Dubbo3序列化安全问题
序列化安全
在 Dubbo 3.0 中,序列化协议的安全性得到了加强。
1. 序列化安全性升级
-
Triple 协议:
- 推荐使用 Triple 协议 的非 Wrapper 模式,该模式在安全性上更为严格。
- 需要开发人员编写 IDL(接口描述语言)文件,这虽然增加了开发的复杂性,但提高了序列化的安全性。
- 默认情况下,该协议是安全的,因此适合高安全性需求的应用场景。
-
Wrapper 模式:
- 允许与其他序列化数据兼容,提供更好的兼容性,但在安全性方面可能存在潜在风险。
- 对于 Hessian2 协议,推荐高安全属性的用户开启白名单模式,以限制可反序列化的类。
- 默认情况下,框架开启了黑名单模式,拦截恶意调用,以增强安全性。
2. 安全性最佳实践
- 开启 Token 鉴权机制:
- 必须使用其他序列化协议的应用,建议开启 Token 鉴权机制,以防止未授权请求对 Provider 的安全威胁。
- 启用 Token 鉴权时,还需要同时开启注册中心的鉴权功能,以确保整个调用链的安全性。
3. 推荐措施
-
根据需求选择协议:
- 如果应用对安全性要求高,建议优先考虑使用 Triple 协议的非 Wrapper 模式。
- 对于需要兼容性但安全性要求相对较低的场景,可以使用 Wrapper 模式,但需要开启安全机制。
-
编写 IDL 文件:
- 对于使用 Triple 协议的项目,建议认真编写 IDL 文件,确保接口的清晰和安全性。
-
使用 Token 鉴权:
- 确保在项目中实现 Token 鉴权,确保请求来源的可靠性。
4. 总结
- Dubbo 3.0 在序列化安全方面的加强是为了应对日益严峻的安全挑战,开发者需要根据实际需求选择合适的序列化协议,并注意实现必要的安全措施,以保护服务的安全性和完整性。
类检查机制概述
特性说明
- 类检查机制确保服务提供者与消费者之间的兼容性和安全性,防止因类版本不匹配、方法签名不兼容或类缺失而引发的问题。
使用场景
- 适用于需要维护版本兼容性和安全性的场合,尤其是在微服务架构中,多个服务可能会涉及不同版本的类。
使用方式
- 该机制自 Dubbo >= 3.1.6 开始支持,适用于 Hessian2、Fastjson2 序列化和泛化调用,其他序列化方式暂不支持。
检查模式
-
检查模式分为三个级别:
- STRICT(严格检查):
- 禁止反序列化所有不在允许序列化列表(白名单)中的类。
- WARN(告警):
- 禁止序列化所有在不允许序列化列表(黑名单)中的类,同时在反序列化不在允许序列化列表(白名单)中的类时,记录告警日志。
- DISABLE(禁用):
- 不进行任何检查。
- STRICT(严格检查):
-
默认配置:
- 在 3.1 版本中,默认为 WARN 级别。
- 在 3.2 版本中,默认为 STRICT 级别。
配置方式
-
通过 ApplicationConfig 配置:
ApplicationConfig applicationConfig = new ApplicationConfig(); applicationConfig.setSerializeCheckStatus("STRICT"); -
通过 Spring XML 配置:
-
<dubbo:application name="demo-provider" serialize-check-status="STRICT"/> -
通过 Spring Properties / dubbo.properties 配置:
dubbo.application.serialize-check-status=STRICT -
通过 System Property 配置:
-Ddubbo.application.serialize-check-status=STRICT -
日志提示:
- 配置成功后,可以在日志中看到类似以下的提示:
INFO utils.SerializeSecurityManager: [DUBBO] Serialize check level: STRICT注意事项
- 在同一进程(Dubbo Framework Model)下,如果多个应用配置了不同的检查模式,最终将生效“最宽松”的级别。例如,若一个配置为
STRICT,另一个为WARN,则最终生效WARN级别。
Serializable 接口检查
-
检查模式:
- 分为两个级别:
true:开启检查,拒绝反序列化所有未实现Serializable的类。false:关闭检查。
- 分为两个级别:
-
默认配置:
- Dubbo 中默认配置为
true开启检查。
- Dubbo 中默认配置为
-
配置方式:
-
通过 ApplicationConfig 配置:
