您的位置: 首页  >  技术问答  >  谷歌应用引擎上的GSON引发安全异常

谷歌应用引擎上的GSON引发安全异常

分类: 技术问答 2022-09-22 21:56:06
问题描述:

我想使用Google App Engine上的GSON库将对象转换为JSON。出于某种原因,它抛出这个异常,我不明白如何解决这个问题。有什么建议么?我使用谷歌应用引擎上的GSON引发安全异常

java.lang.SecurityException: java.lang.IllegalAccessException: Reflection is not allowed on private static final int java.util.BitSet.ADDRESS_BITS_PER_WORD 
    at com.google.appengine.runtime.Request.process-8d5b435d6736643f(Request.java) 
    at java.lang.reflect.AccessibleObject.setAccessible(AccessibleObject.java:29) 
    at com.google.gson.ObjectNavigator.navigateClassFields(ObjectNavigator.java:141) 
    at com.google.gson.ObjectNavigator.accept(ObjectNavigator.java:123) 
    at com.google.gson.JsonSerializationVisitor.getJsonElementForChild(JsonSerializationVisitor.java:148) 
    at com.google.gson.JsonSerializationVisitor.addAsArrayElement(JsonSerializationVisitor.java:139) 
    at com.google.gson.JsonSerializationVisitor.visitArray(JsonSerializationVisitor.java:83) 
    at com.google.gson.ObjectNavigator.accept(ObjectNavigator.java:109) 
    at com.google.gson.JsonSerializationVisitor.getJsonElementForChild(JsonSerializationVisitor.java:148) 
    at com.google.gson.JsonSerializationVisitor.addAsChildOfObject(JsonSerializationVisitor.java:126) 
    at com.google.gson.JsonSerializationVisitor.visitArrayField(JsonSerializationVisitor.java:95) 
    at com.google.gson.ObjectNavigator.navigateClassFields(ObjectNavigator.java:154) 
    at com.google.gson.ObjectNavigator.accept(ObjectNavigator.java:123) 
    at com.google.gson.JsonSerializationContextDefault.serialize(JsonSerializationContextDefault.java:56) 
    at com.google.gson.Gson.toJsonTree(Gson.java:230) 
    at com.google.gson.Gson.toJson(Gson.java:315) 
    at com.google.gson.Gson.toJson(Gson.java:270) 
    at com.google.gson.Gson.toJson(Gson.java:250) 
    at companionmodel.Sample_Model_PopulateServlet.printOutput(Sample_Model_PopulateServlet.java:59) 
    at companionmodel.Sample_Model_PopulateServlet.doGet(Sample_Model_PopulateServlet.java:28) 
    at javax.servlet.http.HttpServlet.service(HttpServlet.java:693) 
    at javax.servlet.http.HttpServlet.service(HttpServlet.java:806) 
    at org.mortbay.jetty.servlet.ServletHolder.handle(ServletHolder.java:511) 
    at org.mortbay.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1166) 
    at com.google.apphosting.utils.servlet.ParseBlobUploadFilter.doFilter(ParseBlobUploadFilter.java:97) 
    at org.mortbay.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1157) 
    at com.google.apphosting.runtime.jetty.SaveSessionFilter.doFilter(SaveSessionFilter.java:35) 
    at org.mortbay.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1157) 
    at com.google.apphosting.utils.servlet.TransactionCleanupFilter.doFilter(TransactionCleanupFilter.java:43) 
    at org.mortbay.jetty.servlet.ServletHandler$CachedChain.doFilter(ServletHandler.java:1157) 
    at org.mortbay.jetty.servlet.ServletHandler.handle(ServletHandler.java:388) 
    at org.mortbay.jetty.security.SecurityHandler.handle(SecurityHandler.java:216) 
    at org.mortbay.jetty.servlet.SessionHandler.handle(SessionHandler.java:182) 
    at org.mortbay.jetty.handler.ContextHandler.handle(ContextHandler.java:765) 
    at org.mortbay.jetty.webapp.WebAppContext.handle(WebAppContext.java:418) 
    at com.google.apphosting.runtime.jetty.AppVersionHandlerMap.handle(AppVersionHandlerMap.java:238) 
    at org.mortbay.jetty.handler.HandlerWrapper.handle(HandlerWrapper.java:152) 
    at org.mortbay.jetty.Server.handle(Server.java:326) 
    at org.mortbay.jetty.HttpConnection.handleRequest(HttpConnection.java:542) 
    at org.mortbay.jetty.HttpConnection$RequestHandler.headerComplete(HttpConnection.java:923) 
    at com.google.apphosting.runtime.jetty.RpcRequestParser.parseAvailable(RpcRequestParser.java:76) 
    at org.mortbay.jetty.HttpConnection.handle(HttpConnection.java:404) 
    at com.google.apphosting.runtime.jetty.JettyServletEngineAdapter.serviceRequest(JettyServletEngineAdapter.java:135) 
    at com.google.apphosting.runtime.JavaRuntime.handleRequest(JavaRuntime.java:250) 
    at com.google.apphosting.base.RuntimePb$EvaluationRuntime$6.handleBlockingRequest(RuntimePb.java:5838) 
    at com.google.apphosting.base.RuntimePb$EvaluationRuntime$6.handleBlockingRequest(RuntimePb.java:5836) 
    at com.google.net.rpc.impl.BlockingApplicationHandler.handleRequest(BlockingApplicationHandler.java:24) 
    at com.google.net.rpc.impl.RpcUtil.runRpcInApplication(RpcUtil.java:398) 
    at com.google.net.rpc.impl.Server$2.run(Server.java:852) 
    at com.google.tracing.LocalTraceSpanRunnable.run(LocalTraceSpanRunnable.java:56) 
    at com.google.tracing.LocalTraceSpanBuilder.internalContinueSpan(LocalTraceSpanBuilder.java:576) 
    at com.google.net.rpc.impl.Server.startRpc(Server.java:807) 
    at com.google.net.rpc.impl.Server.processRequest(Server.java:369) 
    at com.google.net.rpc.impl.ServerConnection.messageReceived(ServerConnection.java:442) 
    at com.google.net.rpc.impl.RpcConnection.parseMessages(RpcConnection.java:319) 
    at com.google.net.rpc.impl.RpcConnection.dataReceived(RpcConnection.java:290) 
    at com.google.net.async.Connection.handleReadEvent(Connection.java:474) 
    at com.google.net.async.EventDispatcher.processNetworkEvents(EventDispatcher.java:831) 
    at com.google.net.async.EventDispatcher.internalLoop(EventDispatcher.java:207) 
    at com.google.net.async.EventDispatcher.loop(EventDispatcher.java:103) 
    at com.google.net.rpc.RpcService.runUntilServerShutdown(RpcService.java:251) 
    at com.google.apphosting.runtime.JavaRuntime$RpcRunnable.run(JavaRuntime.java:413) 
    at java.lang.Thread.run(Unknown Source)

