本想设计的复杂一点，但是，我觉得满足低于 20K 大小的 JSON 串，基本就足够了。另外，大的 JSON 十分少见，哪怕出现这种情况，这个库的性能也还不错。所以，根本没必要搞一个十分巨大的解析器。
github.com/tinystruct/tinystruct/blob/master/src/main/java/org/tinystruct/data/component/Builder.java

json 反序列化可不是闹着玩的，稍不小心就是远程漏洞。

阿里的 FastJson 都迭代过多少版本了, 曾经爆出了无数的高危漏洞, 这玩意可不是那么好写的, 性能得排在安全后面.

为什么不用 Gson ，还有发错节点了，应该放在推广节点。

都用 Java 了，我还怕包大吗

FastJson2 已经很好用了

看得出来楼主很想推广 tinystruct ，但是我们写 Java 的最不缺的就是这类东西
好不好，可能好
用不用，不可能用

每次看到这种东西只会让我觉得 2025 年了 Java 基础设施还没建好

今夕是何年

fastjson 、jackson 包那么大是有原因的。

json 这种真没人敢乱用，我们之前用了几年 fastjson ，最近改成了 jackson ，改得吐血

目前主流应该是 jackson,国内 fastjson 比较多一些,只不过 fastjson 漏洞太多了, fastjson2 个人项目使用了,但是公司现在不推荐使用 fastjson 了,我感觉 fastjson 的使用方式更方便一些

我放着 jackjson 不用是为了什么呢

＃12 没苦硬吃😂

2025 年了，还有人在重复造 json 反序列化的轮子？

Java 世纪难题之——json 反序列化

json 用 Gson 就好了， 完美

＃1 还是 c++ 静态反射 json 好

大聪明

精简的你应该用： mvnrepository.com/artifact/org.json/json/20250517

＃6 我看 lz 上一个帖子我就想吐槽了，2025 年还在出 java web 框架是怎么想的？如果放在十年前，还可以像 jfinal 那样吃一下 spring 留下的剩饭。

练练手挺好的。真正项目上，还是用现成的吧，这玩意坑确实多。

另外，fastjson 是不是使用了太内核的东西，一个 json 序列化怎么这么多恐怖的漏洞（没看过远吗，也很少用。个人用 Gson 多）

fastjson 有漏洞是因为反序列化太自由了，拓展性太强了

如果，你只允许，json 反序列化到 hashmap arraylist 自己从 hashmap 里一个个的 get k/v 设置 entity 属性，没有漏洞。fastjson 是允许自动反序列化到指定的 entity/pojo 类，而不是从 hashmap 手动搞过去，自动导致的漏洞。

漏洞的核心是，自动类型推断和实例化，自动调用 getter/setter

主要就是自动类型推断，比如把类型用"@type"直接写到字段上

LocalDateTime 这些处理好了吗

xml 表达能力那么强，为啥被 json 偷家了，简直就是劣币驱逐良币