解决dubbo3.0.7遇到别的服务异常时报错:Please add it into security/serialize.allowlist or follow FAQ to configure

原创 已于 2024-11-25 17:33:00 修改 · 736 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#dubbo #java #微服务

于 2024-11-25 17:25:32 首次发布

1、问题背景

在测试环境,切换至贵阳环境时,突然dubbo部署服务后,在别的服务遇到我们内部自己定义的异常时,会出现以下报错:

Tried 3 times of the providers [XXXX:XXX] (1/1) from the registry XXX:2181 on the consumer XXX using the dubbo version 3.2.16. Last error is: Failed to invoke remote method: getTenantOpenApiConfig, provider: DefaultServiceInstance{serviceName='service-doc', host='XXX', port=XXX, enabled=true, healthy=true, metadata={dubbo.endpoints=[{"port":XXX,"protocol":"dubbo"}], dubbo.metadata-service.url-params={"prefer.serialization":"fastjson2,hessian2","version":"1.0.0","dubbo":"2.0.2","release":"3.2.16","side":"provider","port":"XXX","protocol":"dubbo"}, dubbo.metadata.revision=d01d9a20f83863e80ccece49eae4cd8d, dubbo.metadata.storage-type=local, timestamp=1731417845837}}, service{name='com.netease.ys.athena.api.service.TenantService',group='null',version='1.0.0',protocol='dubbo',port='20880',params={side=provider, release=3.2.16, methods=getTenantOpenApiConfig,isNosPrivateTenant, logger=slf4j, deprecated=false, dubbo=2.0.2, interface=com.netease.ys.athena.api.service.TenantService, service-name-mapping=true, version=1.0.0, generic=false, revision=1.0-SNAPSHOT, application=service-doc, prefer.serialization=fastjson2,hessian2, payload=16777216, dynamic=true, service.filter=tracing,dubboLog,-exception, REGISTRY_CLUSTER=default, register=true},}, cause: org.apache.dubbo.remoting.RemotingException: java.io.IOException: org.apache.dubbo.common.serialize.SerializationException: java.lang.IllegalArgumentException: [Serialization Security] Serialized class com.xxx.common.AthenaException is not in allow list. Current mode is `STRICT`, will disallow to deserialize it by default. Please add it into security/serialize.allowlist or follow FAQ to configure it.
java.io.IOException: org.apache.dubbo.common.serialize.SerializationException: java.lang.IllegalArgumentException: [Serialization Security] Serialized class com.netease.ys.athena.common.AthenaException is not in allow list. Current mode is `STRICT`, will disallow to deserialize it by default. Please add it into security/serialize.allowlist or follow FAQ to configure it.
        at org.apache.dubbo.common.serialize.DefaultSerializationExceptionWrapper.handleToIOException(DefaultSerializationExceptionWrapper.java:353)
        at org.apache.dubbo.common.serialize.DefaultSerializationExceptionWrapper.access$000(DefaultSerializationExceptionWrapper.java:27)
        at org.apache.dubbo.common.serialize.DefaultSerializationExceptionWrapper$ProxyObjectInput.readThrowable(DefaultSerializationExceptionWrapper.java:181)
        at org.apache.dubbo.rpc.protocol.dubbo.DecodeableRpcResult.handleException(DecodeableRpcResult.java:186)
        at org.apache.dubbo.rpc.protocol.dubbo.DecodeableRpcResult.decode(DecodeableRpcResult.java:114)
        at org.apache.dubbo.rpc.protocol.dubbo.DecodeableRpcResult.decode(DecodeableRpcResult.java:153)
        at org.apache.dubbo.remoting.transport.DecodeHandler.decode(DecodeHandler.java:61)
        at org.apache.dubbo.remoting.transport.DecodeHandler.received(DecodeHandler.java:49)
        at org.apache.dubbo.remoting.transport.dispatcher.ChannelEventRunnable.run(ChannelEventRunnable.java:64)
        at org.apache.dubbo.common.threadpool.ThreadlessExecutor$RunnableWrapper.run(ThreadlessExecutor.java:151)
        at org.apache.dubbo.common.threadpool.ThreadlessExecutor.waitAndDrain(ThreadlessExecutor.java:77)
