Dubbo3序列化安全问题
序列化安全
在 Dubbo 3.0 中,序列化协议的安全性得到了加强。
1. 序列化安全性升级
-
Triple 协议:
- 推荐使用 Triple 协议 的非 Wrapper 模式,该模式在安全性上更为严格。
- 需要开发人员编写 IDL(接口描述语言)文件,这虽然增加了开发的复杂性,但提高了序列化的安全性。
- 默认情况下,该协议是安全的,因此适合高安全性需求的应用场景。
-
Wrapper 模式:
- 允许与其他序列化数据兼容,提供更好的兼容性,但在安全性方面可能存在潜在风险。
- 对于 Hessian2 协议,推荐高安全属性的用户开启白名单模式,以限制可反序列化的类。
- 默认情况下,框架开启了黑名单模式,拦截恶意调用,以增强安全性。
2. 安全性最佳实践
- 开启 Token 鉴权机制:
- 必须使用其他序列化协议的应用,建议开启 Token 鉴权机制,以防止未授权请求对 Provider 的安全威胁。
- 启用 Token 鉴权时,还需要同时开启注册中心的鉴权功能,以确保整个调用链的安全性。
3. 推荐措施
-
根据需求选择协议:
- 如果应用对安全性要求高,建议优先考虑使用 Triple 协议的非 Wrapper 模式。
- 对于需要兼容性但安全性要求相对较低的场景,可以使用 Wrapper 模式,但需要开启安全机制。
-
编写 IDL 文件:
- 对于使用 Triple 协议的项目,建议认真编写 IDL 文件,确保接口的清晰和安全性。
-
使用 Token 鉴权:
- 确保在项目中实现 Token 鉴权,确保请求来源的可靠性。
4. 总结
- Dubbo 3.0 在序列化安全方面的加强是为了应对日益严峻的安全挑战,开发者需要根据实际需求选择合适的序列化协议,并注意实现必要的安全措施,以保护服务的安全性和完整性。
类检查机制概述
特性说明
- 类检查机制确保服务提供者与消费者之间的兼容性和安全性,防止因类版本不匹配、方法签名不兼容或类缺失而引发的问题。
使用场景
- 适用于需要维护版本兼容性和安全性的场合,尤其是在微服务架构中,多个服务可能会涉及不同版本的类。
使用方式
- 该机制自 Dubbo >= 3.1.6 开始支持,适用于 Hessian2、Fastjson2 序列化和泛化调用,其他序列化方式暂不支持。
检查模式
-
检查模式分为三个级别:
- STRICT(严格检查):
- 禁止反序列化所有不在允许序列化列表(白名单)中的类。
- WARN(告警):
- 禁止序列化所有在不允许序列化列表(黑名单)中的类,同时在反序列化不在允许序列化列表(白名单)中的类时,记录告警日志。
- DISABLE(禁用):
- 不进行任何检查。
- STRICT(严格检查):
-
默认配置:
- 在 3.1 版本中,默认为 WARN 级别。
- 在 3.2 版本中,默认为 STRICT 级别。
配置方式
-
通过 ApplicationConfig 配置:
ApplicationConfig applicationConfig = new ApplicationConfig(); applicationConfig.setSerializeCheckStatus("STRICT"); -
通过 Spring XML 配置:
-
<dubbo:application name="demo-provider" serialize-check-status="STRICT"/> -
通过 Spring Properties / dubbo.properties 配置:
dubbo.application.serialize-check-status=STRICT -
通过 System Property 配置:
-Ddubbo.application.serialize-check-status=STRICT -
日志提示:
- 配置成功后,可以在日志中看到类似以下的提示:
INFO utils.SerializeSecurityManager: [DUBBO] Serialize check level: STRICT注意事项
- 在同一进程(Dubbo Framework Model)下,如果多个应用配置了不同的检查模式,最终将生效“最宽松”的级别。例如,若一个配置为
STRICT,另一个为WARN,则最终生效WARN级别。
Serializable 接口检查
-
检查模式:
- 分为两个级别:
true:开启检查,拒绝反序列化所有未实现Serializable的类。false:关闭检查。
- 分为两个级别:
-
默认配置:
- Dubbo 中默认配置为
true开启检查。
- Dubbo 中默认配置为
-
配置方式:
-
通过 ApplicationConfig 配置:
ApplicationConfig applicationConfig = new ApplicationConfig(); applicationConfig.setCheckSerializable(true); -
通过 Spring XML 配置:
<dubbo:application name="demo-provider" check-serializable="true"/> -
通过 Spring Properties / dubbo.properties 配置:
dubbo.application.check-serializable=true -
通过 System Property 配置:
-Ddubbo.application.check-serializable=true
-
-
日志提示:
- 配置成功后,可以在日志中看到类似以下的提示:
INFO utils.SerializeSecurityManager: [DUBBO] Serialize check serializable: true注意事项
- 在同一进程下,如果多个应用配置了不同的
Serializable接口检查模式,最终生效“最宽松”的级别。 - 目前尚未打通 Hessian2、Fastjson2 内置的
Serializable检查配置。 - 对于泛化调用,仅需配置
dubbo.application.check-serializable修改检查配置。 - 对于 Hessian2 序列化,需要同时修改
dubbo.application.check-serializable和dubbo.hessian.allowNonSerializable两个配置。 - 对于 Fastjson2 序列化,目前暂不支持修改。
总结
- 类检查机制和
Serializable接口检查是 Dubbo 3.0 为了提升安全性和兼容性而引入的重要特性。合理配置这些检查机制,可以有效防止因类版本不匹配和反序列化风险而带来的潜在问题。在开发和部署微服务时,建议根据应用需求合理配置相应的检查模式和接口检查。
相关文章:
Dubbo3序列化安全问题
序列化安全 在 Dubbo 3.0 中,序列化协议的安全性得到了加强。 1. 序列化安全性升级 Triple 协议: 推荐使用 Triple 协议 的非 Wrapper 模式,该模式在安全性上更为严格。需要开发人员编写 IDL(接口描述语言)文件,这虽…...
秒懂Linux之共享内存
目录 共享内存概念 模拟实现共享内存 创建key阶段 编辑创建共享内存阶段 删除共享内存阶段 查看共享内存属性阶段 挂接共享内存到进程阶段 取消共享内存与进程挂接阶段 进程通信阶段 添加管道改进版 共享内存函数 shmget函数 shmat函数 shmdt函数 shmctl函数 共享内存概念 共…...
【计算机网络】网络层协议解析
网络层的两种服务IPv4分类编址划分子网无分类地址 IPv4地址应用IP数据报的发送和转发过程主机发送IP数据报路由器转发IP数据报 IPv4数据报首部格式ICMP网际控制报文协议虚拟专用网VPN与网络地址转换NAT 网络层主要任务是实现网络互连,进而实现数据包在各网络之间的传…...
)
sqlist void reverse(SqList A)
#include <stdlib.h> #include <stdio.h> #include <iostream> using namespace std; #define INIT_SIZE 5 #define INCREMENT 10 # define OK 1 # define ERROR 0/* 定义ElemType为int类型 */ typedef int ElemType; void input(ElemType &s); void out…...
聊聊Thread Local Storage
聊聊ThreadLocal 为什么需要Thread Local StorageThread Local Storage的实现PThread库实现操作系统实现GCC __thread关键字实现C11 thread_local实现JAVA ThreadLocal实现 Thread Local Storage 线程局部存储,简称TLS。 为什么需要Thread Local Storage 变量分为全…...
WEB攻防-JS项目Node.js框架安全识别审计验证绕过
知识点: 1、原生JS&开发框架-安全条件 2、常见安全问题-前端验证&未授权 详细点: 1、什么是JS渗透测试? 在JavaScript中也存在变量和函数,当存在可控变量及函数调用即可参数漏洞 2、流行的Js框架有哪些? …...
