为了账号安全,请及时绑定邮箱和手机立即绑定

再来认识一下 Java 序列化

标签:
Java Android

前言

在面试中,Java 序列化被问到的几率还是挺高的。所以搜集了 Java 序列化常见的问题,由浅入深的帮助大家进一步学习和理解。

https://img2.sycdn.imooc.com/6044c7420001936908150492.jpg

序列化基础知识

什么是序列化?

Java 序列化是 JDK 1.1 中引入的特性之一。

总的来说,序列化讲一个 Java 对象所描述的所有内容以文件 IO 的方式 存储传输 的过程。核心作用是对象状态的保存和重建

在这里有两个比较重要的概念:

  • 序列化:把 Java 对象转换为字节码的过程

  • 反序列化:把字节码还原为 Java 对象的过程

https://img1.sycdn.imooc.com/6044c7420001ba4c08110211.jpg

为什么要序列化 ?

因为 Java 对象是存放在 JVM 的 堆内存 中的,当 JVM 退出的时候,对象也就随之销毁。如果想 持久化 或进行 网络传输 对象数据时,那就必须把对象转为计算机可以识别的字节码。

在以下场景中需要使用到序列化。

  • 持久化数据:文件、数据库、缓存

  • 网络传输:RMI (远程调用 Remote Method Invocation)、RPC

如何实现序列化

在 Java 中,没有关键字可以直接去定义一个所谓的 可持久化 对象。这就需要我们在代码中 显示地 进行序列化和反序列化还原操作。

Serializable 接口

Serializable 接口是一个 标记接口,没有方法或字段。一旦实现了此接口,就标志该类的对象就是可序列化的。

1、定义

https://img4.sycdn.imooc.com/6044c7430001927d19450834.jpg

2、序列化

https://img1.sycdn.imooc.com/6044c7440001261219160377.jpg

3、反序列化

https://img1.sycdn.imooc.com/6044c744000183ff18860385.jpg

4、结果

https://img1.sycdn.imooc.com/6044c745000188af18070302.jpg

5、如果不实现 Serializable 接口将无法进行序列化或反序列化

https://img3.sycdn.imooc.com/6044c7450001f59118500424.jpg

Externalizable 接口

Externalizable 继承了 Serializable 接口,还定义了两个抽象方法:writeExternal() 和 readExternal()

如果开发人员使用 Externalizable 来实现序列化和反序列化,必须重写 writeExternal() 和 readExternal() 方法。

因为实现 Externalizable 接口之后,基于 Serializable 接口的默认化序列化机制就会失效。

https://img4.sycdn.imooc.com/6044c745000110f119581104.jpg

Serializable 和 Externalizable 的区别

SerializableExternalizable
Java 支持比较完整,自动存储必要信息需要开发人员自己完成
所有对象由 Java 统一保存,性能较低开发人员决定哪个对象保存,可以提升速度
保存时占用空间大,性能差部分存储,空间占用可能较少,性能相对高

Java 序列化协议分析

下面这段字节码是保存在本地的字节码文件,接下来准备对这段字节码进行 拆分讲解  (只针对 Serializable)。

以下的字节码定义参考 java.io.ObjectStreamConstants 中的定义,如果有兴趣,找到这个类,里面有详细的定义。

https://img4.sycdn.imooc.com/6044c7460001ac3818100383.jpg

  • JDk 序列化的魔数

  • aced STREAM_MAGIC 魔数,用于标识当前文件的头部

  • 0005 STREAM_VERSION 序列化协议版本号

  • 描述对象的类型信息

  • 73 TC_OBJECT 表示序列化的是一个普通 Java 对象 (Object 0x73,String 0x74,Array 0x75)