ApplicationConfig applicationConfig = new ApplicationConfig(); applicationConfig.setCheckSerializable(true); -
通过 Spring XML 配置:
<dubbo:application name="demo-provider" check-serializable="true"/> -
通过 Spring Properties / dubbo.properties 配置:
dubbo.application.check-serializable=true -
通过 System Property 配置:
-Ddubbo.application.check-serializable=true
-
-
日志提示:
- 配置成功后,可以在日志中看到类似以下的提示:
INFO utils.SerializeSecurityManager: [DUBBO] Serialize check serializable: true注意事项
- 在同一进程下,如果多个应用配置了不同的
Serializable接口检查模式,最终生效“最宽松”的级别。 - 目前尚未打通 Hessian2、Fastjson2 内置的
Serializable检查配置。 - 对于泛化调用,仅需配置
dubbo.application.check-serializable修改检查配置。 - 对于 Hessian2 序列化,需要同时修改
dubbo.application.check-serializable和dubbo.hessian.allowNonSerializable两个配置。 - 对于 Fastjson2 序列化,目前暂不支持修改。
总结
- 类检查机制和
Serializable接口检查是 Dubbo 3.0 为了提升安全性和兼容性而引入的重要特性。合理配置这些检查机制,可以有效防止因类版本不匹配和反序列化风险而带来的潜在问题。在开发和部署微服务时,建议根据应用需求合理配置相应的检查模式和接口检查。
相关文章:
Dubbo3序列化安全问题
序列化安全 在 Dubbo 3.0 中,序列化协议的安全性得到了加强。 1. 序列化安全性升级 Triple 协议: 推荐使用 Triple 协议 的非 Wrapper 模式,该模式在安全性上更为严格。需要开发人员编写 IDL(接口描述语言)文件,这虽…...
秒懂Linux之共享内存
目录 共享内存概念 模拟实现共享内存 创建key阶段 编辑创建共享内存阶段 删除共享内存阶段 查看共享内存属性阶段 挂接共享内存到进程阶段 取消共享内存与进程挂接阶段 进程通信阶段 添加管道改进版 共享内存函数 shmget函数 shmat函数 shmdt函数 shmctl函数 共享内存概念 共…...
【计算机网络】网络层协议解析
网络层的两种服务IPv4分类编址划分子网无分类地址 IPv4地址应用IP数据报的发送和转发过程主机发送IP数据报路由器转发IP数据报 IPv4数据报首部格式ICMP网际控制报文协议虚拟专用网VPN与网络地址转换NAT 网络层主要任务是实现网络互连,进而实现数据包在各网络之间的传…...
)
sqlist void reverse(SqList A)
#include <stdlib.h> #include <stdio.h> #include <iostream> using namespace std; #define INIT_SIZE 5 #define INCREMENT 10 # define OK 1 # define ERROR 0/* 定义ElemType为int类型 */ typedef int ElemType; void input(ElemType &s); void out…...
聊聊Thread Local Storage
聊聊ThreadLocal 为什么需要Thread Local StorageThread Local Storage的实现PThread库实现操作系统实现GCC __thread关键字实现C11 thread_local实现JAVA ThreadLocal实现 Thread Local Storage 线程局部存储,简称TLS。 为什么需要Thread Local Storage 变量分为全…...
WEB攻防-JS项目Node.js框架安全识别审计验证绕过
知识点: 1、原生JS&开发框架-安全条件 2、常见安全问题-前端验证&未授权 详细点: 1、什么是JS渗透测试? 在JavaScript中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞 2、流行的Js框架有哪些? …...
