Spring-Kafka :反序列化kafka消息类时的问题不在“受信任的包”中?
在使用Spring-Kafka进行消息处理时,如果遇到反序列化Kafka消息类不在“受信任的包”中的问题,通常是由于Spring Security的配置导致的。Spring Security默认情况下会对反序列化的类进行安全检查,以防止潜在的安全风险,如反序列化漏洞(例如著名的CVE-2015-4852)。
基础概念
反序列化:将字节流转换回原始对象的过程。 受信任的包:在Spring Security中,允许进行反序列化的类所在的包。
相关优势
- 安全性:防止不受信任的类被反序列化,减少安全风险。
- 灵活性:可以根据需要配置哪些包是安全的,哪些不是。
类型与应用场景
- 默认配置:Spring Security默认不允许反序列化不在受信任包中的类。
- 自定义配置:根据应用需求,可以自定义受信任的包列表。
问题原因
当Kafka消息类不在Spring Security配置的受信任包中时,反序列化操作会失败,并抛出安全异常。
解决方法
可以通过以下几种方式解决这个问题:
方法一:配置受信任的包
在Spring Security配置中明确指定允许反序列化的包。
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
// ... 其他配置 ...
.headers()
.frameOptions().sameOrigin()
.and()
.csrf().disable()
.and()
.authorizeRequests()
.anyRequest().authenticated()
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS);
}
@Bean
public KafkaListenerContainerFactory<?> kafkaListenerContainerFactory(
ConcurrentKafkaListenerContainerFactoryConfigurer configurer,
ConsumerFactory<Object, Object> consumerFactory) {
ConcurrentKafkaListenerContainerFactory<Object, Object> factory =
new ConcurrentKafkaListenerContainerFactory<>();
configurer.configure(factory, consumerFactory);
// 设置反序列化器
factory.getContainerProperties().setPollTimeout(3000);
factory.getContainerProperties().setAckMode(ContainerProperties.AckMode.MANUAL);
factory.getContainerProperties().setClientIdPrefix("client-id-");
factory.getContainerProperties().setTransactionIdPrefix("tx-id-");
// 配置受信任的包
factory.setBeanFactory(new DefaultListableBeanFactory() {
@Override
protected void customizeBeanFactory(DefaultListableBeanFactory beanFactory) {
super.customizeBeanFactory(beanFactory);
beanFactory.addBeanPostProcessor(new BeanPostProcessor() {
@Override
public Object postProcessBeforeInitialization(Object bean, String beanName) throws BeansException {
return bean;
}
@Override
public Object postProcessAfterInitialization(Object bean, String beanName) throws BeansException {
if (bean instanceof KafkaMessageConverter) {
((KafkaMessageConverter) bean).setTrustedPackages(Arrays.asList("com.example.package"));
}
return bean;
}
});
}
});
return factory;
}
}方法二:使用@KafkaListener注解的properties属性
在@KafkaListener注解中直接指定受信任的包。
@KafkaListener(topics = "test-topic", properties = {
"security.protocol=SASL_PLAINTEXT",
"sasl.mechanism=PLAIN",
"sasl.jaas.config=org.apache.kafka.common.security.plain.PlainLoginModule required username=\"admin\" password=\"admin\";",
"allow.auto.create.topics=true",
"auto.offset.reset=earliest",
"key.deserializer=org.apache.kafka.common.serialization.StringDeserializer",
