Fastjson已进入公司米乐体育APP官网黑名单组件库新项目不准再用！！！

　　Java精选面试题 （微信小程序）： 5000+ 道面试题和选择题， 真实面经 ， 简历模版 ，包含Java基础、并发、JVM、线程、MQ系列、Redis、Spring系列、Elasticsearch、Docker、K8s、Flink、Spark、架构设计、大厂真题等，在线随时刷题！

　　这个略显马丽苏的标题，各位看官将就着看吧。主要是怕被喷。fastjson真的很好，我用不用我喜不喜欢的，太不重要了，我只是觉得不适合我而已。

　　话说以前GSON用得好好的，同事极力推荐我使用Fastjson，说很快云云。尽管我们的系统根本感知不出来这点速度差异。

　　之前也听说Fastjson爆出来什么重大漏洞，但对我们基本没什么影响，所以这一点倒是没什么偏见。

　　然后就开始遇到了一些问题。先声明，这真不是尬黑，为了文章效果，故意网上扒些黑料拼凑起来，本文所提到的问题，都来源于本人最近项目的真实经历。

　　本来是一个风和日丽的下午，一个非常简单的改动需求。接口返回的时间只需要年月日日期类型不需要时分秒。

　　因为我配置全局时间格式化为yyyy-MM-dd HH:mmss，于是我愉快的在javabean的属性上加了个注解。

　　那么现在的直接问题是：fastjson关于时间配置在局部的配置没有生效，使用的还是全局配置。

　　现象是，开发环境windows上没有问题，测试环境linux上出现了问题。两者有什么区别呢？系统问题？

　　既然怀疑是两个系统导致的问题，那么就在idea里模拟一下linux系统。在VM options添加

　　这不能完全模拟linux系统，只针对通过System.getproperty(os.name)来判断当前系统做某些操作的时候有用。

　　一阵操作猛如虎，远程调试倒是能进断点，只是断点进不了第三方jar包的源码。等于白搞。

　　得，还是回到源码吧。拉下源码，断点，观察JSONSerializer类，主要是writeWithFormat方法。没有发现问题。

　　因为怀疑是系统导致的，在源码中搜索linuxunix关键字，没有发现。断点整个流程重点观察了一下这部份也没有发现问题。

　　这部份涉及到了调整dateformat的问题，重点在这个#1868，这通常是github的问题编号。

　　1、对于开源项目来说，解决了BUG，通常会把问题编号放到注释里面去前提是注释有必要通过问题编号可以看到问题的前因后果；2、通常来说，对于github开源项目都有issue区，拿着这个到编号直接到issue一搜就能搜到；3、但也有一些项级项目，如spark，flink是没有issue区的，它们的类型问题发现描述追踪都使用jira平台；

　　所以拿着这个编号到issue区，不管有没有issue区，也都可以直接到pullrequest区直接搜索，就算PR标题里没有问题编号，PR描述肯定也是有的，只要是有严格PR流程的开源项目。

　　通过ISSUES描述的已知信息，可以看出他遇到的问题跟我是一样的，而这个问题早在2018年就提出了。但问题描述不太专业，没有涉及到环境以及最重要的fastjson的版本问题。

　　这个信息很关键。我对照了我开发环境的版本，是高于1.2.72的，所以没有出现测试环境的问题。

　　所以，柯南告诉我们，排除了所有可能性，剩下的哪怕再可笑，也是最终问题所在。

　　我最终在测试环境的依赖包目录下发现了两个Fastjson包，果然不出所料，有一个1.2.53的低版本，它就是罪魁祸首。

　　所以，最终这个问题有相当大的程度是由于我们团队自身问题引发的。但通过解决这个问题的过程也发现了一些有意思的情况。

　　首先，Fastjson在某一个版本为什么会引发这个问题。它肯定是某个PR改出问题的，rv,testcase覆盖没有到位。

　　其次，从试图解决这个问题的3个PR的时间线年。说明，fastjson这个项目的contributor看起来有百来人，但其中过于依赖其中某1个或者某些主力人员。精力有限，某些优先级不那么高的BUG只能放任。

