Audited项目在Rails 7.2中的YAML序列化问题解析与解决方案

问题背景

在Rails应用升级过程中，从7.1版本迁移至7.2版本后，部分开发者在使用Audited这个审计日志gem时遇到了一个特殊的异常：Psych::DisallowedClass - Tried to dump unspecified class: Class:。这个错误通常发生在尝试创建新资源时，特别是在涉及模型审计日志记录的场合。

技术原理分析

这个问题本质上与Rails 7.2对YAML序列化的安全限制增强有关。在Rails 7.2中，ActiveRecord对YAML类型的列进行了更严格的安全控制，通过active_record.yaml_column_permitted_classes配置项明确指定了允许序列化的类白名单。

Audited gem在内部实现上使用YAML格式来存储审计变更记录(audited_changes)，当这些变更记录中包含类对象时，由于Rails 7.2默认的白名单中不包含Class类，就会触发安全限制异常。

解决方案详解

要解决这个问题，开发者需要在Rails应用的配置中显式地将Class类添加到YAML序列化的允许列表中。具体操作如下：

1. 打开config/application.rb文件
2. 在配置块中添加以下内容：

config.active_record.yaml_column_permitted_classes = [
  Symbol,
  Time,
  Hash,
  Class # 专门为类序列化添加Class类型
]

深入理解

这个解决方案背后的原理是：

1. 安全机制：Rails 7.2引入的更严格的YAML序列化限制是为了防止潜在的安全风险，这是YAML反序列化中常见的问题。

2. 兼容性考虑：Audited gem在设计时使用了YAML作为审计变更的存储格式，这在早期Rails版本中是常见做法，但随着安全要求的提高，需要开发者进行显式配置。

3. 性能影响：添加Class到允许列表不会对应用性能产生直接影响，但确实略微扩大了序列化的安全边界，因此开发者应当确保审计日志中确实需要存储类信息。

最佳实践建议

1. 审计日志审查：建议开发者检查审计日志中实际存储的内容，确认是否真的需要存储类信息。

2. 替代方案：如果可能，考虑将审计日志中的类信息转换为字符串或其他基本类型存储。

3. 版本兼容性：在跨版本升级时，应当充分测试审计日志的读写功能，确保前后兼容。

4. 安全评估：添加Class到允许列表后，建议进行额外的安全评估，确保不会引入潜在的问题。

总结

Rails 7.2对YAML序列化的安全增强是一个积极的改进，但同时也带来了与某些gem(如Audited)的兼容性挑战。通过理解其背后的安全机制和合理配置，开发者可以既保持应用的安全性，又能继续使用成熟的审计日志功能。这个案例也提醒我们，在框架升级时需要特别关注安全相关的变更点。