"value.deserializer=org.springframework.kafka.support.serializer.ErrorHandlingDeserializer",
"value.deserializer.org.springframework.kafka.support.serializer.JsonDeserializer.trustedPackages=com.example.package"
})
public void listen(ConsumerRecord<String, MyMessage> record) {
// 处理消息
}方法三:自定义反序列化器
实现自定义的反序列化器,并在其中指定受信任的包。
public class CustomDeserializer implements Deserializer<MyMessage> {
@Override
public MyMessage deserialize(String topic, byte[] data) {
try (ByteArrayInputStream bis = new ByteArrayInputStream(data);
ObjectInput in = new ObjectInputStream(bis)) {
in.setObjectInputFilter(filterInfo -> {
if (filterInfo.serialClass() != null && filterInfo.serialClass().getName().startsWith("com.example.package")) {
return ObjectInputFilter.Status.ALLOWED;
} else {
return ObjectInputFilter.Status.REJECTED;
}
});
return (MyMessage) in.readObject();
} catch (IOException | ClassNotFoundException e) {
throw new RuntimeException("Failed to deserialize message", e);
}
}
@Override
public void configure(Map<String, ?> configs, boolean isKey) {
// 配置相关参数
}
@Override
public void close() {
// 关闭资源
}
}然后在Kafka配置中使用这个自定义的反序列化器。
@Bean
public Map<String, Object> consumerConfigs() {
Map<String, Object> props = new HashMap<>();
props.put(ConsumerConfig.BOOTSTRAP_SERVERS_CONFIG, "localhost:9092");
props.put(ConsumerConfig.KEY_DESERIALIZER_CLASS_CONFIG, StringDeserializer.class);
props.put(ConsumerConfig.VALUE_DESERIALIZER_CLASS_CONFIG, CustomDeserializer.class);
return props;
}通过以上方法,可以有效解决Spring-Kafka中反序列化消息类不在受信任包中的问题。
相关·内容
我怎么才能解决这个问题。显然,这些包是不一样的。那么我如何确保有适当的json序列化呢?
浏览 78提问于2018-12-29得票数 1
回答已采纳
我正在尝试反序列化从conumers作用域以外的服务生成的消息。如果序列化/反序列化模型的包不同,则发生“kafka模型不在受信任的包中”错误。
所以我想我有两个选择。要么以json/string的形式生成消息,要么让使用者包含生产者库,并使用相同的模型来反序列化<
浏览 2提问于2021-12-03得票数 1
回答已采纳
当我信任所有使用“*”的包时,一切都很正常,但我只想信任域的包。这就是我试过的,但不起作用。javaTypeMapper.addTrustedPackages("com.domain"); java.lang.IllegalArgumentException:类'com.domain.service.dto.name.SomeDto‘不在受信任</em
浏览 12提问于2022-11-23得票数 0
我试图在两个不同的Spring应用程序之间实现一个简单的Kafka通信,没有任何特殊设置,这个应用程序只有一个kafkalistener。我为消费者提供的服务如下: kafka: topic: consumer:
原因: java.lang.IllegalArgumentException:类' com.example.kw.dtos
浏览 0提问于2018-05-27得票数 12
回答已采纳
我知道这个问题很常见,但是在遵循不同的解决方案之后,我找不到一个有效的解决方案。在收到Kafka中的消息时,我想反序列化字符串和自定义的类对象。用字符串很好,但对我的班不行。我在使用者配置中添加了受信任的包(类所在的包是com.spring
浏览 1提问于2019-04-02得票数 8
回答已采纳
当我创建使用者并试图反序列化对象时,我得到了错误。由: IllegalArgumentException:类'com.domain.project2.package2.SomeEvent‘不在受信任的包中: java.util、java.lang、com.domain.project2我的.yml配置: kafka:
bootstrap-servers: loc
