This class is not trusted to be serialized as ObjectMessage payload.ActiveMQ序列化设置

引子

　　ObjectMessage引入的生产者和消费者之间的类路径耦合，ActiveMQ支持他们作为JMS规范的一部分。 ObjectMessage对象依赖marshal/unmarshal进行java序列化，这个过程是不安全的，因为会被恶意利用。从5.12.2和5.13.0开始，ActiveMQ强制用户将ObjectMessages交换的包列入白名单。如果不根据规范进行相应的设置，则会抛出异常This class is not trusted to be serialized as ObjectMessage payload

解决方案

　　如果需要交换对象消息，则需要添加应用程序正在使用的包。可通过使用org.apache.activemq.SERIALIZABLE_PACKAGES由代理和activemq系统属性来做到这一点。将设置添加到脚本文件中的ACTIVEMQ_OPTS变量，${ACTIVEMQ_HOME}/bin/env

例如

1	`-Dorg.apache.activemq.SERIALIZABLE_PACKAGES=java.lang,javax.security,java.util,org.apache.activemq,org.fusesource.hawtbuf,com.thoughtworks.xstream.mapper,com.mycompany.myapp`

　　将com.mycompany.myapp包添加到受信任的包列表中。请注意，此处列出的其他软件包默认启用，因为它们是常规代理工作所必需的。如果您想简化此机制，您可以使用*通配符允许所有包被信任，例如

1	`-Dorg.apache.activemq.SERIALIZABLE_PACKAGES=*`

　　在客户端，也需要相同的配置，恶意代码ObjectMessage.getObject()调用时反序列化，从而损害应用程序环境。可在代理上使用相同的配置机制，并使用系统属性配置受信任的类。但是，这在客户端应用程序中不方便，在5.12.2和5.13.1中，引入额外配置，使用ActiveMQConnectionFactory，通过设置信任包和信任类添加设置。

使用setTrustedPackages()设置反序列化受信任的包列表

1 2	`ActiveMQConnectionFactory factory =` `new` `ActiveMQConnectionFactory("tcp://localhost:61616");` `factory.setTrustedPackages(new` `ArrayList(Arrays.asList("org.apache.activemq.test,org.apache.camel.test".split(","))));`

使用setTrustAllPackages()设置关闭安全检查并信任所有类

1 2	`ActiveMQConnectionFactory factory =` `new` `ActiveMQConnectionFactory("tcp://localhost:61616");` `factory.setTrustAllPackages(true);`

或者通过设置prop完成

1	`ActiveMQConnectionFactory factory =` `new` `ActiveMQConnectionFactory("tcp://localhost:61616");<br>Properties props =` `new` `Properties();<br><em>props.setProperty("trustAllPackages","true");<br>factory.</em>setProperties(props);`