Python中的安全和通用序列化

发布时间：2020-12-20 13:19:22 所属栏目：Python 来源：网络整理

导读：我想(de)将 Python中的简单对象序列化为人类可读(例如JSON)格式.数据可能来自不受信任的来源.我真的很喜欢Rust库,serde的工作原理： #[derive(Serialize,Deserialize,Debug)]struct Point { x: i32,y: i32,}fn main() { let point = Point { x: 1,y: 2 }; //

我想(de)将 Python中的简单对象序列化为人类可读(例如JSON)格式.数据可能来自不受信任的来源.我真的很喜欢Rust库,serde的工作原理：

#[derive(Serialize,Deserialize,Debug)]
struct Point {
    x: i32,y: i32,}

fn main() {
    let point = Point { x: 1,y: 2 };

    // Convert the Point to a JSON string.
    let serialized = serde_json::to_string(&point).unwrap();

    // Prints serialized = {"x":1,"y":2}
    println!("serialized = {}",serialized);

    // Convert the JSON string back to a Point.
    let deserialized: Point = serde_json::from_str(&serialized).unwrap();

    // Prints deserialized = Point { x: 1,y: 2 }
    println!("deserialized = {:?}",deserialized);
}

我想在Python中实现类似的功能.由于Python不是静态类型,我希望语法类似于：

deserialized = library.loads(data_str,ClassName)

其中ClassName是期望的类.

> jsonpickle糟糕,糟糕,糟糕.它绝对不会进行清理,它的使用会导致任意代码执行
>有序列化库：lima,marshmallow,kim但是所有这些库都需要手动定义序列化方案.事实上,它会导致代码重复,这很糟糕.

有什么我可以用于Python中简单,通用但安全的序列化吗？

编辑：之前隐含的其他要求

>处理嵌套序列化(serde可以做到：https://gist.github.com/63bcd00691b4bedee781c49435d0d729)
>处理内置类型,即能够序列化和反序列化内置json模块的所有内容,而无需对内置类型进行特殊处理.

解决方法

由于Python不需要类型注释,因此任何此类库都需要

>使用自己的类
>利用类型注释.

后者将是完美的解决方案,但我没有发现任何库这样做.

但是我发现了一个模块,它只需要将一个类定义为模型：https://github.com/dimagi/jsonobject

用法示例：

import jsonobject


class Node(jsonobject.JsonObject):
    id = jsonobject.IntegerProperty(required=True)
    name = jsonobject.StringProperty(required=True)


class Transaction(jsonobject.JsonObject):
    provider = jsonobject.ObjectProperty(Node)
    requestor = jsonobject.ObjectProperty(Node)


req = Node(id=42,name="REQ")
prov = Node(id=24,name="PROV")

tx = Transaction(provider=prov,requestor=req)
js = tx.to_json()
tx2 = Transaction(js)
print(tx)
print(tx2)

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!