Jackson 自定义反序列化器的类型不匹配陷阱

背景

在 Jackson 中,当我们需要自定义 String 类型的反序列化逻辑时,如果不注意 token 类型的校验,就会引入一个隐蔽的缺陷------类型不匹配被悄悄吞掉,变成 null

代码

SimpleStringDeserializer.java

java 复制代码
public class SimpleStringDeserializer extends JsonDeserializer<String> {

    @Override
    public String deserialize(JsonParser p, DeserializationContext ctxt) throws IOException {
        // TODO
        // if (p.currentToken() != JsonToken.VALUE_STRING) {
        //     throw MismatchedInputException.from(p, String.class, "...");
        // }
        String value = p.getValueAsString();
        if (value == null) {
            return null;
        }
        return p.getValueAsString();
    }
}

Main.java

java 复制代码
public class Main {

    public static void main(String[] args) throws Exception {
        testWithoutDeserializer();
        testWithDeserializer();
    }

    static void testWithoutDeserializer() {
        ObjectMapper mapper = new ObjectMapper();

        System.out.println("=== Without SimpleStringDeserializer ===\n");

        String[] cases = {
                "{\"name\": [1,2]}",
        };

        for (String json : cases) {
            System.out.println("Input: " + json);
            try {
                User user = mapper.readValue(json, User.class);
                System.out.println("Result: " + user.getName());
            } catch (Exception e) {
                System.out.println("Error: " + e.getClass().getSimpleName());
            }
            System.out.println();
        }
    }

    static void testWithDeserializer() {
        ObjectMapper mapper = new ObjectMapper();
        SimpleModule module = new SimpleModule("SimpleStringModule");
        module.addDeserializer(String.class, new SimpleStringDeserializer());
        mapper.registerModule(module);

        System.out.println("=== With SimpleStringDeserializer ===\n");

        String[] cases = {
                "{\"name\": [1,2]}",
        };

        for (String json : cases) {
            System.out.println("Input: " + json);
            try {
                User user = mapper.readValue(json, User.class);
                System.out.println("Result: " + user.getName());
            } catch (Exception e) {
                System.out.println("Error: " + e.getClass().getSimpleName());
            }
            System.out.println();
        }
    }

    static class User {
        private String name;

        public String getName() { return name; }
        public void setName(String name) { this.name = name; }
    }
}

运行结果

情况一:TODO 代码注释掉(不校验 token 类型)

ini 复制代码
=== Without SimpleStringDeserializer ===

Input: {"name": [1,2]}
Error: MismatchedInputException

=== With SimpleStringDeserializer ===

Input: {"name": [1,2]}
Result: null

情况二:TODO 代码未注释(校验 token 类型)

ini 复制代码
=== Without SimpleStringDeserializer ===

Input: {"name": [1,2]}
Error: MismatchedInputException

=== With SimpleStringDeserializer ===

Input: {"name": [1,2]}
Error: MismatchedInputException

结论

当 Jackson 解析到 "name": [1,2] 时,当前 token 是 START_ARRAYgetValueAsString() 对非字符串 token 的处理策略是返回 null 而非抛异常 ,所以自定义反序列化器把类型不匹配的情况悄悄吞掉了,变成了 null。而 Jackson 默认的 String 反序列化器内部会检查 token 类型,遇到 START_ARRAY 会主动抛出 MismatchedInputException

这其实是自定义反序列化器的一个缺陷------应该在调用 getValueAsString() 之前先校验 token 类型,保证行为与默认反序列化器一致

相关推荐
大圣编程3 小时前
Java 多维数组详解
java·开发语言
万法若空6 小时前
【算法-查找】查找算法
java·数据结构·算法
葫芦和十三6 小时前
图解 MongoDB 30|查询路由与广播查询:带片键定向,不带就广播
后端·mongodb·agent
葫芦和十三6 小时前
图解 MongoDB 29|分片键陷阱:jumbo chunk、孤儿文档和写入热点
后端·mongodb·agent
进击的程序猿~6 小时前
Go Zero源码阅读1
后端·golang
2601_961593427 小时前
Rust 开发环境配置繁琐?RustRover 开箱即用搞定编码调试
开发语言·后端·macos·rust
HZZD_HZZD8 小时前
DL/T 645-2026新国标深度解读与智能电表协议适配实战:从帧结构变化到Java采集器升级的全链路改造方案
java·开发语言
犀利豆10 小时前
AI in Harness(三)
人工智能·后端
IT_陈寒10 小时前
Java的Stream.parallel()把我CPU跑爆了,这种优化要谨慎
前端·人工智能·后端