  • 72 TC_CLASSDESC 表示当前的对象的类型信息

  • 0014 表示类名的长度,这段代码中是 0014 换算过来是 20 个字节

  • 7374 6174 6963 4661 6374 6f72 792e 5065 7273 6f6e 表示类名,即 staticFactory.Person

  • 0000 0000 0000 0001 类名后的 8 个字节是一个长整数,即 serialVersionUID = 1L

  • 02 SC_SERIALIZABLE 标识位,说明这个类实现了 Serializable 接口。

  • 对象的字段表

  • 0002 表示这个对象中有 2 个属性

  • 49 即 I 表示 int,说明这是一个 32 位整数

  • 0003 表示属性名的长度,即 3 字节

  • 6167 65 表示属性 age

  • 4c 即 L,表示引用类型,说明这个属性是某个类型的引用

  • 0004 表示属性名的长度,即 4 字节

  • 6e61 6d65 表示属性 name

  • 74 TC_STRING 表示后面是个字符串

  • 0012 表示字符串长度,即 18 字节

  • 4c 6a61 7661 2f6c 616e 672f 5374 7269 6e67 3b 即 Ljava/lang/String

  • 父类的描述信息

  • 78 TC_ENDBLOCKDATA 标志所有的字段类型信息描述结束

  • 70 TC_NULL 代表 null,即没有父类

  • 对象的属性值

  • 0000 001e 初始化后的年龄,转换后即 30

  • 74 TC_STRING 表示后面是个字符串

  • 0005 表示字符串长度为 5

  • 4865 6e72 79 初始化之后的姓名,转换后即 Henry

序列化的特性

在实际应用中,有些时候 不能使用默认序列化机制。比如,希望在序列化过程中忽略掉敏感数据。

本段重点讨论 transient 和 static 之间的区别,并讨论每个关键字的作用。

transient 关键字

当我们的一个字段被声明为 transient 后,默认序列化机制就会忽略掉该字段的内容,不会被保存。

static 关键字

序列化仅对特定的变量产生作用,但 static 修饰的变量并不特定于任何对象。因此,静态变量不会参与序列化。

虽然用关键字可以避免序列化,但是当关键字组合使用的时候,也可能会失效。

transient 和 static 的规则

  1. 临时变量在序列化过程中将被忽略。

  2. static 变量不会参与序列化。

  3. 如果在声明本身期间对值进行了初始化,则静态变量将被序列化。

  4. 如果一个变量同时包含 transient 和 static 关键字,并且该值在声明期间被初始化,则它将被序列化。因为在这里 transient 修饰符会被忽略,而 static 修饰符将执行操作。

  5. final 变量将被序列化。

  6. 如果一个变量同时包含 final 和 transient 关键字,那么它就会被序列化。因为在这里 transient 修饰符会被忽略,而 final 修饰符将执行操作。

下面用一段代码验证一些。

1、定义一个实例化类

https://img2.sycdn.imooc.com/6044c7470001c4dd19590830.jpg

2、序列化

https://img1.sycdn.imooc.com/6044c755000165e219560817.jpg

3、反序列化

https://img4.sycdn.imooc.com/6044c75600010b6619520745.jpg

4、输出结果

https://img1.sycdn.imooc.com/6044c75700017e8418220471.jpg

重点:

  • One 和 Two 为 null,根据规则 1,使用 tresient 修饰的变量不参与序列化

  • Three 为 null,根据规则 2, static 变量不参与序列化

  • Four 之所以为 V4,根据规则 3,仅在声明期间初始化该值,静态变量才会被序列化

  • Five 为 null,根据规则4,因为它被 static 和 tresient 同时修饰,并且值在生命期间未初始化

  • Six 之所以为 6,根据规则 4,如果同时 static 和 tresient 同时修饰,并且该值在声明期间已初始化,那就会被序列化

  • Seven 是 V7,根据规则 5,用 final 修饰的会被序列化

  • Eight 之所以为 V8,根据规则 6,如果变量同时被 final 和 tresient 修饰,那就会被序列化

serialVersionUID 具体作用是什么?

在序列化中,还有一个特别重要的步骤,需要指定 serialVersionUID 版本号。

如果反序列化使用的 Class 的版本号与序列化时候使用的不一致,则会报异常。

序列化版本号可以随意的指定

如果不指定,JVM 会 自己计算 一个版本号,但随着 Class 的升级,就无法正确反序列化

不指定版本号还有另一个明显隐患,不利于 JVM 间的移植,可能 Class 文件没有更改,但不同 JVM 可能计算的规则不一样,这样也会导致无法反序列化

Java 序列化的缺陷

无法跨平台

现在的系统设计越来越多元化,项目里可能会用多种语言来编写应用程序,比如 Java、C++、Python 同时配合使用。

而 Java 序列化只适用于基于 Java 语言实现的框架。其他语言大部分没有使用 Java 的序列化框架。如果两个基于不同语言编写的应用程序相互通信,那么久无法实现两个应用服务之间的序列化与反序列化。

容易被攻击

对象是通过在 ObjectInputStream 上调用 readObject() 方法进行反序列化的,它可以将类路径上几乎所有实现了 Serializable 接口的对象都实例化。这意味着,在反序列化字节流的过程中,该方法可以 执行任意类型的代码,这是非常危险的。

对于需要长时间进行反序列化的对象,不需要执行任何代码,也可以发起一次攻击。攻击者可以创建循环对象链,然后将序列化后的对象传输到程序中反序列化,这种情况会导致 hashCode 方法被调用次数呈次方爆发式增长, 从而引发栈溢出异常。

序列化后的流太大

序列化后的二进制流大小能体现序列化的性能。序列化后的二进制数组越大,占用的存储空间就越多,存储硬件的成本就越高。如果我们是进行网络传输,则占用的带宽就更多,这时就会影响到系统的吞吐量。

序列化的性能太差

Java 的序列化耗时比较大。序列化的速度也是体现序列化性能的重要指标,如果序列化的速度慢,就会影响网络通信的效率,从而增加系统的响应时间。

序列化的其它问题

单例模式与序列化

首先抛出一个问题,单例模式真的能够实现实例的唯一性吗?

答案是否定的,很多人都知道反射可以 恶意破坏单例模式。其实除了反射以外,使用序列化与反序列化也同样会破坏掉单例。比如下面这个单例:

https://img2.sycdn.imooc.com/6044c7570001021418640426.jpg

上边这种情况,其实已经破坏掉单例。因为序列化会通过反射调用无参构造器返回一个新的对象,从而破坏了单例模式,解决办法就是 添加 readResolve() 方法,返回指定的对象。


点击查看更多内容
TA 点赞

若觉得本文不错,就分享一下吧!

评论

作者其他优质文章

正在加载中
移动开发工程师
手记
粉丝
0
获赞与收藏
0

关注作者,订阅最新文章

阅读免费教程

  • 推荐
  • 评论
  • 收藏
  • 共同学习,写下你的评论
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦
今天注册有机会得

100积分直接送

付费专栏免费学

大额优惠券免费领

立即参与 放弃机会
意见反馈 帮助中心 APP下载
官方微信

举报

0/150
提交
取消