSON库将对象转换为JSON。出于某种原因,它抛出这个异常,我不明白如何解决这个问题。有什么建议么?我使用谷歌应用引擎上的GSON引发安全异常
java.lang.SecurityException: java.lang.IllegalAccessException: Reflection is not allowed on private static final int java.util.BitSet.ADDRESS_BITS_PER_WORD
at com.google.appengine.runtime.Request.process-8d5b435d6736643f(Request.java)
at java.lang.reflect.AccessibleObject.setAccessible(AccessibleObject.java:29)
at com.google.gson.ObjectNavigator.navigateClassFields(ObjectNavigator.java:141)
at com.google.gson.ObjectNavigator.accept(ObjectNavigator.java:123)
at com.google.gson.JsonSerializationVisitor.getJsonElementForChild(JsonSerializationVisitor.java:148)
at com.google.gson.JsonSerializationVisitor.addAsArrayElement(JsonSerializationVisitor.java:139)
at com.google.gson.JsonSerializationVisitor.visitArray(JsonSerializationVisitor.java:83)
at com.google.gson.ObjectNavigator.accept(ObjectNavigator.java:109)
at com.google.gson.JsonSerializationVisitor.getJsonElementForChild(JsonSerializationVisitor.java:148)
at com.google.gson.JsonSerializationVisitor.addAsChildOfObject(JsonSerializationVisitor.java:126)
at com.google.gson.JsonSerializationVisitor.visitArrayField(JsonSerializationVisitor.java:95)
at com.google.gson.ObjectNavigator.navigateClassFields(ObjectNavigator.java:154)
at com.google.gson.ObjectNavigator.accept(ObjectNavigator.java:123)
at com.google.gson.JsonSerializationContextDefault.serialize(JsonSerializationContextDefault.java:56)
at com.google.gson.Gson.toJsonTree(Gson.java:230)
at com.google.gson.Gson.toJson(Gson.java:315)
at com.google.gson.Gson.toJson(Gson.java:270)
at com.google.gson.Gson.toJson(Gson.java:250)
at companionmodel.Sample_Model_PopulateServlet.printOutput(Sample_Model_PopulateServlet.java:59)
at companionmodel.Sample_Model_PopulateServlet.doGet(Sample_Model_PopulateServlet.java:28)
at javax.servlet.http.HttpServlet.service(HttpServlet.java:693)
at javax.servlet.http.HttpServlet.service(HttpServlet.java:806)
at org.mortbay.jetty.servlet.ServletHolder.handle(ServletHolder.java:511)
at org.mortbay.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1166)
at com.google.apphosting.utils.servlet.ParseBlobUploadFilter.doFilter(ParseBlobUploadFilter.java:97)
at org.mortbay.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1157)
at com.google.apphosting.runtime.jetty.SaveSessionFilter.doFilter(SaveSessionFilter.java:35)
at org.mortbay.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1157)
at com.google.apphosting.utils.servlet.TransactionCleanupFilter.doFilter(TransactionCleanupFilter.java:43)
at org.mortbay.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1157)
at org.mortbay.jetty.servlet.ServletHandler.handle(ServletHandler.java:388)
at org.mortbay.jetty.security.SecurityHandler.handle(SecurityHandler.java:216)
at org.mortbay.jetty.servlet.SessionHandler.handle(SessionHandler.java:182)
at org.mortbay.jetty.handler.ContextHandler.handle(ContextHandler.java:765)
at org.mortbay.jetty.webapp.WebAppContext.handle(WebAppContext.java:418)
at com.google.apphosting.runtime.jetty.AppVersionHandlerMap.handle(AppVersionHandlerMap.java:238)
at org.mortbay.jetty.handler.HandlerWrapper.handle(HandlerWrapper.java:152)
at org.mortbay.jetty.Server.handle(Server.java:326)
at org.mortbay.jetty.HttpConnection.handleRequest(HttpConnection.java:542)
at org.mortbay.jetty.HttpConnection$RequestHandler.headerComplete(HttpConnection.java:923)
at com.google.apphosting.runtime.jetty.RpcRequestParser.parseAvailable(RpcRequestParser.java:76)
at org.mortbay.jetty.HttpConnection.handle(HttpConnection.java:404)
at com.google.apphosting.runtime.jetty.JettyServletEngineAdapter.serviceRequest(JettyServletEngineAdapter.java:135)