STM32——SPI
1.SPI简介 SPI,是英语Serial Peripheral Interface的缩写,顾名思义就是串行外围设备接口。SPI,是一种高速的,全双工,同步的通信总线,并且在芯片的管脚上只占用四根线,节约了芯片的管脚…...
【云安全】云上资产发现与信息收集
一、云基础设施组件 1、定义 在云计算基础架构中,基础设施组件通常包括:计算、存储、网络和安全等方面的资源。例如,计算资源可以是虚拟机、容器或无服务器计算引擎;存储资源可以是对象存储或块存储;网络资源可以是虚拟…...
flask搭建微服务器并训练CNN水果识别模型应用于网页
一. 搭建flask环境 概念 flask:一个轻量级 Web 应用框架,被设计为简单、灵活,能够快速启动一个 Web 项目。CNN:深度学习模型,用于处理具有网格状拓扑结构的数据,如图像(2D网格)和视频(3D网格&a…...
数据篇| 关于Selenium反爬杂谈
友情提示:本章节只做相关技术讨论, 爬虫触犯法律责任与作者无关。 LLM虽然如火如荼进行着, 但是没有数据支撑, 都是纸上谈兵, 人工智能的三辆马车:算法-数据-算力,缺一不可。之前写过关于LLM微调文章《微调入门篇:大模型微调的理论学习》、《微调实操一: 增量预训练(Pretrai…...
MySQL高阶1890-2020年最后一次登录
目录 题目 准备数据 分析数据 题目 编写解决方案以获取在 2020 年登录过的所有用户的本年度 最后一次 登录时间。结果集 不 包含 2020 年没有登录过的用户。 返回的结果集可以按 任意顺序 排列。 准备数据 Create table If Not Exists Logins (user_id int, time_stamp …...
update-alternatives官方手册
下述手册超链接都是英文,内容差不多,看一个就行 Debian系统的Ubuntu系统的《The Linux Programming Interface》图书上的...
cesium.js 入门到精通(5-2)
在cesium 的配置中 有一些参数 可以配置地图的显示 显示出 水的动态显示 山的效果 相当于一些动画显示的效果 var viewer new Cesium.Viewer("cesiumContainer", {infoBox: false,terrainProvider: await Cesium.createWorldTerrainAsync({requestWaterMask: tru…...
LINUX的PHY抽象层——PAL
英文原文参考: https://www.kernel.org/doc/html/latest/networking/phy.html 中文翻译参考:有关PHY抽象层的总结 https://blog.csdn.net/eydwyz/article/details/124753313 目录 1 前言2 PHY接口模式3 尽量使用PHY端的延时而不是MAC或PCB4 其他方式实现…...
优先级队列(堆)
目录 优先级队列 堆的概念 堆的创建 堆的向下调整 堆的插入 完整代码 优先级队列 队列是一种先进先出的数据结构,有些时候操作的数据可能带有优先级,出队列时就需要优先级高的数据先出队列。 在这种情况下,数据结构应该提供两个最基本…...
帧率和丢帧分析理论
一、丢帧问题概述 应用丢帧通常指的是在应用程序的界面绘制过程中,由于某些原因导致界面绘制的帧率下降,从而造成界面卡顿、动画不流畅等问题。以60Hz刷新率为例子,想要达到每秒60帧(即60fps)的流畅体验,每…...
solidwork找不到曲面
如果找不到曲面 则右键找到选项卡,选择曲面...
mac安装JetBtains全家桶新版本时报错:Cannot start the IDE
mac安装JetBtains全家桶新版本时报错:Cannot start the IDE 前言报错信息解决方法 前言 作者使用的是Mac电脑,最近想要更新JetBrains相关工具的软件版本,但是在安装时突然报错,导致安装失败,现在将报错信息以及解决方…...