　　同时这个项目的荣誉感并没有那么高（或者叫并没有那么吸引高手），它并不是apache顶级项目，要是其它诸如spark/flink、spring，哪怕是dubbo呢，很想象这些项目会有一个并不算复杂的BUG悬而未决长达3年时间。在这些顶级开源项目，大家都是拼了老命的想找些BUG来提交PR。

　　复盘，遇到Fastjson的问题，一开始就应该奔着github的issues区，它大概率已经被前人踩坑了。$ref循环引用问题

　　此时，我观察到的现象是，young和children两个list对象中均引用指向了王麻子这个对象。然后，在第2次children引用的时候它在序列化的时候直接指向了第1个young里相应对象引用。

　　当然遇到这个问题的时候，我在仔细观察排除了非fastjson的问题以后，这次我学聪明了，我直接来到了github的issues区，搜索$ref。

　　果然有很多同道中人，近150个问题，从时间上来看还挺新鲜。我点击了closed，既然关闭了，那肯定解决了吧。

　　我点进了closed区第一个问题，然后作者让升级到fastjson2。???

　　如果我没有理解错，fastjson和fastjson2可不是两个版本的区别，是两个项目也！据说API也有兼容性问题。直接这样升级过去，谈何容易！

　　我觉得这也是个槽点，Fastjson好像并没有一个稳定维护的版本，遇到问题总是在升级，升级的过程中也没做好质量控制，又引入了新的问题。

　　但是，我的代码其实并没有循环引用啊，只是两个子对象引用了同一个对象而已。这算什么？误伤吗？

　　比如，当前这个循环引用在序列化会出的问题，应该是用户手动去开启，而不是默认给用户开启。

　　现在我的前端并没有使用Fastjson,面对$ref:$.result.young[1]这种文本，它能解析吗？它不能呀。我测试了一下，好像使用fastjson也并不能解析回来：

　　更可怕的问题是，刚好在测试环节有两个子对象引用了同一个对象，被我提前发现了。如果测试环境没有这样的情况，在生产环境刚好遇到了呢？那就是生产事故了呀。

　　本来是一个挺好的设计点，能起到锦上添花的作用，但它却可能暴雷，这是好心办坏事。

　　如果一个字段值为null，fastjson默认就不返回该字段了。本来前后端约定好，如果为null就怎样处理的逻辑，可能在生产环境中突然暴雷啊。

　　就像WriteNullListAsEmpty就很好，不错的设计点，如果返回的list为null的时候，用户可以选择让它序列化为[],但它也不是默认开启的呀，给了用户额外的选择权，对吧。

　　写到这里的时候，我是真心觉得fastjson有比竞品有些特色的地方。这真不是为了所谓的客观公正，非要负面写多点，再搞点正面的。

　　为了写文章，那肯定要去试验，得把竞品也拿出来测试一下，一测试发现并不是fastjson独有的，尴尬！

　　但我还是那句话，不管你信不信，对于开源项目，特别是这样一个广泛使用的开源项目，肯定有非常值得学习的地方。一个开源项目，如果整天拿着显微镜去观察，那肯定能找出不少毛病。

　　这里稍微总结一下本文的信息点。并不一定是某个具体BUG，而是通过这个BUG，解决这个BUG背后所展现出来的fastjson的信息或趋势。

　　2、contributor看起来很多，但严重依赖主力人员而主力精力有限，某些优先级不那么高的BUG只能放任；

　　最后说一句，fastjson1已经进入公司黑名单组件库，新项目一律不准使用~

　　公众号“Java精选”所发表内容注明来源的，版权归原出处所有（无法查证版权的或者未注明出处的均来自网络，系转载，转载的目的在于传递更多信息，版权属于原作者。如有侵权，请联系，笔者会第一时间删除处理！

　　3000+道面试题，包含Java基础、并发、JVM、线程、MQ系列、Redis、Spring系列、Elasticsearch、Docker、K8s、Flink、Spark、架构设计等，在线随时刷题！特别推荐：专注分享最前沿的技术与资讯，为弯道超车做好准备及各种开源项目与高效率软件的公众号，「大咖笔记」