[Dependency] Upgrade fastjson to fastjson2 (v2.0.60)

[CodeCasterX]

🔗 相关问题 / Related Issue

• 我已经创建了相关 Issue 并进行了讨论 / I have created and discussed the related issue
• 这是一个微小的修改（如错别字），不需要 Issue / This is a trivial change (like typo fix) that doesn't need an issue

📋 变更类型 / Type of Change

• 🐛 Bug 修复 / Bug fix (non-breaking change which fixes an issue)
• ✨ 新功能 / New feature (non-breaking change which adds functionality)
• 💥 破坏性变更 / Breaking change (fix or feature that would cause existing functionality to not work as expected)
• 📚 文档更新 / Documentation update
• 🔧 重构 / Refactoring (no functional changes)
• ⚡ 性能优化 / Performance improvement
• 📦 依赖升级 / Dependency upgrade (update dependencies to newer versions)
• 🚀 功能增强 / Feature enhancement (improve existing functionality without breaking changes)
• 🧹 代码清理 / Code cleanup

📝 变更目的 / Purpose of the Change

升级 fastjson 到 fastjson2 (v2.0.60)，解决安全漏洞并获取性能改进。fastjson2 是阿里巴巴官方推荐的升级版本，提供更好的性能和安全性。

📋 主要变更 / Brief Changelog

• 将 framework/dependency/pom.xml 中的 fastjson 依赖替换为 fastjson2 (v2.0.60)
• 更新 fit-value-fastjson 插件中的包引用从 com.alibaba.fastjson 到 com.alibaba.fastjson2
• 修复 HttpToolTest 测试类中的 JSON 字符串处理方式，使用 ObjectSerializer 显式反序列化
• 完善 ValueFetcher 和 ValueSetter API 文档，明确 String 参数的处理规则

🧪 验证变更 / Verifying this Change

测试步骤 / Test Steps

1. 执行完整测试流程：./.claude/run-test.sh
2. 验证 Maven 构建成功：所有 94 个模块编译通过
3. 验证单元测试通过：mvn clean install 执行成功
4. 验证 FIT 服务启动正常：健康检查和 Swagger 文档页面可访问
5. 验证 JSON 序列化/反序列化功能：已加载 30 个插件，包括 fit-value-fastjson 插件

测试覆盖 / Test Coverage

• 我已经添加了单元测试 / I have added unit tests
• 所有现有测试都通过 / All existing tests pass
• 我已经进行了手动测试 / I have performed manual testing

📸 截图 / Screenshots

测试流程执行结果：

✓ Maven 构建成功 (10分30秒)
✓ FIT 服务启动成功
✓ 健康检查接口正常 (30个插件已加载)
✓ Swagger 文档页面可访问
✓ 测试流程完成

✅ 贡献者检查清单 / Contributor Checklist

基本要求 / Basic Requirements:

• 确保有 GitHub Issue 对应这个变更（微小变更如错别字除外）/ Make sure there is a Github issue filed for the change (trivial changes like typos excluded)
• 你的 Pull Request 只解决一个 Issue，没有包含其他不相关的变更 / Your PR addresses just this issue, without pulling in other changes - one PR resolves one issue
• PR 中的每个 commit 都有有意义的主题行和描述 / Each commit in the PR has a meaningful subject line and body

代码质量 / Code Quality:

• 我的代码遵循项目的代码规范 / My code follows the project's coding standards
• 我已经进行了自我代码审查 / I have performed a self-review of my code
• 我已经为复杂的代码添加了必要的注释 / I have commented my code, particularly in hard-to-understand areas

测试要求 / Testing Requirements:

• 我已经编写了必要的单元测试来验证逻辑正确性 / I have written necessary unit-tests to verify the logic correction
• 当存在跨模块依赖时，我尽量使用了 mock / I have used mocks when cross-module dependencies exist
• 基础检查通过：mvn -B clean package -Dmaven.test.skip=true / Basic checks pass
• 单元测试通过：mvn clean install / Unit tests pass

文档和兼容性 / Documentation and Compatibility:

