Security整合Redis为何序列化报错_配专用反序列化器
Security对象反序列化必报错,因Spring Security内置类无无参构造器且Jackson默认不识别;需配置ObjectMapper开启DefaultTyping、可见性,并注册SimpleGrantedAuthorityDeserializer和UsernamePasswordAuthenticationToken MixIn。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
把Security对象存进Redis后取不出来,这事儿太常见了。问题往往不是配置漏了,而是反序列化器没对上类型——尤其是像 SimpleGrantedAuthority、UsernamePasswordAuthenticationToken 这类Spring Security框架的内置类,Jackson默认根本不认识它们。
为什么 Security 对象反序列化必报错
Spring Security的认证对象(比如 Authentication、SecurityContext)在设计上就和标准POJO不太一样。它们大多没有无参构造器,身上也没贴 @JsonCreator 注解。Jackson默认只认规规矩矩的POJO,一碰到这些“特立独行”的类,处理方式就很简单粗暴:直接退化成 LinkedHashMap。结果呢?最后抛出那个经典的 ClassCastException: LinkedHashMap cannot be cast to SecurityContext。更棘手的是 SimpleGrantedAuthority,它的构造参数虽然只是个 String,但在JSON序列化后,可能变成一个带了 @class 字段的复杂结构,反序列化时自然找不到匹配的构造器。
必须配 ObjectMapper + DefaultTyping
光用一个 Jackson2JsonRedisSerializer 是远远不够的,关键得让它“认识”并记住这些对象的运行时类型信息。这就必须对底层的 ObjectMapper 进行精准配置:
objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL)—— 这是核心,让所有非final类在序列化时自动带上@class字段,记录类型。objectMapper.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY)—— 放宽可见性规则,允许Jackson访问私有字段和getter方法。- 最后,也是最容易漏掉的一步:必须调用
jsonSerializer.setObjectMapper(objectMapper),否则上面的配置全是白费功夫。
这三条,漏掉任意一条,反序列化都会在类型还原的关键阶段失败。
自定义 SimpleGrantedAuthorityDeserializer 是刚需
即便开了 DefaultTyping,SimpleGrantedAuthority 这个类因为其特殊的构造方式,仍然可能反序列化失败。这时候,一个专用的反序列化器就成了必需品:
public class SimpleGrantedAuthorityDeserializer extends StdDeserializer{ public SimpleGrantedAuthorityDeserializer() { super(SimpleGrantedAuthority.class); } @Override public SimpleGrantedAuthority deserialize(JsonParser p, DeserializationContext ctxt) throws IOException { JsonNode node = p.getCodec().readTree(p); String authority = node.has("authority") ? node.get("authority").asText() : node.asText(); return new SimpleGrantedAuthority(authority); } }
写好之后,别忘了把它注册到 ObjectMapper 里:
SimpleModule module = new SimpleModule();module.addDeserializer(SimpleGrantedAuthority.class, new SimpleGrantedAuthorityDeserializer());objectMapper.registerModule(module);
别忽略 UsernamePasswordAuthenticationToken 的构造约束
