This class is not trusted to be serialized as ObjectMessage payload.ActiveMQ序列化设置

引子

　　ObjectMessage引入的生产者和消费者之间的类路径耦合，ActiveMQ支持他们作为JMS规范的一部分。 ObjectMessage对象依赖marshal/unmarshal进行java序列化，这个过程是不安全的，因为会被恶意利用。从5.12.2和5.13.0开始，ActiveMQ强制用户将ObjectMessages交换的包列入白名单。如果不根据规范进行相应的设置，则会抛出异常This class is not trusted to be serialized as ObjectMessage payload

解决方案

　　如果需要交换对象消息，则需要添加应用程序正在使用的包。可通过使用org.apache.activemq.SERIALIZABLE_PACKAGES由代理和activemq系统属性来做到这一点。将设置添加到脚本文件中的ACTIVEMQ_OPTS变量，${ACTIVEMQ_HOME}/bin/env

例如

-Dorg.apache.activemq.SERIALIZABLE_PACKAGES=java.lang,javax.security,java.util,org.apache.activemq,org.fusesource.hawtbuf,com.thoughtworks.xstream.mapper,com.mycompany.myapp

　　将com.mycompany.myapp包添加到受信任的包列表中。请注意，此处列出的其他软件包默认启用，因为它们是常规代理工作所必需的。如果您想简化此机制，您可以使用*通配符允许所有包被信任，例如

-Dorg.apache.activemq.SERIALIZABLE_PACKAGES=*

　　在客户端，也需要相同的配置，恶意代码ObjectMessage.getObject()调用时反序列化，从而损害应用程序环境。可在代理上使用相同的配置机制，并使用系统属性配置受信任的类。但是，这在客户端应用程序中不方便，在5.12.2和5.13.1中，引入额外配置，使用ActiveMQConnectionFactory，通过设置信任包和信任类添加设置。

使用setTrustedPackages()设置反序列化受信任的包列表

ActiveMQConnectionFactory factory = new ActiveMQConnectionFactory("tcp://localhost:61616");
factory.setTrustedPackages(new ArrayList(Arrays.asList("org.apache.activemq.test,org.apache.camel.test".split(","))));

使用setTrustAllPackages()设置关闭安全检查并信任所有类

ActiveMQConnectionFactory factory = new ActiveMQConnectionFactory("tcp://localhost:61616");
factory.setTrustAllPackages(true);

或者通过设置prop完成

ActiveMQConnectionFactory factory = new ActiveMQConnectionFactory("tcp://localhost:61616");
Properties props = new Properties();
props.setProperty("trustAllPackages","true");
factory.setProperties(props);

　　

更为详细的配置见官方文档：https://activemq.apache.org/objectmessage.html