• 我已经更新了相应的文档 / I have made corresponding changes to the documentation
• 如果有破坏性变更，我已经在 PR 描述中详细说明 / If there are breaking changes, I have documented them in detail
• 我已经考虑了向后兼容性 / I have considered backward compatibility

📋 附加信息 / Additional Notes

升级说明：

1. API 兼容性：fastjson2 保持了与 fastjson 的 API 兼容性，核心接口无变化
2. 包名变更：com.alibaba.fastjson → com.alibaba.fastjson2
3. 性能提升：fastjson2 相比 fastjson 有显著的性能提升
4. 安全增强：修复了 fastjson 中已知的安全漏洞

重要变更：

• ValueFetcher 和 ValueSetter 接口的行为保持不变，但现在在 JavaDoc 中明确说明：当参数为 String 时，默认按普通字符串处理，不会自动解析 JSON 文本
• 如需从 JSON 字符串中取值或设置属性，调用方应先使用 ObjectSerializer 将其反序列化为对象

---

审查者注意事项 / Reviewer Notes:

这是一个重要的依赖升级，建议审查者：

1. 重点验证 JSON 序列化/反序列化功能正常
2. 确认 fit-value-fastjson 插件功能无异常
3. 检查 HttpToolTest 测试类的修改是否合理
4. 确认所有单元测试通过

🤖 Generated with Claude Code

[chatgpt-codex-connector]

💡 Codex Review

Here are some automated review suggestions for this pull request.

ℹ️ About Codex in GitHub

Your team has set up Codex to review pull requests in this repo. Reviews are triggered when you

• Open a pull request for review
• Mark a draft as ready
• Comment "@codex review".

If Codex has suggestions, it will comment; otherwise it will react with 👍.

Codex can also answer questions or update the PR. Try commenting "@codex address that feedback".

[CodeCasterX]

📊 专业 PR 审查报告

审查方式: 5 个专业代理并行深度审查 (code-reviewer, pr-test-analyzer, comment-analyzer, silent-failure-hunter, code-simplifier)
审查时间: 2025-12-29
总体状态: ⚠️ 条件批准 - 需修复关键问题后再合并

---

🔴 关键问题（必须修复）

① 静默失败风险 - FastJsonValueHandler 缺少错误处理 (严重性: CRITICAL)

问题位置: FastJsonValueHandler.java:32, 44

问题描述:
JSONPath.eval() 和 JSONPath.set() 调用没有任何错误处理，会导致：

• 非法 JSONPath 表达式抛出异常但未捕获
• 不存在的路径静默返回 null，用户无法判断是路径错误还是数据为空
• 数组越界静默返回 null
• 类型不匹配静默失败

影响:

• 生产环境中出现神秘的 null 值，无日志、无错误提示
• 调试困难，用户无法定位问题根源
• 数据丢失风险，set 操作失败但无任何提示

修复建议:

@Override
public Object fetch(Object object, String propertyPath) {
    if (object == null) {
        return null;
    }
    if (StringUtils.isBlank(propertyPath)) {
        return object;
    }
    
    try {
        String parsedPath = this.getParsedPath(propertyPath);
        return JSONPath.eval(object, parsedPath);
    } catch (com.alibaba.fastjson2.JSONException e) {
        throw new IllegalArgumentException(
            StringUtils.format("Invalid JSONPath expression: {0}", propertyPath), e);
    }
}

@Override
public Object set(Object object, String propertyPath, Object value) {
    if (object == null) {
        return null;
    }
    if (StringUtils.isBlank(propertyPath)) {
        return value;
    }
    
    try {
        String parsedPath = this.getParsedPath(propertyPath);
        boolean success = JSONPath.set(object, parsedPath, value);
        
        if (!success) {
            throw new IllegalStateException(
                StringUtils.format("Failed to set value at JSONPath: {0}", propertyPath));
        }
        
        return object;
    } catch (com.alibaba.fastjson2.JSONException e) {
        throw new IllegalArgumentException(
            StringUtils.format("Invalid JSONPath expression: {0}", propertyPath), e);
    }
}