at com.google.apphosting.runtime.JavaRuntime.handleRequest(JavaRuntime.java:250)
at com.google.apphosting.base.RuntimePb$EvaluationRuntime$6.handleBlockingRequest(RuntimePb.java:5838)
at com.google.apphosting.base.RuntimePb$EvaluationRuntime$6.handleBlockingRequest(RuntimePb.java:5836)
at com.google.net.rpc.impl.BlockingApplicationHandler.handleRequest(BlockingApplicationHandler.java:24)
at com.google.net.rpc.impl.RpcUtil.runRpcInApplication(RpcUtil.java:398)
at com.google.net.rpc.impl.Server$2.run(Server.java:852)
at com.google.tracing.LocalTraceSpanRunnable.run(LocalTraceSpanRunnable.java:56)
at com.google.tracing.LocalTraceSpanBuilder.internalContinueSpan(LocalTraceSpanBuilder.java:576)
at com.google.net.rpc.impl.Server.startRpc(Server.java:807)
at com.google.net.rpc.impl.Server.processRequest(Server.java:369)
at com.google.net.rpc.impl.ServerConnection.messageReceived(ServerConnection.java:442)
at com.google.net.rpc.impl.RpcConnection.parseMessages(RpcConnection.java:319)
at com.google.net.rpc.impl.RpcConnection.dataReceived(RpcConnection.java:290)
at com.google.net.async.Connection.handleReadEvent(Connection.java:474)
at com.google.net.async.EventDispatcher.processNetworkEvents(EventDispatcher.java:831)
at com.google.net.async.EventDispatcher.internalLoop(EventDispatcher.java:207)
at com.google.net.async.EventDispatcher.loop(EventDispatcher.java:103)
at com.google.net.rpc.RpcService.runUntilServerShutdown(RpcService.java:251)
at com.google.apphosting.runtime.JavaRuntime$RpcRunnable.run(JavaRuntime.java:413)
at java.lang.Thread.run(Unknown Source)
代码:
Gson gson = new Gson();
String json = gson.toJson(modelObject);
app引擎不支持反射 - 但您要反映一个JRE类的私有字段:
反思
则允许应用程序充分, 不受限制,以反射进入其 自己的类。它可以查询任何私有成员,使用 java.lang.reflect.AccessibleObject.setAccessible(), 和读取/设置私有成员。
应用程序也可以还反映JRE和API类,如 java.lang.String中和 javax.servlet.http.HttpServletRequest 。 但是,它只能访问这些类的公共 成员,而不是 受保护或私有。
应用程序不能反映针对 任何其他类不属于 本身,它不能使用 setAccessible()方法来规避 这些限制。
...从http://code.google.com/appengine/docs/java/runtime.html#The_Sandbox:
我会考虑写比特集自定义序列。
参见:http://sites.google.com/site/gson/gson-user-guide#TOC-Custom-Serialization-and-Deserializ
http://groups.google.com/group/google-gson/browse_thread/thread/535892ffcf691aa
如果App Engine不支持的反思,那么我们非常留给我们自己写的toJSON方法。这是可以做到如下(没什么大不了的,但有人可能会发现它很有用):
public SampleObject {
//...
/**
* Convert this object to a JSON object for representation
*/
public JSONObject toJSON() {
try {
JSONObject jsonobj = new JSONObject();
jsonobj.put("id", this.id);
jsonobj.put("name", this.name);
return jsonobj;
} catch(Exception e) {
return null;
}
}
}
然后,你可以使用这个对象的toString方法打印出来的JSON表示。不是我认同的最好但现在有一些解决方法。
您可以构建GsonBuilder与.excludeFieldsWithoutExposeAnnotation(),并标记与@expose注释所有序列化的字段。在这种情况下,Gson不会尝试序列化其他你想要的字段。
GsonBuilder gsonBuilder = new GsonBuilder();
gsonBuilder.excludeFieldsWithoutExposeAnnotation();
String json = gsonBuilder.create().toJson(modelObject);
最近我遇到过类似的问题。
我正在运行Gson来解析JSON,它运行良好很长一段时间,所以我不担心GAE不允许Reflection在它的平台上。
我引入了一个HashMap的Form类,它在我的本地系统中运行良好,Gson完美地完成了JSON解析。
但是,当我部署的代码到谷歌的App Engine云它失败,出现以下异常:
java.lang.SecurityException: java.lang.IllegalAccessException: Reflection is not allowed on private final int java.lang.ThreadLocal.threadLocalHashCode
所以,现在我已经切换到杰克逊JSON解析器这是更快,并且不使用反射 - 但是的 - 更多的工作。
这种反射功能可能无法在App Engine上使用。然而,奇怪的是,AccessibleObject在JRE白名单中列出:http://code.google.com/appengine/docs/java/jrewhitelist.html – 2010-06-09 03:03:45
@Jason:谢谢你的回复。所以这意味着我需要写我自己的JSON方法:( – Legend 2010-06-09 03:09:46
反射在App Engine上是可用的 - 但看起来这个特定的对象是禁止的,奇怪的是库甚至试图访问它 - 你是否想要序列化一个BitSet over JSON? – 2010-06-09 09:17:53