        at org.apache.dubbo.rpc.AsyncRpcResult.get(AsyncRpcResult.java:219)
        at org.apache.dubbo.rpc.protocol.AbstractInvoker.waitForResultIfSync(AbstractInvoker.java:292)
        at org.apache.dubbo.rpc.protocol.AbstractInvoker.invoke(AbstractInvoker.java:194)
        at org.apache.dubbo.rpc.listener.ListenerInvokerWrapper.invoke(ListenerInvokerWrapper.java:71)
        at brave.dubbo.TracingFilter.invoke(TracingFilter.java:120)
        at org.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CopyOfFilterChainNode.invoke(FilterChainBuilder.java:349)
        at com.netease.ys.odin.sdk.common.dubbo.TraceIdFilter.invoke(TraceIdFilter.java:26)
        at org.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CopyOfFilterChainNode.invoke(FilterChainBuilder.java:349)
        at org.apache.dubbo.rpc.filter.RpcExceptionFilter.invoke(RpcExceptionFilter.java:40)
        at org.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CopyOfFilterChainNode.invoke(FilterChainBuilder.java:349)
        at com.alibaba.dubbo.rpc.Invoker$CompatibleInvoker.invoke(Invoker.java:77)
        at com.netease.ysf.isolation.core.unit.dubbo.DubboTraceFilter.invoke(DubboTraceFilter.java:54)
        at com.alibaba.dubbo.rpc.Filter.invoke(Filter.java:34)
        at org.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CopyOfFilterChainNode.invoke(FilterChainBuilder.java:349)
        at org.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CallbackRegistrationInvoker.invoke(FilterChainBuilder.java:197)
        at org.apache.dubbo.rpc.protocol.ReferenceCountInvokerWrapper.invoke(ReferenceCountInvokerWrapper.java:106)
        at org.apache.dubbo.rpc.cluster.support.AbstractClusterInvoker.invokeWithContext(AbstractClusterInvoker.java:412)
        at org.apache.dubbo.rpc.cluster.support.FailoverClusterInvoker.doInvoke(FailoverClusterInvoker.java:82)
        at org.apache.dubbo.rpc.cluster.support.AbstractClusterInvoker.invoke(AbstractClusterInvoker.java:366)
        at org.apache.dubbo.rpc.cluster.router.RouterSnapshotFilter.invoke(RouterSnapshotFilter.java:46)
        at org.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CopyOfFilterChainNode.invoke(FilterChainBuilder.java:349)
        at org.apache.dubbo.monitor.support.MonitorFilter.invoke$original$KCmLLvOt(MonitorFilter.java:108)
        at org.apache.dubbo.monitor.support.MonitorFilter.invoke$original$KCmLLvOt$accessor$b860Fxap(MonitorFilter.java)
        at org.apache.dubbo.monitor.support.MonitorFilter$auxiliary$RDFx4XP6.call(Unknown Source)
        at org.apache.skywalking.apm.agent.core.plugin.interceptor.enhance.InstMethodsInter.intercept(InstMethodsInter.java:86)
        at org.apache.dubbo.monitor.support.MonitorFilter.invoke(MonitorFilter.java)
        at org.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CopyOfFilterChainNode.invoke(FilterChainBuilder.java:349)
        at org.apache.dubbo.rpc.cluster.filter.support.MetricsClusterFilter.invoke(MetricsClusterFilter.java:57)
        at org.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CopyOfFilterChainNode.invoke(FilterChainBuilder.java:349)
        at org.apache.dubbo.rpc.protocol.dubbo.filter.FutureFilter.invoke(FutureFilter.java:52)
        at org.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CopyOfFilterChainNode.invoke(FilterChainBuilder.java:349)
        at org.apache.dubbo.spring.security.filter.ContextHolderParametersSelectedTransferFilter.invoke(ContextHolderParametersSelectedTransferFilter.java:40)
        at org.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CopyOfFilterChainNode.invoke(FilterChainBuilder.java:349)