MVCC机制解析:提升数据库并发性能的关键
MVCC机制解析:提升数据库并发性能的关键 MVCC(Multi-Version Concurrency Control) 多版本并发控制 。 MVCC只在事务隔离级别为读已提交(Read Committed)和可重复读(Repeated Read)下生效。 MVCC是做什么用的 MVCC是为了处理 可重复读 和…...
如何使用Postman搞定带有token认证的接口实战!
现在许多项目都使用jwt来实现用户登录和数据权限,校验过用户的用户名和密码后,会向用户响应一段经过加密的token,在这段token中可能储存了数据权限等,在后期的访问中,需要携带这段token,后台解析这段token才…...
龙虎榜——20250610
上证指数放量收阴线,个股多数下跌,盘中受消息影响大幅波动。 深证指数放量收阴线形成顶分型,指数短线有调整的需求,大概需要一两天。 2025年6月10日龙虎榜行业方向分析 1. 金融科技 代表标的:御银股份、雄帝科技 驱动…...
反向工程与模型迁移:打造未来商品详情API的可持续创新体系
在电商行业蓬勃发展的当下,商品详情API作为连接电商平台与开发者、商家及用户的关键纽带,其重要性日益凸显。传统商品详情API主要聚焦于商品基本信息(如名称、价格、库存等)的获取与展示,已难以满足市场对个性化、智能…...
Admin.Net中的消息通信SignalR解释
定义集线器接口 IOnlineUserHub public interface IOnlineUserHub {/// 在线用户列表Task OnlineUserList(OnlineUserList context);/// 强制下线Task ForceOffline(object context);/// 发布站内消息Task PublicNotice(SysNotice context);/// 接收消息Task ReceiveMessage(…...
【Java学习笔记】Arrays类
Arrays 类 1. 导入包:import java.util.Arrays 2. 常用方法一览表 方法描述Arrays.toString()返回数组的字符串形式Arrays.sort()排序(自然排序和定制排序)Arrays.binarySearch()通过二分搜索法进行查找(前提:数组是…...
基础测试工具使用经验
背景 vtune,perf, nsight system等基础测试工具,都是用过的,但是没有记录,都逐渐忘了。所以写这篇博客总结记录一下,只要以后发现新的用法,就记得来编辑补充一下 perf 比较基础的用法: 先改这…...
Android15默认授权浮窗权限
我们经常有那种需求,客户需要定制的apk集成在ROM中,并且默认授予其【显示在其他应用的上层】权限,也就是我们常说的浮窗权限,那么我们就可以通过以下方法在wms、ams等系统服务的systemReady()方法中调用即可实现预置应用默认授权浮…...
蓝桥杯3498 01串的熵
问题描述 对于一个长度为 23333333的 01 串, 如果其信息熵为 11625907.5798, 且 0 出现次数比 1 少, 那么这个 01 串中 0 出现了多少次? #include<iostream> #include<cmath> using namespace std;int n 23333333;int main() {//枚举 0 出现的次数//因…...
R语言速释制剂QBD解决方案之三
本文是《Quality by Design for ANDAs: An Example for Immediate-Release Dosage Forms》第一个处方的R语言解决方案。 第一个处方研究评估原料药粒径分布、MCC/Lactose比例、崩解剂用量对制剂CQAs的影响。 第二处方研究用于理解颗粒外加硬脂酸镁和滑石粉对片剂质量和可生产…...
面试高频问题
文章目录 🚀 消息队列核心技术揭秘:从入门到秒杀面试官1️⃣ Kafka为何能"吞云吐雾"?性能背后的秘密1.1 顺序写入与零拷贝:性能的双引擎1.2 分区并行:数据的"八车道高速公路"1.3 页缓存与批量处理…...
Python 高级应用10:在python 大型项目中 FastAPI 和 Django 的相互配合
无论是python,或者java 的大型项目中,都会涉及到 自身平台微服务之间的相互调用,以及和第三发平台的 接口对接,那在python 中是怎么实现的呢? 在 Python Web 开发中,FastAPI 和 Django 是两个重要但定位不…...