代码:

Gson gson = new Gson(); 
String json = gson.toJson(modelObject);
+1

这种反射功能可能无法在App Engine上使用。然而,奇怪的是,AccessibleObject在JRE白名单中列出:http://code.google.com/appengine/docs/java/jrewhitelist.html – 2010-06-09 03:03:45

+0

@Jason:谢谢你的回复。所以这意味着我需要写我自己的JSON方法:( – Legend 2010-06-09 03:09:46

+2

反射在App Engine上是可用的 - 但看起来这个特定的对象是禁止的,奇怪的是库甚至试图访问它 - 你是否想要序列化一个BitSet over JSON? – 2010-06-09 09:17:53

app引擎不支持反射 - 但您要反映一个JRE类的私有字段:

反思

则允许应用程序充分, 不受限制,以反射进入其 自己的类。它可以查询任何私有成员,使用 java.lang.reflect.AccessibleObject.setAccessible(), 和读取/设置私有成员。

应用程序也可以还反映JRE和API类,如 java.lang.String中和 javax.servlet.http.HttpServletRequest 。 但是,它只能访问这些类的公共 成员,而不是 受保护或私有。

应用程序不能反映针对 任何其他类不属于 本身,它不能使用 setAccessible()方法来规避 这些限制。

...从http://code.google.com/appengine/docs/java/runtime.html#The_Sandbox

我会考虑写比特集自定义序列。

参见:http://sites.google.com/site/gson/gson-user-guide#TOC-Custom-Serialization-and-Deserializ

另外:http://groups.google.com/group/google-gson/browse_thread/thread/535892ffcf691aa/897f27e37e03ce58?lnk=gst&q=bitset#897f27e37e03ce58

http://groups.google.com/group/google-gson/browse_thread/thread/535892ffcf691aa

+0

谢谢。我想我的情况,我不确定为什么GSON正在做它在做的事情:)如果你知道任何其他方式使它工作, 这一定非常棒。 – Legend 2010-06-09 23:22:06

+0

没有wukkas。也许regisiter是Bitset的自定义序列化程序? – 2010-06-10 03:30:55

+0

感谢您的建议。我会仔细看看的。 – Legend 2010-06-10 19:39:10

如果App Engine不支持的反思,那么我们非常留给我们自己写的toJSON方法。这是可以做到如下(没什么大不了的,但有人可能会发现它很有用):

public SampleObject { 

    //... 

    /** 
    * Convert this object to a JSON object for representation 
    */ 
    public JSONObject toJSON() { 
    try { 
     JSONObject jsonobj = new JSONObject(); 
     jsonobj.put("id", this.id); 
     jsonobj.put("name", this.name); 
     return jsonobj; 
    } catch(Exception e) { 
     return null; 
    } 
    } 
}

然后,你可以使用这个对象的toString方法打印出来的JSON表示。不是我认同的最好但现在有一些解决方法。

您可以构建GsonBuilder与.excludeFieldsWithoutExposeAnnotation(),并标记与@expose注释所有序列化的字段。在这种情况下,Gson不会尝试序列化其他你想要的字段。

GsonBuilder gsonBuilder = new GsonBuilder(); 
gsonBuilder.excludeFieldsWithoutExposeAnnotation(); 
String json = gsonBuilder.create().toJson(modelObject);

最近我遇到过类似的问题。

我正在运行Gson来解析JSON,它运行良好很长一段时间,所以我不担心GAE不允许Reflection在它的平台上。

我引入了一个HashMap的Form类,它在我的本地系统中运行良好,Gson完美地完成了JSON解析。

但是,当我部署的代码到谷歌的App Engine云它失败,出现以下异常:

java.lang.SecurityException: java.lang.IllegalAccessException: Reflection is not allowed on private final int java.lang.ThreadLocal.threadLocalHashCode

所以,现在我已经切换到杰克逊JSON解析器这是更快,并且不使用反射 - 但是的 - 更多的工作。

相关推荐