1.初入RMI反序列化（一）
2.Java教程：dubbo源码解析-网络通信
3.JavaRMI定义
4.看了我迁移代码库的用法，全公司的人都悄悄模仿
5.Dubbo源码解析：网络通信

初入RMI反序列化（一）

       程序员的探索之旅:

       本文将深度剖析RMI反序列化，分为"入门篇"和"漏洞解析"两大部分，带你探索RPC框架中的RMI技术，包括其背后的原理、实现及潜在的srpm源码包安全隐患。我们将在JDK8u的攻击端与jdk7的服务端，以及Apache-Commons-Collections 3.1和ysoserial.jar的背景下展开讨论。

       RMI基础

       在分布式编程中，RMI是RPC框架之一，让我们从概念出发：

RPC框架比较：RMI、grpc和dubbo各有特色，RMI以其简单易用著称。

RMI概念解析：远程调用的奥秘，Server、Client和Registry的协作机制。

实践代码示例：一步步构建接口、实现、实体，以及客户端如何调用远程服务。

源码浅析揭秘：深入RMI源码，理解服务端的发布与调试过程。

       服务端发布与调试

发布过程：从无参构造到创建RemoteHelloWorld引用，每个步骤都至关重要。

关键步骤：初始化castServerRef，通过端口传递；有参构造LiveRef，实现对象的远程发布。

UnicastRef封装：TCP通信与对象类型检查，确保高效安全的樱花引流插件源码通信。

exportObject与代理：创建并调用RemoteHelloWorld，服务器端的代理写法如何运作。

       安全风险点

       在服务端，执行call方法时，readObject漏洞可能成为攻击者的入口：

readObject的危险：未过滤的输入流可能导致恶意对象反序列化，构成潜在威胁。

客户端与服务端的攻防：序列化/反序列化操作，既是攻击手段，也是防御线。

       动态代理与客户端调用

       var动态代理类中，RemoteObjectInvocationHandler与LiveREF承载着服务端信息，客户端调用远程方法时，这个环节尤为关键：

客户端调用链路：从注册中心获取服务，执行executeCall，反序列化可能的陷阱。

返回值与潜在攻击：unmarshalValue环节，可能成为攻击者下手的地方。

       总结：序列化/反序列化如同一把双刃剑，既可实现数据交互，也可能带来安全风险。下期我们将深入剖析RMI反序列化漏洞，敬请期待！

Java教程：dubbo源码解析-网络通信

       在之前的内容中，我们探讨了消费者端服务发现与提供者端服务暴露的相关内容，同时了解到消费者端通过内置的负载均衡算法获取合适的调用invoker进行远程调用。接下来，我们聚焦于远程调用过程，即网络通信的商家岛源码破解细节。

       网络通信位于Remoting模块中，支持多种通信协议，包括但不限于：dubbo协议、rmi协议、hessian协议、ty进行网络通讯，NettyClient.doOpen()方法中可以看到Netty的相关类。序列化接口包括但不限于：Serialization接口、Hessian2Serialization接口、Kryo接口、FST接口等。

       序列化方式如Kryo和FST，性能往往优于hessian2，能够显著提高序列化性能。这些高效Java序列化方式的引入，可以优化Dubbo的序列化过程。

       在配置Dubbo RPC时，引入Kryo和FST非常简单，只需在RPC的XML配置中添加相应的属性即可。

       关于服务消费方发送请求，Dubbo框架定义了私有的RPC协议，消息头和消息体分别用于存储元信息和具体调用消息。消息头包括魔数、数据包类型、消息体长度等。消息体包含调用消息，如方法名称、参数列表等。静态手机端源码请求编码和解码过程涉及编解码器的使用，编码过程包括消息头的写入、序列化数据的存储以及长度的写入。解码过程则涉及消息头的读取、序列化数据的解析以及调用方法名、参数等信息的提取。

       提供方接收请求后，服务调用过程包含请求解码、调用服务以及返回结果。解码过程在NettyHandler中完成，通过ChannelEventRunnable和DecodeHandler进一步处理请求。服务调用完成后，通过Invoker的invoke方法调用服务逻辑。响应数据的编码与请求数据编码过程类似，涉及数据包的构造与发送。

       服务消费方接收调用结果后，首先进行响应数据解码，获得Response对象，并传递给下一个处理器NettyHandler。处理后，响应数据被派发到线程池中，此过程与服务提供方接收请求的过程类似。

       在异步通信场景中，Dubbo在通信层面为异步操作，通信线程不会等待结果返回。默认情况下，RPC调用被视为同步操作。Dubbo通过CompletableFuture实现了异步转同步操作，手机抬起唤醒源码通过设置异步返回结果并使用CompletableFuture的get()方法等待完成。

       对于异步多线程数据一致性问题，Dubbo使用编号将响应对象与Future对象关联，确保每个响应对象被正确传递到相应的Future对象。通过在创建Future时传入Request对象，可以获取调用编号并建立映射关系。线程池中的线程根据Response对象中的调用编号找到对应的Future对象，将响应结果设置到Future对象中，供用户线程获取。

       为了检测Client端与Server端的连通性，Dubbo采用双向心跳机制。HeaderExchangeClient初始化时，开启两个定时任务：发送心跳请求和处理重连与断连。心跳检测定时任务HeartbeatTimerTask确保连接空闲时向对端发送心跳包，而ReconnectTimerTask则负责检测连接状态，当判定为超时后，客户端选择重连，服务端采取断开连接的措施。

