Apache Commons BeanUtils 是 Apache Commons 项目中的一个 Java 工具库 ,主要用于 简化 JavaBean 的操作 ,特别是通过 反射(Reflection) 动态读取、设置、复制和操作 JavaBean 的属性。
🧰 一、核心功能
1. 动态读写 JavaBean 属性
无需调用具体的 getter/setter 方法,可通过属性名字符串操作。
java
// 假设有一个 Person 类,有 name、age 属性
Person person = new Person();
// 设置属性(等价于 person.setName("Alice"))
BeanUtils.setProperty(person, "name", "Alice");
// 获取属性(等价于 person.getName())
String name = (String) BeanUtils.getProperty(person, "name");✅ 支持嵌套属性(如
"address.city")、索引属性(如"hobbies[0]")、Map 属性(如"data(key)")。
2. 对象属性拷贝(Bean to Bean)
将一个对象的属性值复制到另一个对象(属性名和类型需兼容)。
java
Person source = new Person("Bob", 30);
Person target = new Person();
// 复制同名属性
BeanUtils.copyProperties(target, source);⚠️ 注意:
BeanUtils.copyProperties(dest, src)的参数顺序是 dest 在前,src 在后 (与 Spring 的BeanUtils.copyProperties(src, dest)相反!容易混淆)。
3. 将 Map 转换为 JavaBean
常用于 Web 开发中将请求参数(Map<String, String[]>)填充到表单对象。
java
Map<String, String> params = new HashMap<>();
params.put("name", "Charlie");
params.put("age", "25");
Person person = new Person();
BeanUtils.populate(person, params); // 自动调用 setName / setAge💡 这在早期 Struts1、Servlet 手动参数绑定中非常常见。
4. 描述 Bean 结构
获取 Bean 的元信息(属性名、类型等)。
java
PropertyDescriptor[] descriptors =
PropertyUtils.getPropertyDescriptors(Person.class);🔒 二、安全性问题(⚠️ 重要!)
❗ CVE-2014-0114 / CVE-2019-10086 等高危漏洞
BeanUtils 默认允许通过 class 属性 修改类加载器或执行任意代码(如果攻击者能控制属性名):
java
// 危险示例(不要在生产环境允许用户输入作为属性名!)
BeanUtils.setProperty(obj, "class.loader...", evilValue);✅ 安全建议:
- 避免使用用户输入作为属性名;
- 升级到最新版 (如
commons-beanutils:1.9.4+); - 考虑使用更安全的替代方案 (如 Spring 的
BeanWrapper、MapStruct、ModelMapper); - 如必须使用,可自定义
PropertyUtilsBean并禁用危险属性(如过滤class.*)。
📦 三、典型使用场景
| 场景 | 说明 |
|---|---|
| Web 框架参数绑定 | 将 HTTP 请求参数自动填充到 ActionForm 或 DTO |
| 对象转换 | 快速复制相似对象(如 VO ↔ DTO) |
| 配置加载 | 从 Properties/Map 初始化配置对象 |
| 通用工具类 | 编写与具体 Bean 解耦的通用逻辑 |
🆚 四、与 Spring BeanUtils 的区别
| 特性 | Apache Commons BeanUtils | Spring Framework BeanUtils |
|---|---|---|
| 包路径 | org.apache.commons.beanutils.BeanUtils |
org.springframework.beans.BeanUtils |
copyProperties 参数顺序 |
copyProperties(dest, src) |
copyProperties(src, dest) |
| 类型转换 | 内置基础类型转换(弱) | 使用 Spring 的 ConversionService(强) |
| 安全性 | 历史漏洞较多 | 更安全,默认不支持 class 操作 |
| 依赖 | 需单独引入 | Spring 项目自带 |
✅ 建议 :如果你在 Spring 项目中,优先使用 Spring 的
BeanUtils或BeanWrapper,更安全且集成更好。
📌 五、Maven 依赖
xml
<dependency>
<groupId>commons-beanutils</groupId>
<artifactId>commons-beanutils</artifactId>
<version>1.9.4</version> <!-- 推荐使用最新稳定版 -->
</dependency>✅ 总结
Commons BeanUtils 的作用 :
通过反射提供一套 便捷的 JavaBean 操作 API ,支持动态属性访问、对象拷贝、Map 填充等,适用于需要解耦具体类结构的通用编程场景。
但要注意:
- 它性能较低(大量反射);
- 存在安全风险(尤其在处理不可信输入时);
- 在现代项目中,优先考虑更安全、高效的替代方案。
如果你有具体使用场景(比如"如何安全地用它做参数绑定"),我可以给出最佳实践代码。