Java对象序列化详解

Java对象序列化详解所有分布式应用常常需要跨平台,跨网络,因此要求所有传的参数、返回值都必须实现序列化。一、定义  序列化:把Java对象转换为字节序列的过程。    反序列化:把字节序列恢复为Java对象的过程。二、用途  对象的序列化主要有两种用途:    1)把对象的字节序列永久地保存到硬盘上,通常存放在一个文件中;(持久化对象)    2)在网络上传送对象的字节序列。(网络传输对象)…

大家好,又见面了,我是你们的朋友全栈君。

公众号原文链接

Mysql思维导图分享
RocketMQ思维导图,不点后悔

上面思维导图可去公众号回复:扣扣号,获取联系方式后找我免费获得可编辑版本。 后面会继续分享其他思维导图,包括Redis、JVM、并发编程、RocketMQ、RabbtiMQ、Kafka、spring、Zookeeper、Dubbo等等

什么是序列化和反序列化?

  序列化:把Java对象转换为字节序列的过程。

  反序列化:把字节序列恢复为Java对象的过程。


市面上的几种序列化方式

  Java对象是在JVM中生成的,如果需要远程传输或保存到硬盘上,就需要将Java对象转换成可传输的文件流。
市面上目前有的几种转换方式:

  • 1. 利用Java的序列化功能序列成字节字节流)也就是接下来要讲的。一般是需要加密传输时才用。
  • 2. 将对象包装成JSON字符串字符流
    转Json工具有Jackson、FastJson或者GJson,它们各有优缺点:
    • JackSon:Map、List的转换可能会出现问题。转复杂类型的Bean时,转换的Json格式不是标准的Json格式。适合处理 大文本Json
    • FastJosn:速度最快。将复杂类型的Bean转换成Json可能会有问题:引用类型如果没有引用被出错。适合对性能有要求的场景。
    • GJson:功能最全,可以将复杂的Bean和Json字符串进行互转。性能上面比FastJson有所差距。适合处理小文本Json,和对于数据正确性有要求的场景。
  • 3. protoBuf工具(二进制)
    性能好,效率高,字节数很小,网络传输节省IO。但二进制格式可读性差。

为什么需要序列化和反序列化?

  之所以需要序列化和反序列化,主要是因为Java对象是在JVM中生成的,是内存中的数据,如果需要把对象的字节序列远程传输保存到硬盘上时,你就需要将Java对象转换成二进制流。 这个转换过程就是序列化。

  假如别人传给你一个二进制流数据,当你想要恢复成内存中的对象时,你就需要反序列化

  Java平台允许我们在内存中创建可复用的Java对象,但只有当JVM(Java虚拟机)处于运行时,这些对象才可能存在,也就是这些对象的生命周期不会比JVM的生命周期更长。但在现实应用中,就可能要求在JVM停止运行之后能够保存指定的对象(持久化对象),并在将来重新读取被保存的对象。     

  网络通信时,无论是何种类型的数据,都会转成字节序列的形式在网络上传送。发送方需要把这个Java对象转换为字节序列,才能在网络上传送;接收方则需要把字节序列再恢复为Java对象。


Java原生序列化实现

实现了如下两个接口之一的类的对象才能被序列化:

  1) Serializable

  2) Externalizable

序列化:ObjectOutputStream代表对象输出流,它的writeObject(Object obj)方法可对参数指定的obj对象进行序列化,把得到的字节序列写到一个目标输出流中。

反序列化:ObjectInputStream代表对象输入流,它的readObject()方法从一个源输入流中读取字节序列,再把它们反序列化为一个对象,并将其返回。

注:使用writeObject() 和readObject()方法的对象必须已经被序列化


关于serialVersionUID

  如果serialVersionUID没有显式生成,系统就会自动生成一个。此时,如果在序列化后我们将该类代码作了改动(包括类名、接口名、方法、属性),系统在反序列化时会重新生成一个新的serialVersionUID然后去和已经序列化的对象进行比较,就会报序列号版本不一致的错误。为了避免这种问题, 一般系统都会要求实现Serialiable接口的类显式的声明一个serialVersionUID。

所以显式定义serialVersionUID有如下两种用途:

  1、 希望类的不同版本对序列化兼容时,需要确保类的不同版本具有相同的serialVersionUID;