        at org.apache.dubbo.metrics.filter.MetricsFilter.invoke(MetricsFilter.java:86)
        at org.apache.dubbo.rpc.cluster.filter.support.MetricsConsumerFilter.invoke(MetricsConsumerFilter.java:38)
        at org.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CopyOfFilterChainNode.invoke(FilterChainBuilder.java:349)
        at org.apache.dubbo.rpc.cluster.filter.support.ConsumerClassLoaderFilter.invoke(ConsumerClassLoaderFilter.java:40)
        at org.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CopyOfFilterChainNode.invoke(FilterChainBuilder.java:349)
        at org.apache.dubbo.rpc.cluster.filter.support.ConsumerContextFilter.invoke(ConsumerContextFilter.java:119)
        at org.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CopyOfFilterChainNode.invoke(FilterChainBuilder.java:349)
        at org.apache.dubbo.rpc.cluster.filter.FilterChainBuilder$CallbackRegistrationInvoker.invoke(FilterChainBuilder.java:197)
        at org.apache.dubbo.rpc.cluster.support.wrapper.AbstractCluster$ClusterFilterInvoker.invoke(AbstractCluster.java:101)
        at org.apache.dubbo.rpc.cluster.support.wrapper.MockClusterInvoker.invoke(MockClusterInvoker.java:106)
        at org.apache.dubbo.rpc.cluster.support.wrapper.ScopeClusterInvoker.invoke(ScopeClusterInvoker.java:171)
        at org.apache.dubbo.registry.client.migration.MigrationInvoker.invoke(MigrationInvoker.java:294)
        at org.apache.dubbo.rpc.proxy.InvocationUtil.invoke(InvocationUtil.java:64)
        at org.apache.dubbo.rpc.proxy.InvokerInvocationHandler.invoke(InvokerInvocationHandler.java:81)
        at com.netease.ys.athena.api.service.TenantServiceDubboProxy0.getTenantOpenApiConfig$sentryProxy1(TenantServiceDubboProxy0.java)
        at com.netease.ys.athena.api.service.TenantServiceDubboProxy0.getTenantOpenApiConfig(TenantServiceDubboProxy0.java)
        at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
        at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
        at java.lang.reflect.Method.invoke(Method.java:498)
        at org.apache.dubbo.config.spring.util.LazyTargetInvocationHandler.invoke(LazyTargetInvocationHandler.java:54)
        at com.netease.ys.athena.api.service.TenantServiceDubboProxy0.getTenantOpenApiConfig$sentryProxy1(TenantServiceDubboProxy0.java)
        at com.netease.ys.athena.api.service.TenantServiceDubboProxy0.getTenantOpenApiConfig(TenantServiceDubboProxy0.java)
        at com.netease.ys.athena.webapp.athena.auth.AuthManager.authOpenApi$sentryProxy5(AuthManager.java:372)
        at com.netease.ys.athena.webapp.athena.auth.AuthManager.authOpenApi(AuthManager.java)
        at com.netease.ys.athena.webapp.athena.aspect.ApiAspect.around$sentryProxy1(ApiAspect.java:89)
        at com.netease.ys.athena.webapp.athena.aspect.ApiAspect.around(ApiAspect.java)
        at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
        at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
        at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
        at java.lang.reflect.Method.invoke(Method.java:498)
        at org.springframework.aop.aspectj.AbstractAspectJAdvice.invokeAdviceMethodWithGivenArgs(AbstractAspectJAdvice.java:644)
        at org.springframework.aop.aspectj.AbstractAspectJAdvice.invokeAdviceMethod(AbstractAspectJAdvice.java:633)
        at org.springframework.aop.aspectj.AspectJAroundAdvice.invoke(AspectJAroundAdvice.java:70)
        at org.springframework.aop.framework.ReflectiveMethodInvocation.proceed(ReflectiveMethodInvocation.java:175)
        at org.springframework.aop.interceptor.ExposeInvocationInterceptor.invoke(ExposeInvocationInterceptor.java:93)