---

② 缺少关键测试 - JSON 字符串自动解析防护测试 (严重性: 9/10)

问题位置: FastJsonValueFetcherTest.java, FastJsonValueSetterTest.java

问题描述:
PR 的核心行为变更是"不再自动解析 JSON 字符串"，但完全没有测试验证这一点。这意味着：

• 未来的重构可能意外恢复 JSON 自动解析
• 无法验证 fastjson2 确实改变了这个行为
• 文档说明无测试保障

缺失的测试 (添加到 FastJsonValueFetcherTest.java):

@Test
@DisplayName("当 object 为 JSON 字符串时，不应自动解析")
void shouldNotAutoParseJsonString() {
    ValueFetcher fetcher = new FastJsonValueHandler();
    String jsonString = "{\"key\":\"value\"}";
    
    // 应当作普通字符串处理，不解析
    Object result = fetcher.fetch(jsonString, "key");
    assertThat(result).isNull(); // 证明未自动解析
    
    // 获取空路径应返回字符串本身
    Object selfResult = fetcher.fetch(jsonString, "");
    assertThat(selfResult).isEqualTo(jsonString);
}

类似测试添加到 FastJsonValueSetterTest.java:

@Test
@DisplayName("当 object 为 JSON 字符串时，不应自动解析")
void shouldNotAutoParseJsonStringInSetter() {
    ValueSetter setter = new FastJsonValueHandler();
    String jsonString = "{\"key\":\"value\"}";
    
    // 不应修改字符串
    Object result = setter.set(jsonString, "key", "newValue");
    assertThat(result).isEqualTo(jsonString); // 未变化
}

---

🟠 重要问题（强烈建议修复）

③ 测试覆盖不足 - 缺少 Tool.execute() JSON 字符串拒绝测试 (严重性: 8/10)

问题位置: HttpToolTest.java

问题描述:
虽然测试现在使用显式反序列化，但没有测试验证直接传入 JSON 字符串会发生什么。遗留代码可能仍然这样调用。

建议添加测试:

@Test
@DisplayName("当直接传入 JSON 字符串时，应无法正确处理参数")
void shouldNotAcceptJsonStringDirectly() {
    Tool.Info info = readToolInfo("basic-auth.json");
    Tool tool = createTool(info);
    
    // 文档化迁移行为
    assertThatThrownBy(() -> tool.execute("{\"name\":\"testuser\", \"pwd\":\"testpass\"}"))
        .isInstanceOf(IllegalArgumentException.class)
        .hasMessageContaining("Expected Map but got String");
}

---

④ 测试代码错误处理缺失 (严重性: HIGH)

问题位置: HttpToolTest.deserializeJsonObject():129-133

问题描述:
新添加的 deserializeJsonObject() 辅助方法没有异常处理，测试失败时会产生难以理解的堆栈跟踪。

修复建议:

private static Map<String, Object> deserializeJsonObject(String json) {
    ObjectSerializer jsonSerializer = new JacksonObjectSerializer(null, null, null, true);
    Type objectType = TypeUtils.parameterized(Map.class, new Type[] {String.class, Object.class});
    
    try {
        return jsonSerializer.deserialize(json, objectType);
    } catch (SerializationException e) {
        throw new IllegalStateException(
            StringUtils.format("Failed to deserialize test JSON: {0}", json), e);
    }
}

---

🟡 建议改进（可选）

⑤ 文档改进 - 添加版本上下文

问题位置: ValueFetcher.java:43-45, ValueSetter.java:44-46

建议: JavaDoc 中添加 "自 fastjson2 升级后" 的上下文说明：

/**
 * <p><strong>注意（自 fastjson2 升级后）：</strong>当 {@code object} 为 {@link String} 时，
 * 默认按普通字符串处理，不会自动解析 JSON 文本...
 */

⑥ 代码简化 - 提取共享的 ObjectSerializer

问题位置: HttpToolTest.java:118, 130

两处创建相同的 JacksonObjectSerializer 实例，可提取为共享静态字段：

private static final ObjectSerializer JSON_SERIALIZER = 
    new JacksonObjectSerializer(null, null, null, true);