这个类的情况又有所不同。它只有带参构造器,并且参数顺序是固定的(principal, credentials, authorities)。Jackson需要明确知道如何传递这些参数,否则就会报 Cannot construct instance... no Creators 的错误。通常有两种应对策略:
- 第一种,给你自己的子类加上
@JsonCreator和@JsonProperty注解。但这种方式不推荐,因为修改框架类或其子类会带来侵入性。 - 第二种,也是更优雅安全的方式:使用MixIn。具体操作是,新建一个空的
UsernamePasswordAuthenticationTokenMixin类,在里面通过@JsonCreator(mode = JsonCreator.Mode.PROPERTIES)和对应的@JsonProperty注解来定义反序列化规则。然后通过objectMapper.addMixIn(UsernamePasswordAuthenticationToken.class, UsernamePasswordAuthenticationTokenMixin.class)进行绑定。这种方式无侵入,也避免了直接开启AutoTypeSupport(true)可能带来的反序列化安全风险。
话说回来,真正让人卡住的地方,往往不是“知不知道要配”,而是配置了却没生效。比如,ObjectMapper 实例没真正挂载到序列化器上,或者MixIn的注册顺序错了——如果在 setObjectMapper 之后才注册模块,那这个模块压根就不会起作用。这些细节,才是解决问题的关键所在。
相关攻略
Redis集群扩容:平滑迁移数据的核心操作与避坑指南 给Redis集群加节点,听起来像是“插上电”就完事?实际操作过就知道,真正的挑战在于如何把数据安全、平滑地“搬”过去。其中,reshard命令是关键一步,但用不好,分分钟让集群陷入“半瘫痪”状态。今天,我们就来拆解几个最核心、也最容易出错的实操细
Redis HyperLogLog误差率多大:分析PFCOUNT算法原理与应用场景 先说一个核心结论:PFCOUNT 返回的从来不是精确值,而是一个标准误差率固定在 0 81% 的概率估算值。这个数字并非经验所得,而是算法数学推导出的理论下限,它不随数据量、重复率或时间变化。 为什么 PFCOUNT
Redis如何监控发布订阅频道的活跃度:利用PUBSUB CHANNELS查看实时订阅信息 在Redis的发布订阅(Pub Sub)系统中,PUBSUB CHANNELS 命令扮演着一个独特的角色。它是唯一能让你直接“看到”当前有哪些频道正在被订阅的命令。不过,这里有个关键点需要明确:它只负责列出频
Redis on Flash:企业级混合存储的真相与实操指南 在追求极致性能与成本平衡的路上,Redis on Flash (RoF) 常被提及。但你真的了解它吗?它并非开源Redis的“魔法开关”,而是Redis Labs企业版的专有特性。简单来说,RoF通过近似LRU算法和访问频率阈值来识别冷数
MySQL数据意外丢失该怎么找回:InnoDB事务日志RedoLog灾备原理 开门见山,先说一个核心结论:当数据库遭遇误删,很多人第一时间想到的REDO LOG,其实**并不能直接帮你“找回”数据**。无论是手滑执行了DROP DATABASE,还是跑错了DELETE FROM语句,指望REDO L
热门专题
热门推荐
实时掌握加密货币行情是每位投资者的必修课 精准的数据和强大的图表工具,是不是非得付费才能获得?其实不然。市面上有大量免费且功能卓越的网站,它们提供的数据深度和分析工具,完全能满足绝大多数投资者的看盘和研究需求。 免费好用的行情网站推荐 1 币安 (Binance) 作为全球交易量领先的交易所,币安
零跑D19正式上市:增程 纯电双版本共七款配置,首销权益详解 备受市场瞩目的零跑D19,其官方售价已于2026年4月16日正式公布。这款全新中大型SUV提供增程式与纯电动两种动力系统,共计七款车型配置。其中,增程版推出三款车型,售价区间为21 98万元至23 98万元;纯电版则提供四款车型,官方指导
龙之剑:觉醒Steam上线,2026年7月发售,虚幻5打造动画风开放世界 备受瞩目的动作角色扮演游戏《龙之剑:觉醒》现已正式登陆Steam平台,并公布将于2026年7月全球发售。游戏确认提供完整的官方中文支持,极大方便了华语区玩家获取信息与未来体验。 这款游戏的背景颇具渊源。它并非全新IP,而是基于
对于刚刚踏入加密货币世界的新手来说,找到一个信息准确、使用方便的免费行情网站至关重要 一个好的行情工具,远不止是看个价格那么简单。它就像你的市场雷达,既要能实时捕捉价格波动,又要能提供深度的图表和数据,帮你从纷繁的信息中理出头绪。那么,市面上有哪些公认好用的免费神器呢?下面就来盘点几个,助你轻松上手
TCOMAS钛钽幻世NEOX 360一体式水冷散热器正式上市发售 高端电脑散热领域迎来重磅新品。TCOMAS钛钽品牌推出的幻世NEOX 360一体式水冷CPU散热器,已于4月17日正式上市销售。目前,玩家已可通过京东平台直接购买。对于注重个性装机与极限性能的DIY用户来说,这款水冷散热器提供了经典黑