主要意思就是序列化时遇到了异常:java.lang.IllegalArgumentException。我们自己定义的AthenaException不在允许列表中。当前模式为“STRICT”,默认情况下不允许对其进行反序列化。请将其添加到security/serialize.allowlist或按照常见问题解答进行配置。

2、问题解决

1、我们按照这里的提示,查了文档,在各服务的application.yml下新增了这个配置:

  application:
    name: @app.name@
    id: @app.name@
    qos-enable: false
    serialization-allowlist: xxx.common.AthenaException

然后重新部署,果然还是不行。
2、后面看了很多的社区信息、还有官方文档。最后还是决定把dubbo版本进行升级,看文档升级到3.2.16。并且把配置改为了: serialize-check-status: WARN

  application:
    name: @app.name@
    id: @app.name@
    qos-enable: false
    serialize-check-status: WARN

dubbo官网
我们升级了dubbo以后,在服务提供方抛出异常的时候,如果这个异常不在序列化名单内,还是没解决,最后还需把序列化的方式改为hessian2,当前dubbo版本是3.2,默认的序列化方式fastjson2,改为hessian2就解决了这个问题。

  provider:
    filter: 'tracing,dubboLog,-exception'
    prefer-serialization: hessian2
    serialization: hessian2

参考资料:
https://github.com/apache/dubbo/pull/11769
https://cn.dubbo.apache.org/zh-cn/download/