⑦ 代码简化 - 移除不必要的 else

问题位置: FastJsonValueHandler.java:34-36

移除 return 后不必要的 else 关键字，减少嵌套。

---

✅ 积极发现

1. ✅ 依赖升级正确: fastjson → fastjson2 的 Maven 配置完全正确
2. ✅ 测试修改合理: HttpToolTest 的显式反序列化方法是正确的解决方案
3. ✅ API 文档准确: ValueFetcher/ValueSetter 的 JavaDoc 准确描述了新行为
4. ✅ 测试基础良好: 现有 40 个测试提供了良好的行为覆盖
5. ✅ 代码风格一致: 所有修改遵循项目代码规范

---

📋 行动计划

🔴 合并前必须完成

• 添加错误处理到 FastJsonValueHandler (问题 ①)

  • 在 fetch() 方法中添加 try-catch 捕获 JSONException
  • 在 set() 方法中添加 try-catch 并检查返回值

• 添加 JSON 字符串自动解析防护测试 (问题 ②)

  • 在 FastJsonValueFetcherTest 添加负面测试
  • 在 FastJsonValueSetterTest 添加负面测试

🟠 强烈建议

• 添加 HttpToolTest 错误处理 (问题 ④)
• 添加 Tool.execute() JSON 字符串拒绝测试 (问题 ③)

🟡 可选优化

• 添加版本上下文到 JavaDoc (问题 ⑤)
• 提取共享的 ObjectSerializer 实例 (问题 ⑥)
• 移除不必要的 else 语句 (问题 ⑦)

---

📊 审查统计

审查维度	状态	关键发现
代码质量	✅ APPROVED	依赖升级正确，无高置信度问题
测试覆盖	⚠️ GAPS	缺少 2 个关键测试
注释准确性	✅ ACCURATE	JavaDoc 准确，建议添加版本上下文
错误处理	🔴 CRITICAL	FastJsonValueHandler 缺少错误处理
代码简化	🟢 MINOR	有小的优化空间，不影响功能

---

🎯 最终建议

状态: ⚠️ 条件批准 - 需修复关键问题

合并条件:

1. ✅ 必须修复问题 ① (错误处理)
2. ✅ 必须修复问题 ② (防护测试)

理由:

• PR 的依赖升级和实现是正确的
• 但缺少关键的错误处理会导致生产环境静默失败
• 缺少核心行为变更的测试保护会增加未来回归风险

预计修复时间: 2-3 小时（添加错误处理 + 2 个测试）

修复后，这将是一个高质量的依赖升级 PR！👍

---

🤖 此审查报告由 Claude Code PR Review Toolkit 自动生成（5 个专业审查代理）

---

更正说明: 此评论修正了之前版本中使用 # 符号引用问题编号的错误，现改用圆圈数字（①②③④⑤⑥⑦）以避免与 GitHub Issue/PR 引用冲突。

[CodeCasterX]

📊 专业 PR 审查报告

审查方式: 5 个专业代理并行深度审查 (code-reviewer, pr-test-analyzer, comment-analyzer, silent-failure-hunter, code-simplifier) 审查时间: 2025-12-29 总体状态: ⚠️ 条件批准 - 需修复关键问题后再合并

🔴 关键问题（必须修复）

① 静默失败风险 - FastJsonValueHandler 缺少错误处理 (严重性: CRITICAL)

问题位置: FastJsonValueHandler.java:32, 44

问题描述: JSONPath.eval() 和 JSONPath.set() 调用没有任何错误处理，会导致：

• 非法 JSONPath 表达式抛出异常但未捕获
• 不存在的路径静默返回 null，用户无法判断是路径错误还是数据为空
• 数组越界静默返回 null
• 类型不匹配静默失败

影响:

• 生产环境中出现神秘的 null 值，无日志、无错误提示
• 调试困难，用户无法定位问题根源
• 数据丢失风险，set 操作失败但无任何提示

修复建议:

@Override
public Object fetch(Object object, String propertyPath) {
    if (object == null) {
        return null;
    }
    if (StringUtils.isBlank(propertyPath)) {
        return object;
    }
    
    try {
        String parsedPath = this.getParsedPath(propertyPath);
        return JSONPath.eval(object, parsedPath);
    } catch (com.alibaba.fastjson2.JSONException e) {
        throw new IllegalArgumentException(
            StringUtils.format("Invalid JSONPath expression: {0}", propertyPath), e);
    }
}

@Override
public Object set(Object object, String propertyPath, Object value) {
    if (object == null) {
        return null;
    }
    if (StringUtils.isBlank(propertyPath)) {
        return value;
    }
    
    try {
        String parsedPath = this.getParsedPath(propertyPath);
        boolean success = JSONPath.set(object, parsedPath, value);
        
        if (!success) {
            throw new IllegalStateException(
                StringUtils.format("Failed to set value at JSONPath: {0}", propertyPath));
        }
        
        return object;
    } catch (com.alibaba.fastjson2.JSONException e) {
        throw new IllegalArgumentException(
            StringUtils.format("Invalid JSONPath expression: {0}", propertyPath), e);
    }
}

② 缺少关键测试 - JSON 字符串自动解析防护测试 (严重性: 9/10)

问题位置: FastJsonValueFetcherTest.java, FastJsonValueSetterTest.java

问题描述: PR 的核心行为变更是"不再自动解析 JSON 字符串"，但完全没有测试验证这一点。这意味着：

• 未来的重构可能意外恢复 JSON 自动解析
• 无法验证 fastjson2 确实改变了这个行为
• 文档说明无测试保障

缺失的测试 (添加到 FastJsonValueFetcherTest.java):

@Test
@DisplayName("当 object 为 JSON 字符串时，不应自动解析")
void shouldNotAutoParseJsonString() {
    ValueFetcher fetcher = new FastJsonValueHandler();
    String jsonString = "{\"key\":\"value\"}";
    
    // 应当作普通字符串处理，不解析
    Object result = fetcher.fetch(jsonString, "key");
    assertThat(result).isNull(); // 证明未自动解析
    
    // 获取空路径应返回字符串本身
    Object selfResult = fetcher.fetch(jsonString, "");
    assertThat(selfResult).isEqualTo(jsonString);
}

类似测试添加到 FastJsonValueSetterTest.java:

@Test
@DisplayName("当 object 为 JSON 字符串时，不应自动解析")
void shouldNotAutoParseJsonStringInSetter() {
    ValueSetter setter = new FastJsonValueHandler();
    String jsonString = "{\"key\":\"value\"}";
    
    // 不应修改字符串
    Object result = setter.set(jsonString, "key", "newValue");
    assertThat(result).isEqualTo(jsonString); // 未变化
}

🟠 重要问题（强烈建议修复）

③ 测试覆盖不足 - 缺少 Tool.execute() JSON 字符串拒绝测试 (严重性: 8/10)

问题位置: HttpToolTest.java

问题描述: 虽然测试现在使用显式反序列化，但没有测试验证直接传入 JSON 字符串会发生什么。遗留代码可能仍然这样调用。

建议添加测试:

@Test
@DisplayName("当直接传入 JSON 字符串时，应无法正确处理参数")
void shouldNotAcceptJsonStringDirectly() {
    Tool.Info info = readToolInfo("basic-auth.json");
    Tool tool = createTool(info);
    
    // 文档化迁移行为
    assertThatThrownBy(() -> tool.execute("{\"name\":\"testuser\", \"pwd\":\"testpass\"}"))
        .isInstanceOf(IllegalArgumentException.class)
        .hasMessageContaining("Expected Map but got String");
}

④ 测试代码错误处理缺失 (严重性: HIGH)