STM32——SPI
1.SPI简介 SPI,是英语Serial Peripheral Interface的缩写,顾名思义就是串行外围设备接口。SPI,是一种高速的,全双工,同步的通信总线,并且在芯片的管脚上只占用四根线,节约了芯片的管脚…...
【云安全】云上资产发现与信息收集
一、云基础设施组件 1、定义 在云计算基础架构中,基础设施组件通常包括:计算、存储、网络和安全等方面的资源。例如,计算资源可以是虚拟机、容器或无服务器计算引擎;存储资源可以是对象存储或块存储;网络资源可以是虚拟…...
flask搭建微服务器并训练CNN水果识别模型应用于网页
一. 搭建flask环境 概念 flask:一个轻量级 Web 应用框架,被设计为简单、灵活,能够快速启动一个 Web 项目。CNN:深度学习模型,用于处理具有网格状拓扑结构的数据,如图像(2D网格)和视频(3D网格&a…...
数据篇| 关于Selenium反爬杂谈
友情提示:本章节只做相关技术讨论, 爬虫触犯法律责任与作者无关。 LLM虽然如火如荼进行着, 但是没有数据支撑, 都是纸上谈兵, 人工智能的三辆马车:算法-数据-算力,缺一不可。之前写过关于LLM微调文章《微调入门篇:大模型微调的理论学习》、《微调实操一: 增量预训练(Pretrai…...
MySQL高阶1890-2020年最后一次登录
目录 题目 准备数据 分析数据 题目 编写解决方案以获取在 2020 年登录过的所有用户的本年度 最后一次 登录时间。结果集 不 包含 2020 年没有登录过的用户。 返回的结果集可以按 任意顺序 排列。 准备数据 Create table If Not Exists Logins (user_id int, time_stamp …...
update-alternatives官方手册
下述手册超链接都是英文,内容差不多,看一个就行 Debian系统的Ubuntu系统的《The Linux Programming Interface》图书上的...
cesium.js 入门到精通(5-2)
在cesium 的配置中 有一些参数 可以配置地图的显示 显示出 水的动态显示 山的效果 相当于一些动画显示的效果 var viewer new Cesium.Viewer("cesiumContainer", {infoBox: false,terrainProvider: await Cesium.createWorldTerrainAsync({requestWaterMask: tru…...
LINUX的PHY抽象层——PAL
英文原文参考: https://www.kernel.org/doc/html/latest/networking/phy.html 中文翻译参考:有关PHY抽象层的总结 https://blog.csdn.net/eydwyz/article/details/124753313 目录 1 前言2 PHY接口模式3 尽量使用PHY端的延时而不是MAC或PCB4 其他方式实现…...
优先级队列(堆)
目录 优先级队列 堆的概念 堆的创建 堆的向下调整 堆的插入 完整代码 优先级队列 队列是一种先进先出的数据结构,有些时候操作的数据可能带有优先级,出队列时就需要优先级高的数据先出队列。 在这种情况下,数据结构应该提供两个最基本…...
帧率和丢帧分析理论
一、丢帧问题概述 应用丢帧通常指的是在应用程序的界面绘制过程中,由于某些原因导致界面绘制的帧率下降,从而造成界面卡顿、动画不流畅等问题。以60Hz刷新率为例子,想要达到每秒60帧(即60fps)的流畅体验,每…...
solidwork找不到曲面
如果找不到曲面 则右键找到选项卡,选择曲面...
mac安装JetBtains全家桶新版本时报错:Cannot start the IDE
mac安装JetBtains全家桶新版本时报错:Cannot start the IDE 前言报错信息解决方法 前言 作者使用的是Mac电脑,最近想要更新JetBrains相关工具的软件版本,但是在安装时突然报错,导致安装失败,现在将报错信息以及解决方…...
MVCC机制解析:提升数据库并发性能的关键
MVCC机制解析:提升数据库并发性能的关键 MVCC(Multi-Version Concurrency Control) 多版本并发控制 。 MVCC只在事务隔离级别为读已提交(Read Committed)和可重复读(Repeated Read)下生效。 MVCC是做什么用的 MVCC是为了处理 可重复读 和…...