异常】使用Dubbo和zookeeper报错NoClassDefFoundError: org/apache/curator/framework/CuratorFrameworkFactory
本本本添哥
01-17 2960
SpringBoot2使用Dubbo和zookeeper报错: > Caused by: java.lang.ClassNotFoundException: > org.apache.curator.framework.CuratorFrameworkFactory
异常解决报错[org/springframework/security/web/AuthenticationEntryPoint.class] cannot be opened because
本本本添哥
01-03 1874
异常解决报错[org/springframework/security/web/AuthenticationEntryPoint.class] cannot be opened because
Dubbo
while(life)++;
07-18 519
dubbo是阿里巴巴的开源的高性能的java RPC框架,现在是Apache基金会的管理与支持之下,可以实现如服务发现、负载均衡、流量调度等服务治理诉求。通用内容,是consumer和provider中,公共使用的实体类、service的接口,通过maven依赖引用的方式,引入到需要的项目中,不用启动,main方法可以删。直接在dubbo工程下新建两个springboot项目,dubbo-boot-provider和dubbo-boot-consumer。,并指定服务端提供的接口地址。
dubbo源码分析 - 序列化与反序列化
赵小叔
07-28 2303
  概念: 序列化:把对象转换为字节序列的过程称为对象的序列化。  反序列化:把字节序列恢复为对象的过程称为对象的反序列化。   在Dubbo RPC中,同支持多种序列化方式: (1)dubbo序列化,阿里尚不成熟的java序列化实现。 (2)hessian2序列化:hessian是一种跨语言的高效二进制的序列化方式,但这里实际不是原生的hessian2序列化,而是阿里修改过的hes...
Dubbo分析之Serialize
weixin_34074740的博客
10-09 268
Dubbo整体设计 关于Dubbo的整体设计可以查看官方文档,下图可以清晰的表达Dubbo的整体设计: 1.图例说明 图中左边淡蓝背景的为服务消费方使用的接口,右边淡绿色背景的为服务提供方使用的接口,位于中轴线上的为双方都用到的接口;图中从下至上分为十层,各层均为单向依赖,右边的黑色箭头代表层之间的依赖关系;图中绿色小块的为扩展接口,蓝色...
dubbo序列化问题之 Serialized class cn.demo.vo.testDto is not in allow list. Current mode is `STRICT`
TANG256tang的博客
02-08 3110
dubbo序列化问题之 Serialized class cn.demo.vo.testDto is not in allow list. Current mode is `STRICT`
升级Dubbo3.2.6遇到的一个异常反序列化问题
cloudlu的专栏
12-18 2002
跟踪了半天,首先发现,如果在dubbo接口上显示声明抛出的异常的话,可以正常运行代码。跟踪源码发现,DecodeableRpcResult反序列化,如果没有显示声明抛出异常的的话,反序列化的对象是个Hashmap,两种情况下入参的二进制流是一样的。继续跟踪,发现反序列化候使用的是sticky模式,至此差不多清楚了。升级后新版本dubbo反序列化采用严格模式,接口上未声明的以及未涉及到的类都不会正常序列化。google和百度搜了半天,没发现和我一样的问题,有一篇类似的文章是早期版本的。
dubbo序列化
weixin_34268310的博客
05-20 249
dubbo序列化 dubbo作为一个rpc框架支持丰富的序列化方式,本文简单介绍dubbo的序列化。本文结构: 对象序列化是什么意思? dubbo序列化 几个问题 对象序列化是什意思? 先来思考两个问题: 普通的Java对象的生命周期是仅限于一个JVM中的,只要JVM停止,这个对象也就不存在了,下次JVM启动我们还想使用这个对象怎么办呢? 或者我们想要把一个对象传递给另外一个JVM的候,应...
Dubbo启动报错:io/netty/bootstrap/ServerBootstrap和 Fail to start server(url: dubbo://192.168.137.1:20880
weixin_44216706的博客
06-16 1456
前言:dubbo版本为2.6.8 报错如下: NoClassDefFoundError: io/netty/bootstrap/ServerBootstrap com.alibaba.dubbo.rpc.RpcException: Fail to start server(url: dubbo://192.168.137.1:20880 NoClassDefFoundError: io/netty/bootstrap/ServerBootstrap 解决:添加netty-all依赖 <depe
Failed to bind NettyServer on /169.254.116.120:20880, cause: Failed to bind to: /0.0.0.0:20880解决方案
sercherxin的博客
09-28 1328
这里写自定义目录标题问题 刚才在启动dubbo服务遇到的问题,开始只有一个提供服务的模块,都没有问题,后面又多建了一个提供服务的模块后,启动一个能正常启动,启动第二个就一直报错:Failed to bind NettyServer on /169.254.116.120:20880, cause: Failed to bind to: /0.0.0.0:20880,换顺序启动都是第二个无法启动,看着是因为端口的问题,但是在设置里已经把两个服务的端口都改了的 问题 刚才在启动dubbo服务遇到的问题,开始
Dubbo 启动报java.lang.NoClassDefFoundError: org/apache/curator/RetryPolicy
weixin_46009736的博客
05-01 4884
1.## Dubbo 启动报java.lang.NoClassDefFoundError: org/apache/curator/RetryPolicy 2. Failed to subscribe consumer://169.254.152.105/ 1.Dubbo 启动报错 错误信息 "C:\Program Files\Java\jdk1.8.0_74\bin\java.exe" -ea -...
Apache Dubbo是一个高性能的,基于Java的开源RPC服务框架
05-24
Dubbo 是一个高性能优秀的服务框架,使得应用可通过高性能的 RPC 实现服务的输出和输入功能,可以和 Spring 框架无缝集成
dubbo报错:not support none serializable class org.springframework.security.web.servletapi.HttpServlet3
qq_57828911的博客
08-02 614
Dubbo 报错提示 not support none serializable class 表示 Dubbo 在尝试序列化某个对象遇到了问题。这里的问题是类没有实现序列化接口,因此无法被正确地序列化。在微服务架构中,服务提供者和服务消费者之间需要传输对象,这些对象必须是可以序列化的,这样才能在网络上传输。
Dubbo-接口数据序列化Serialization