JavaRMI定义

       Java RMI，全称Remote Method Invocation，是Java在JDK1.2版本中引入的一项关键技术，它极大地扩展了Java在开发分布式应用领域的实力。Java作为网络开发的热门语言，其强大之处主要体现在其构建分布式网络应用的潜能上，而RMI正是实现这一目标的核心工具之一。RMI可以看作是RPC（Remote Procedure Call，远程过程调用）的Java版本升级版。

       传统的RPC设计并不完全适用于分布式对象系统，它在处理不同地址空间的程序级对象通信时存在一些局限。然而，Java RMI的独特之处在于，它支持不同地址空间中的程序对象之间进行无缝的远程调用，使得对象间的通信变得更加便捷和高效。通过RMI，开发者能够轻松构建百分之百基于Java的分布式网络应用系统，极大地简化了分布式应用的开发和管理。

看了我迁移代码库的用法，全公司的人都悄悄模仿

       在编译代码或启动JVM时，曾经有多种方式来指定JDK平台。可以选择JDK的子集，替换特定技术，添加新类，或选择不同版本的平台。模块系统引入后，一些功能变得过时，而以更现代的方式进行了重新实现。Java 9放弃了部分老旧内容。

       对于依赖特定特性的项目，必须确保其在更新后仍能正常运行。模块系统带来了简单性，但同时也导致一些功能的消失。

       不再支持紧凑配置。紧凑配置是为小型设备和虚拟化环境设计的，用于减小运行时镜像的大小。然而，模块系统提供了更灵活的运行时镜像创建方式，因此Java 9及后续版本仅在编译Java 8时接受紧凑配置选项。使用模块系统时，可通过--limit-modules选项选择所需的模块进行编译。

       扩展机制被移除。过去，人们可以通过扩展机制向JDK中添加类，无需将其放入类路径。如今，此功能已不再支持，除非通过特定替代方案，如使用--patch-module选项。

       授权标准覆盖机制也被废除。允许替换某些API的自定义实现，但此功能现已不复存在。类似扩展机制，可以采用--patch-module等替代方案。

       某些启动类路径选项已被废除，现在推荐使用如--system、--release和--patch-module等新选项。

       Java 9不再支持Java 5编译。编译器现在支持Java 9及之前版本（Java 8、Java 7和Java 6）。Java 、和可以编译Java 6代码。

       Java 9移除了版本选择功能，现代应用通常通过Java Web Start、操作系统打包系统或安装程序进行部署，这些技术能根据需要查找、下载或更新所需JRE。

       新版本字符串格式的引入，不再以1.x开头，而是以x开头。新格式仍在调整中，但可以提供更详细的版本信息。这可能导致依赖于版本的代码出现意外行为，但通过升级项目到最新版本，或使用Runtime.Version类型，可以避免解析系统属性。

       JDK工具数量减少，例如JavaDB、VisualVM、hprof、jhat、javarmi.exe、java-rmi.cgi和native2ascii已被删除。Java 和分别删除了FlatProfiler和policytool，而Java 还移除了Applet API和Java Web Start。

       单一下划线不再作为有效的标识符使用。未来版本将赋予下划线特殊意义。此更改可能导致现有代码出现编译错误，建议进行更新。

       JNLP语法已更新，以符合XML规范，可能导致现有JNLP文件需要进行调整。此外，每个Java版本都会移除废弃的JVM命令行选项，确保应用正常运行可能需要进行相应的调整。

       Java 9废弃了Applet技术和Java Web Start，Java 则删除了它们。开发者需要寻找替代方案，或将其与合适的JRE捆绑在一起。

Dubbo源码解析：网络通信

       <dubbo源码解析：深入理解网络通信

       在之前的章节中，我们已经了解了消费者如何通过服务发现和负载均衡机制找到提供者并进行远程调用。本章将重点解析网络通信的实现细节。

       网络通信主要在Dubbo的Remoting模块中进行，涉及多种通信协议，包括dubbo协议、RMI、Hessian、HTTP、WebService、Thrift、REST、gRPC、Memcached和Redis等。每个协议都有其特定的优缺点，如Dubbo协议适用于高并发场景，而RMI则使用标准JDK序列化。

       Dubbo的序列化机制支持多种方式，如Hessian2、Kryo、FST等。近年来，高效序列化技术如Kryo和FST的出现，可提升性能，只需在配置中简单添加即可优化。

       关于数据格式和粘包拆包问题，Dubbo采用私有RPC协议，消息头存储元信息，如魔法数和数据类型，消息体则包含调用信息。消费者发送请求时，会通过MockClusterInvoker封装服务降级逻辑，然后通过序列化转换为网络可传输的数据格式。

       服务提供方接收请求时，首先对数据包进行解码，确认其格式正确性，然后调用服务逻辑。提供方返回调用结果时，同样经过序列化和编码，最后通过NettyChannel发送给消费者。

       在心跳检测方面，Dubbo采用双向心跳机制，客户端和服务端定期发送心跳请求以维持连接。此外，还通过定时任务处理重连和断连，确保连接的稳定性和可靠性。

       总的来说，Dubbo的网络通信模块精细且灵活，通过多种协议和优化技术确保服务调用的高效和可靠性。