浏览 3提问于2020-02-14得票数 0
回答已采纳
1回答
我正在将我的应用程序集成到spring(不是spring-integration-kafka)。以下是项目的spring文档:@EnableKafka
@Value("${kafka.broker.list}") // List of servers server我在日志中没有看到任何例外。另外,我尝试了使用类似的配
浏览 3提问于2016-07-08得票数 3
11回答
在库更新之前的Spring / Kafka应用程序中,我使用以下类org.telegram.telegrambots.api.objects.Update将消息发送到Kafka主题。如你所见-他们有不同的包裹。应用程序重新启动后,我遇到以下问题:
[org.springframework.kafka.KafkaListenerEndpointContainer#1-0-C-1] o.s.kafka.list
浏览 2提问于2018-08-04得票数 36
回答已采纳
我对spring-kafka中的串行器和消息转换器感到有点困惑。什么时候应该使用Spring消息转换器,什么时候只使用Kafka序列化器?据我所知,在Spring中,更好的方式是使用StringSerializer配置Kafka客户机键/值序列化程序,然后在KafkaTemplate上配置一个消息转换器,用于实际的POJO到字符串的转换
浏览 37提问于2021-06-18得票数 2
回答已采纳
1回答
class DataEntity implements Data {}
添加实体时,persistence.DataEntity‘不在受信任的包中.但是设计应该是这样的;我希望客户机只知道域包,而不是它的persistence实现。(顺便问一句,在哪里可以看到这个类
浏览 1提问于2019-04-19得票数 1
回答已采纳
我们今天遇到了一个问题,一个Kakfa消费者无法连接到任何代理,日志中没有错误消息。当它通过SSL连接并且指向错误的信任库时,它未能连接。但是,虽然在这种情况下,这是由于SSL失败,但我也曾见过其他情况,即使用者无法连接,日志中没有错误消息。
是否有一种方法来配置卡夫卡使用者,以便在使用者无法连接到代理?时记录错误消息--我正在寻找一个通用解决方案,而不是特定于SSL连接问题的解决
浏览 1提问于2018-11-07得票数 3
我正在将来自卡夫卡主题的消息存储在KeyValueStore中,以便以后查询它们。:spring.cloud.stream.kafka.streams.bindings.input: consumer: materializedAs: all-messagesvalue-serializer: com.me.MyMessageSerializer
但是,当我从KeyValueStore读取键时,键作为String正确
浏览 1提问于2019-07-03得票数 1
回答已采纳
我刚刚开始使用Kafka和Spring Boot &我想发送和消费JSON对象。当我尝试消费来自Kafka主题的消息时,收到以下错误:at org.apache.kafka.clients.consu
浏览 0提问于2018-05-10得票数 7
我有一个简单的项目,它使用流和Kafka绑定器。一切都很好,但是来自卡夫卡的消息头值作为byte[]到达。我已经将Kafka客户端配置为使用StringSerializer/StringDeserializer。
浏览 3提问于2019-10-26得票数 7
回答已采纳
我有一个简单的流处理器(不是消费者/生产者)使用kafka流绑定器。message.name).isEqualTo(key.name) }在运行它时,我在行inputTopic.pipeInput(key, value)中得到了这个错误
类'package.FooAddress‘不在受信任的
浏览 4提问于2020-10-24得票数 1
回答已采纳
2回答
我必须在kafka消息中设置一个自定义标题,我的kafka集群本机支持报头(1.x.x)。我目前正在使用springCloudVersion=Finchley.RELEASE。当我设置属性时 producer:输出中没有任何一个标头。另一方面,如果我正在设置 producer:包括contentType和spring_
浏览 3提问于2019-10-29得票数 0
回答已采纳
我是阿帕奇卡夫卡的新手。我试图找出解决这个问题的办法,但失败了。生产者代码运行良好,数据存储在Kafka主题中。NoramlizedEvent是一个简单的POJO,用于生产者和消费者。我的制片人代码: return
浏览 2提问于2021-05-10得票数 1
回答已采纳
1回答
在使用kafka-streams时,我会得到以下错误。文件中添加以下代码。但我还是有 deserializationExceptionHandler: logAndContinue 有人能帮我吗?
浏览 1提问于2021-05-27得票数 0
回答已采纳
1回答
我们刚刚部署了一个卡夫卡制片人来刺激和面对一个奇怪的问题,没有弹出在非刺激。该服务是一个spring启动微服务,接收REST HTTP请求,并使用spring将事件发布到主题上。/gradlew dependencies --configuration=runtimeClasspath命令时的依赖项
+--- org.springframework.kafka:spring-kafka我已经检查了容器实例中的war文件,发现所有jar文件依赖
浏览 5提问于2021-12-06得票数 3
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
云直播
对象存储
腾讯会议活动推荐
腾讯云开发者