u010277958的博客
06-10 1813
概念: 序列化:把对象转换为字节序列的过程称为对象的序列化。 反序列化:把字节序列恢复为对象的过程称为对象的反序列化。 在Dubbo RPC中,同支持多种序列化方式: dubbo序列化,阿里尚不成熟的java序列化实现。 hessian2序列化:hessian是一种跨语言的高效二进制的序列化方式,但这里实际不是原生的hessian2序列化,而是阿里修改过的hessian lite,它是...
序列化
u010112268的博客
03-09 213
序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 序列化使其他代码可以查看或修改,那些不序列化便无法访问的对象实例数据。确切地说,代码执行序列化需要特殊的权限:即指定了 SerializationFormatter 标志的 Secur...
org.apache.dubbo.common.serialize.SerializationException: com.alibaba.fastjson2.JSONException: not s
weixin_73060959的博客
11-30 805
根据您提供的错误信息 "org.apache.dubbo.common.serialize.SerializationException: com.alibaba.fastjson2.JSONException: not support none serializable class com.xxx.cloud.entity.request",这表明在使用Dubbo进行远程调用,序列化组件(在这里是fastjson2)无法处理一个没有实现Serializable接口的类。接口,如果没有,需要添加该接口。
Dubbo序列化错误
silentcoo1的博客
08-05 1361
SpringBoot在application.yml中配置如下。
dubbo序列化异常
hero_hope的博客
12-17 2068
dubbo序列化异常 1. 服务返回值类型没有实现序列化接口, 会抛出异常 2. 服务消费者传参给服务提供者, 参数类型没有实现序列化接口, 也会抛出异常, 最经典是就是, 服务消费者传HttpServletRequest类型的参数, 会抛出Serialized class org.apache.catalina.connector.RequestFacade must implement ja...
dubbo源码分析-dubbo-serialization
m0_67401134的博客
04-01 811
dubbo-serialization dubbo-serialization是dubbo中实现序列化相关的代码。 共5种序列化方式,可从名字直接看出含义,这里不再赘述。 dubbo-serialization-fastjson dubbo-serialization-fst dubbo-serialization-hessian2 dubbo-serialization-jdk dubbo-serialization-kryo dubbo-serialization-api dubbo-serial
dubbo报错 is not in allow list. Current mode is `STRICT`, will disallow to deserialize it by default. Please add it into security/serialize.allowlist or follow FAQ to configure it.
最新发布
04-03
<think>嗯,用户遇到了Dubbo在STRICT模式下反序列化报错的问题,提示类不在允许列表里。我需要帮他找到解决方法。首先,根据引用[1],问题是因为默认的STRICT模式禁止反序列化不在白名单中的类。解决方案应该是将需要的类添加到serialize.allowlist里。 用户可能需要知道如何配置这个白名单。根据引用[3],例子是在文件中写入全路径类名。那具体应该怎么操作呢?可能需要说明配置文件的路径和格式,比如在resources目录下创建dubbo目录,然后添加serialize.allowlist文件,每行一个类名。 另外,用户可能不知道如何切换模式到WARN或DISABLE,虽然不建议,但有候临解决可能需要。引用[1]提到有三种模式,可以说明通过设置dubbo.application.serialization-security-level参数来调整。 还有,用户可能想知道如何验证配置是否正确生效,可能需要建议重启应用并测试反序列化是否成功。同,提醒用户注意安全风险,特别是使用非STRICT模式的潜在问题。 需要分步骤说明,先加白名单,再可选改模式。最后给出注意事项,确保用户明白安全性。可能还需要检查类路径是否正确,避免拼写错误。引用中的例子是cn.demo.vo.testDto,要提醒用户替换为自己的类名。 总结步骤:配置白名单文件、修改模式(可选)、验证和注意事项。这样用户就能一步步解决问题了。</think>### 解决方案:Dubbo STRICT模式反序列化报错处理 #### 1. 问题原因分析 Dubbo 3.x版本默认启用**STRICT**安全模式,严格限制反序列化操作仅允许白名单(`serialize.allowlist`)中定义的类。若反序列化遇到未明确允许的类,会抛出`Serialized class [类名] is not in allow list`异常[^1][^2]。 #### 2. 配置步骤 ##### 方法1:添加类到白名单文件 1. **创建/修改白名单文件** 在项目资源目录(`src/main/resources`)下创建文件: ```plaintext META-INF/dubbo/org.apache.dubbo.common.serialize.SerializationSecurityChecker ``` 文件内容为需要允许的类全限定名,每行一个类,例如: ```plaintext cn.demo.vo.testDto com.example.model.User ``` 2. **配置加载路径验证** 确保白名单文件位于正确的类路径位置,Dubbo会自动扫描`META-INF/dubbo`目录下的配置[^3]。 ##### 方法2:调整安全模式(非推荐,需评估风险) 修改Dubbo全局配置,将安全模式调整为**WARN**(仅记录警告)或**DISABLE**(完全禁用检查): ```properties # application.properties dubbo.application.serialization-security-level=WARN ``` **注意**:此方法会降低安全性,仅在测试环境临使用[^1]。 #### 3. 验证配置 1. 重启Dubbo服务,触发反序列化操作。 2. 检查日志中是否仍存在`not in allow list`错误。 3. 若使用**WARN**模式,确认日志中是否生成对应的类加载警告信息。 #### 4. 安全建议 - **最小化白名单**:仅添加业务必需的类,避免通配符或范围过大的包路径。 - **定期审计**:检查白名单中是否存在废弃类或潜在风险类。 - **依赖管理**:确保第三方依赖库的序列化类已明确授权[^3]。 #### 5. 补充说明 - **优先级规则**:白名单配置优先级高于全局模式设置。 - **动态更新**:部分Dubbo版本支持通过管理接口动态更新白名单,减少重启次数。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

青山孤客

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值