是否考虑去除fastjson

justauth / JustAuth

🏆Gitee 最有价值开源项目 🚀:100: 小而全而美的第三方登录开源组件。目前已支持Github、Gitee、微博、钉钉、百度、Coding、腾讯云开发者平台、OSChina、支付宝、QQ、微信、淘宝、Google、Facebook、抖音、领英、小米、微软、今日头条、Teambition、StackOverflow、Pinterest、人人、华为、企业微信、酷家乐、Gitlab、美团、饿了么、推特、飞书、京东、阿里云、喜马拉雅、Amazon、Slack和 Line 等第三方平台的授权登录。 Login, so easy!

https://www.justauth.cn

MIT License

16.52k stars 2.78k forks source link

是否考虑去除fastjson #151

Open itzlyg opened 2 years ago

itzlyg commented 2 years ago

fastjson漏洞太多，强行依赖维护成本太高。是否可以把需要用到josn的方法封装起来，所有用到fastjson的封装成工具类，不需要用fastjson的直接排除掉jar包，然后再重写json工具类即可。

zhangyd-c commented 2 years ago

可以，有这个打算，后面将会替换为 https://github.com/xkcoding/simple-json

atjiu commented 3 months ago

附议，建议直接用spring里用的那个jackson

atjiu commented 3 months ago

另外问一下作者，如果我在项目中将justauth里用的fastjson exclusion 掉，会不会出问题？

<dependency>
            <groupId>me.zhyd.oauth</groupId>
            <artifactId>JustAuth</artifactId>
            <version>${justauth.version}</version>
            <exclusions>
                <exclusion>
                    <groupId>com.alibaba</groupId>
                    <artifactId>fastjson</artifactId>
                </exclusion>
            </exclusions>
        </dependency>