如何使用Postman搞定带有token认证的接口实战!
现在许多项目都使用jwt来实现用户登录和数据权限,校验过用户的用户名和密码后,会向用户响应一段经过加密的token,在这段token中可能储存了数据权限等,在后期的访问中,需要携带这段token,后台解析这段token才…...
Linux Vim编辑器常用命令
目录 一、命令模式快捷键 二、编辑/输入模式快捷键 三、编辑模式切换到命令模式 四、搜索命令 注:本章内容全部基于Centos7进行操作,查阅本章节内容前请确保您当前所在的Linux系统版本,且具有足够的权限执行操作。 一、命令模式快捷键 二…...
【Android】浅析MVC与MVP
【Android】浅析MVC与MVP 什么是架构? 架构(Architecture)在软件开发中指的是软件系统的整体设计和结构,它描述了系统的高层组织方式,包括系统中各个组件之间的关系、依赖、交互方式,以及这些组件如何协同…...
spark 面试题
spark 面试题 1、spark 任务如何解决第三方依赖 比如机器学习的包,需要在本地安装?--py-files 添加 py、zip、egg 文件不需要在各个节点安装 2、spark 数据倾斜怎么解决 spark 中数据倾斜指的是 shuffle 过程中出现的数据倾斜,主要是由于…...
青柠视频云——如何开启HTTPS服务?
前言 由于青柠视频云的语音对讲会使用到HTTPS服务,这里我们说一下如何申请证书以及如何在实战中部署并且配置使用。 一、证书申请 1、进入控制台 我们拿阿里云的免费个人证书为例,首先登录阿里云,在控制台找到数字证书管理服务,进…...
2016年国赛高教杯数学建模A题系泊系统的设计解题全过程文档及程序
2016年国赛高教杯数学建模 A题 系泊系统的设计 近浅海观测网的传输节点由浮标系统、系泊系统和水声通讯系统组成(如图1所示)。某型传输节点的浮标系统可简化为底面直径2m、高2m的圆柱体,浮标的质量为1000kg。系泊系统由钢管、钢桶、重物球、…...
vue-使用refs取值,打印出来是个数组??
背景: 经常使用$refs去获取组件实例,一般都是拿到实例对象,这次去取值的时候发现,拿到的竟然是个数组。 原因: 这是vue的特性,自动把v-for里面的ref展开成数组的形式,哪怕你的ref名字是唯一的!…...
微服务_入门1
文章目录 一、 认识微服务二、 微服务演变2.1、 单体架构2.2、 分布式架构2.3、 微服务2.4、 微服务方案对比 三、 注册中心3.1、 Eureka3.2、 Nacos3.2.1、服务分级存储模型3.2.2、权重配置3.2.3、环境隔离 一、 认识微服务 二、 微服务演变 随着互联网行业的发展,…...
【学习资料】袋中共36个球,红白黑格12个,问能一次抽到3个红4个白5个黑的概率是多少?
1、公式计算 1.1 题目1 袋中共 36 36 36个球, 红 \fcolorbox{red}{#FADADE}{\color{red}{红}} 红 白 \fcolorbox{white}{#808080}{\color{white}{白}} 白 黑 \fcolorbox{#808080}{#0D0D0D}{\color{#808080}{黑}} 黑各 12 12 12个,问能一次抽到 3…...
@PathVariable,@RequestParam,@RequestBody注解,springboot与前端请求之间的数据类型转换
前端数据与springboot java数据类型转换 springboot&mybatis中数组和字符串数据类型的转换-CSDN博客中曾经提到,在Spring Boot中,通过URL传参、payload中的key-value形式或json形式,将前端数据以字符串格式发送到后端,后端We…...
在Python中优雅地打开和操作RDS
在Python中优雅地打开和操作RDS 随着数据存储需求的不断增长,关系数据库服务(Relational Database Service, RDS)成为了许多企业首选的数据存储方式。那么,在Python中如何轻松地与RDS进行交互呢?以下是一份详尽的指南…...