  2、 不希望类的不同版本对序列化兼容时,需要确保类的不同版本具有不同的serialVersionUID。


序列化机制算法

1. 所有保存到磁盘中的对象都有一个序列化编号

2. 当程序试图序列化一个对象时,程序先检查该对象是否已经被序列化过。如果从未被序列化过,系统就会将该对象转换成字节序列并输出;如果已经序列化过,将直接输出一个序列化编号。

示例

要被序列化的对象对应的类的代码:

public class Person implements Serializable { 
     
    private String name = null;  
    private Integer age = null;   
    
    public Person(){ 
   
        System.out.println("无参构造");
    }

    public Person(String name, Integer age) { 
     
        this.name = name;  
        this.age = age;  
    }  

    //getter setter方法省略...
    @Override 
    public String toString() { 
     
        return "[" + name + ", " + age+"]";  
    }  

下面MySerilizable 是一个简单的序列化程序,它先将一个Person对象保存到文件person.txt中,然后再从该文件中读出被存储的Person对象,并打印该对象。

public class MySerilizable { 
   
    public static void main(String[] args) throws Exception { 
    
        File file = new File("person.txt");  
        //序列化持久化对象
        ObjectOutputStream out = 
            new ObjectOutputStream(new FileOutputStream(file)); 
        Person person = new Person("Peter", 27);  
        out.writeObject(person);  
        out.close();  

        //反序列化,并得到对象
        ObjectInputStream in = 
            new ObjectInputStream(new FileInputStream(file));  
        // 没有强制转换到Person类型 
        Object newPerson = in.readObject(); 
        in.close();  
        System.out.println(newPerson);  
    }  
}

输出结果:[Peter, 27]

结果没有打印“无参构造”,说明反序列化机制无需通过构造器来初始Java对象。

没有调整构造方法,却能反序列化生成Java对象,这是怎么做到的呢?实际上反序列化时,是通过调用native方法给类的成员变量贬值的。

结论:

  1) 反序列化读取的仅仅是Java对象的数据,而不是Java类,所以在反序列化时必须提供该Java对象所属类的class文件(这里是Person.class),否则会引发ClassNotFoundException异常。

  2)当重新读取被保存的Person对象时,并没有调用Person的任何构造器,说明反序列化机制无须通过构造器来初始化对象。


如何实现选择序列化?

1、transient

  当对某个对象进行序列化时,系统会自动将该对象的所有属性依次进行序列化,如果某个属性引用到别一个对象,则被引用的对象也会被序列化。如果被引用的对象的属性也引用了其他对象,则被引用的对象也会被序列化。这就是递归序列化。

  有时候,我们并不希望出现递归序列化,或是某个存敏感信息(如银行密码)的属性不被序列化,我们就可通过transient关键字修饰该属性来阻止被序列化。

将上面的Person类的age属性用transient修饰:

transient private Integer age = null;

再去执行MySerilizable的结果为:

[Peter, null] // 返序列化时没有值,说明age字段未被序列化

2、writeObject()方法与readObject()方法

  使用transient关键字阻止序列化虽然简单方便,但被它修饰的属性被完全隔离在序列化机制之外,导致了在反序列化时无法获取该属性的值,而通过在需要序列化的对象的Java类里加入writeObject()方法与readObject()方法可以控制如何序列化各属性,甚至完全不序列化某些属性(此时就跟transient一样)。

  如果我们想要上面的Person类里的name属性在序列化后存在文件里不让别人知道具体是什么(加密),我们就可在Person类里加如下代码:

  //自定义序列化
 private void writeObject(ObjectOutputStream out) 
     throws IOException { 
      
    // 将当前类的非静态和非瞬态字段写入此流。 
    //如果不写,如果还有其他字段,则不会被序列化 
    // out.defaultWriteObject(); 
        
    out.writeObject(new StringBuffer(name).reverse());
    //将name简单加密(即反转),这样别人就知道是怎么回事,
    // 当然实际应用不可能这样加密。
    out.writeInt(age);  
 }  



//反序列化
 private void readObject(ObjectInputStream in) 
     throws IOException, ClassNotFoundException { 
     
    // 从此流读取当前类的非静态和非瞬态字段。
    //如果不写,其他字段就不能被反序列化
    //in.defaultReadObject();
    