问题位置: HttpToolTest.deserializeJsonObject():129-133

问题描述: 新添加的 deserializeJsonObject() 辅助方法没有异常处理，测试失败时会产生难以理解的堆栈跟踪。

修复建议:

private static Map<String, Object> deserializeJsonObject(String json) {
    ObjectSerializer jsonSerializer = new JacksonObjectSerializer(null, null, null, true);
    Type objectType = TypeUtils.parameterized(Map.class, new Type[] {String.class, Object.class});
    
    try {
        return jsonSerializer.deserialize(json, objectType);
    } catch (SerializationException e) {
        throw new IllegalStateException(
            StringUtils.format("Failed to deserialize test JSON: {0}", json), e);
    }
}

🟡 建议改进（可选）

⑤ 文档改进 - 添加版本上下文

问题位置: ValueFetcher.java:43-45, ValueSetter.java:44-46

建议: JavaDoc 中添加 "自 fastjson2 升级后" 的上下文说明：

/**
 * <p><strong>注意（自 fastjson2 升级后）：</strong>当 {@code object} 为 {@link String} 时，
 * 默认按普通字符串处理，不会自动解析 JSON 文本...
 */

⑥ 代码简化 - 提取共享的 ObjectSerializer

问题位置: HttpToolTest.java:118, 130

两处创建相同的 JacksonObjectSerializer 实例，可提取为共享静态字段：

private static final ObjectSerializer JSON_SERIALIZER = 
    new JacksonObjectSerializer(null, null, null, true);

⑦ 代码简化 - 移除不必要的 else

问题位置: FastJsonValueHandler.java:34-36

移除 return 后不必要的 else 关键字，减少嵌套。

✅ 积极发现

1. ✅ 依赖升级正确: fastjson → fastjson2 的 Maven 配置完全正确
2. ✅ 测试修改合理: HttpToolTest 的显式反序列化方法是正确的解决方案
3. ✅ API 文档准确: ValueFetcher/ValueSetter 的 JavaDoc 准确描述了新行为
4. ✅ 测试基础良好: 现有 40 个测试提供了良好的行为覆盖
5. ✅ 代码风格一致: 所有修改遵循项目代码规范

📋 行动计划

🔴 合并前必须完成

• 添加错误处理到 FastJsonValueHandler (问题 ①)

  • 在 fetch() 方法中添加 try-catch 捕获 JSONException
  • 在 set() 方法中添加 try-catch 并检查返回值

• 添加 JSON 字符串自动解析防护测试 (问题 ②)

  • 在 FastJsonValueFetcherTest 添加负面测试
  • 在 FastJsonValueSetterTest 添加负面测试

🟠 强烈建议

• 添加 HttpToolTest 错误处理 (问题 ④)
• 添加 Tool.execute() JSON 字符串拒绝测试 (问题 ③)

🟡 可选优化

• 添加版本上下文到 JavaDoc (问题 ⑤)
• 提取共享的 ObjectSerializer 实例 (问题 ⑥)
• 移除不必要的 else 语句 (问题 ⑦)

📊 审查统计

审查维度 状态 关键发现
代码质量 ✅ APPROVED 依赖升级正确，无高置信度问题
测试覆盖 ⚠️ GAPS 缺少 2 个关键测试
注释准确性 ✅ ACCURATE JavaDoc 准确，建议添加版本上下文
错误处理 🔴 CRITICAL FastJsonValueHandler 缺少错误处理
代码简化 🟢 MINOR 有小的优化空间，不影响功能

🎯 最终建议

状态: ⚠️ 条件批准 - 需修复关键问题

合并条件:

1. ✅ 必须修复问题 ① (错误处理)
2. ✅ 必须修复问题 ② (防护测试)

理由:

• PR 的依赖升级和实现是正确的
• 但缺少关键的错误处理会导致生产环境静默失败
• 缺少核心行为变更的测试保护会增加未来回归风险

预计修复时间: 2-3 小时（添加错误处理 + 2 个测试）

修复后，这将是一个高质量的依赖升级 PR！👍

🤖 此审查报告由 Claude Code PR Review Toolkit 自动生成（5 个专业审查代理）

更正说明: 此评论修正了之前版本中使用 # 符号引用问题编号的错误，现改用圆圈数字（①②③④⑤⑥⑦）以避免与 GitHub Issue/PR 引用冲突。

第5点可以不处理