Jackson Databind 中获取原始JSON内容的正确方式

背景介绍

在使用Jackson Databind进行JSON反序列化时，开发者有时需要获取JSON字符串的原始内容。一个常见的场景是需要对原始JSON数据进行签名验证（如HMAC签名），此时任何微小的格式变化（如空格、换行符等）都可能导致签名校验失败。

问题现象

在Jackson Databind 2.15版本中，一些开发者通过JsonParser.currentLocation().contentReference().rawContent来获取原始JSON内容。然而在升级到2.18.3版本后，这种方法开始返回null值，导致相关功能失效。

技术分析

实际上，通过JsonLocation获取原始内容是一种不被官方支持的做法。JsonLocation的设计初衷仅用于在出现解码问题时指示错误来源，而不是作为获取原始内容的通用API。Jackson官方从未承诺会通过公共API暴露原始输入内容。

解决方案

虽然不推荐，但如果确实需要获取原始内容，可以考虑以下方法：

1. 启用特定功能标志： 在Jackson 2.16及以后版本中，可以通过设置JsonParser.Feature.INCLUDE_SOURCE_IN_LOCATION为true来恢复之前的行为。但需要注意，这个功能默认是关闭的，主要是出于安全考虑。

2. 更可靠的做法： 更好的解决方案是在Jackson处理之前或之外获取原始内容。例如：

   • 在处理前保存原始字符串
   • 使用其他方式获取需要验证的部分
   • 考虑重构设计，避免依赖原始内容

最佳实践

对于需要进行签名验证的场景，建议：

1. 先完整接收和存储原始JSON字符串
2. 进行签名验证
3. 然后再使用Jackson进行反序列化

这样可以确保：

• 签名验证使用的是原始未修改的内容
• 反序列化过程不受签名验证的影响
• 代码更加健壮，不依赖内部实现细节

版本兼容性说明

从Jackson 2.16开始，出于安全考虑，INCLUDE_SOURCE_IN_LOCATION功能默认被禁用。这是导致从2.15升级后出现问题的根本原因。开发者应该意识到，依赖非公开API的行为存在风险，在版本升级时可能导致兼容性问题。

结论

在Jackson Databind中，获取原始JSON内容的正确方式不是通过内部API，而是应该在Jackson处理流程之外处理原始数据。对于必须使用原始内容的场景，应该明确了解相关风险，并考虑更健壮的替代方案。