    //解密:即简单的反转
    name = ((StringBuffer)in.readObject()).reverse().toString();  
    age = in.readInt();  
 }

  详细的自定义序列化与反序列化可参见ObjectOutputStream 和ObjectInputStream 类的JDK文档。

3、Externalizable接口

  Externalizable接口 与Serializable 接口类似,只是Externalizable接口需要强制自定义序列化。

要序列化对象的代码:


public class Teacher implements Externalizable{ 
   
    private String name;
    private Integer age;
    //setter、getter方法省略
    
    public Teacher(){ 
   
        System.out.println("无参构造");
    }

    public Teacher(String name,Integer age){ 
   
        System.out.println("有参构造");
        this.name = name;
        this.age = age;
    }   

    @Override
    public void writeExternal(ObjectOutput out) 
          throws IOException { 
   
         //将name简单加密
        out.writeObject(new StringBuffer(name).reverse());
        //out.writeInt(age); //注掉这句后,age属性将不能被序化
    }

    @Override
    public void readExternal(ObjectInput in) 
          throws IOException, ClassNotFoundException { 
   
        name = ((StringBuffer) in.readObject()).reverse().toString();
        //age = in.readInt(); 
    }
    
    @Override 
    public String toString() { 
     
        return "[" + name + ", " + age+ "]";  
    } 
}

主函数代码改为:

public class MySerilizable { 
   
    public static void main(String[] args) throws Exception { 
     
        File file = new File("person.txt");  

        //序列化持久化对象
        ObjectOutputStream out = 
            new ObjectOutputStream(new FileOutputStream(file)); 
        Teacher person = new Teacher("Peter", 27);  
        out.writeObject(person);  
        out.close();  

        //反序列化,并得到对象
        ObjectInputStream in = 
            new ObjectInputStream(new FileInputStream(file));  
        // 没有强制转换到Person类型 
        Object newPerson = in.readObject(); 
        in.close();  
        System.out.println(newPerson);  
    }  
}

打印结果:

有参构造
无参构造 //与Serializable 不同的是,还调用了无参构造
[Peter, null] //age未被序列化,所以未取到值

单例模式的序列化

  当我们使用Singleton模式时,应该是期望某个类的实例应该是唯一的,但如果该类是可序列化的,那么情况可能略有不同。对前面使用的Person类进行修改,使其实现Singleton模式,如下所示:

public class Person implements Serializable { 
     
    private static class InstanceHolder { 
    
        private static final Person instatnce = 
            new Person("John", 31, "男");  
    }  

    public static Person getInstance() { 
     
        return InstanceHolder.instatnce;  
    }  

    private String name = null;  
    private Integer age = null;  
    private String gender = null;  

    private Person() { 
     
        System.out.println("必须私有化的无参构造");  
    }  

    private Person(String name, Integer age, String gender) { 
    
        System.out.println("有参构造");  
        this.name = name;  
        this.age = age;  
        this.gender = gender;  
    }  
    ...  
}

  同时要修改MySerilizable 应用,使得能够保存/获取上述单例对象,并进行对象相等性比较,如下代码所示:


public class MySerilizable { 
     
    public static void main(String[] args) throws Exception { 
     
        File file = new File("person.txt");  
        ObjectOutputStream out = 
            new ObjectOutputStream(new FileOutputStream(file)); 
        out.writeObject(Person.getInstance()); // 保存单例对象 
        out.close();  

        ObjectInputStream in = 
            new ObjectInputStream(new FileInputStream(file)); 
        Object newPerson = in.readObject();  
        in.close();  
        System.out.println(newPerson);  
         // 将获取的对象与Person类中的单例对象进行相等性比较 
        System.out.println(Person.getInstance() == newPerson);
    }  
}

打印结果:

有参构造  
[John, 31,]  
false  //说明不是同一个对象

  从上面结果能发现,序列化后反序列化之后,不再是同一个对象了。其实是可以这样解释的:Java有4种创建对象的方式(new、newInstance()、clone()以及这里的readObject()方法),readObject方法就是相当于新建了一个对象,所以上面引用的会是不同的对象。


反序列化漏洞

  黑客会可以在你反序列化的数据里加上恶意代码,当你反序列化时就执行这段恶意代码。

  像这种情况,就需要我们将拿到手的数据进行校验,如签名等。


序列化对象注意事项

  1.对象的类名、属性都会被序列化;而方法、static属性(静态属性)、transient属性(即瞬态属性)都不会被序列化(这也就是第4条注意事项的原因)

  2.虽然加static也能让某个属性不被序列化,但static不是这么用的

  3.要序列化的对象的引用属性也必须是可序列化的,否则该对象不可序列化,除非以transient关键字修饰该属性使其不用序列化。

  4.反序列化地象时必须有序列化对象生成的class文件(很多没有被序列化的数据需要从class文件获取)。
在实际开发过程中,可能你发送后,对方并没有你的实体类对象,那怎么办,这时就需要你这边将对象转成字符串的形式,示例:

MqInfo info = new MqInfo();
String body = JSON.toJSONString(mqInfo)

  5.当通过文件、网络来读取序列化后的对象时,必须按实际的写入顺序读取。

  6.要传输的对象,不要忘记了实现Serializable接口


姐是一位有着十年白嫖经验的渣媛,想白嫖的扣我:2735035681
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。

发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/151102.html原文链接:https://javaforall.cn

【正版授权,激活自己账号】: Jetbrains全家桶Ide使用,1年售后保障,每天仅需1毛

【官方授权 正版激活】: 官方授权 正版激活 支持Jetbrains家族下所有IDE 使用个人JB账号...

(0)


相关推荐

  • 135首经典欧美歌曲 —附下载地址

    135首经典欧美歌曲 —附下载地址135首经典欧美歌曲—附下载地址(2011-03-1212:52:14)转载▼标签:杂谈分类:转载精选源自张海峡新浪博客:http://blog.sina.com.cn/zhanghaixiaf

  • 特斯拉笔试内容_数据库笔试题

    特斯拉笔试内容_数据库笔试题今天笔试一共两道题,1个小时内答出来,第一题如下两张图所示:正确sql为:selectsensor_id,count(distinctevent_type)fromeventsgroupbysensor_idorderbysensor_id效果如下图:第二道题如下两张图:,答案如下sql:selectid,server_name,casewhenconnections>(selectavg(conne…

    2022年10月30日
  • out of memory解决方法(python慢的原因)

    折腾了一整天又换电脑又重装系统重装各种软件插件 最后发现outofmemory只是因为少写了一行代码 内心的崩溃无法用语言形容 虽然本来是乌龙一场但是这个过程中解决问题get一些新技能 也不能说完全没有收获【一个大写的心理安慰】开始我的4G小笔记本outofmemory之后,我换了一个32G内存的电脑 各种重装系统折腾半天好不容易都装好了程序可

  • treeview控件使用详解python_TreeView控件实践

    treeview控件使用详解python_TreeView控件实践TreeView控件可以通过HierarchicalDataTemplate和DataTemplate来自定义。1)HierarchicalDataTemplate用来支持HeaderedItemsControl,其中DataType指定当前的数据类型,只有符合这个类型才使用HierarchicalDataTemplate;ItemsSource用来指定ItemsHost;内部的自定义实现(…

    2022年10月23日
  • mysql数据库备份方法有几种_MySQL几种方法的数据库备份

    mysql数据库备份方法有几种_MySQL几种方法的数据库备份MySQL有几个方法来备份最近博客一直想写点。可是不知道写什么,感觉自己近期的知识没有什么添加,今天想到了一篇能够写的博客。曾经试过依据data目录备份MySQL。可是从来没有成功过。前几天帮助朋友还原MySQL,最终成功的将备份的data目录还原成功了。MySQL数据库算是经常使用的数据库中最好使用的数据库了,对于备份的操作也不例外。所以今天分享一下MySQL数据库的备份的几种方式。方式一:使用…

  • 软件开发项目管理经验总结

    软件开发项目管理经验总结这是我从事软件外包工作以来的项目管理经验的总结,编写文章的目的是为了回顾和总结自己的一些想法,如果其中有不足的地方大家可以一起讨论交流。项目经理的职责关于项目经理的工作职责有很多种说法,我自己是这样理解的作为一名项目经理第一目标就是合理利用公司资源组织设计、开发、测试等各种资源完成项目的高质量交付,并保证项目的盈利。这是衡量一个项目失败或者成功的唯…

发表回复

您的电子邮箱地址不会被公开。

关注全栈程序员社区公众号