请选择 进入手机版 | 继续访问电脑版
搜索
房产
装修
汽车
婚嫁
健康
理财
旅游
美食
跳蚤
二手房
租房
招聘
二手车
教育
茶座
我要买房
买东西
装修家居
交友
职场
生活
网购
亲子
情感
龙城车友
找美食
谈婚论嫁
美女
兴趣
八卦
宠物
手机

关于 Java 序列化你不知道的 5 件事

[复制链接]
查看: 13|回复: 0

2万

主题

2万

帖子

7万

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
76529
发表于 2020-9-16 00:52 | 显示全部楼层 |阅读模式
作者:topthink
www.topthink.com/topic/11361.html
您觉得自己懂 Java 编程?事实上,大多数程序员对于 Java 平台都是浅尝则止,只学习了足以完成手头上任务的知识而已。在本系列 中,Ted Neward 深入挖掘 Java 平台的核心功能,揭示一些鲜为人知的事实,帮助您解决最棘手的编程挑战。
关于本系列

大约一年前,一个负责管理应用程序所有用户设置的开发人员,决定将用户设置存储在一个 Hashtable中,然后将这个 Hashtable 序列化到磁盘,以便持久化。当用户更改设置时,便重新将 Hashtable 写到磁盘。
这是一个优雅的、开放式的设置系统,但是,当团队决定从 Hashtable 迁移到 Java Collections 库中的HashMap 时,这个系统便面临崩溃。
Hashtable 和 HashMap 在磁盘上的格式是不相同、不兼容的。除非对每个持久化的用户设置运行某种类型的数据转换实用程序(极其庞大的任务),否则以后似乎只能一直用Hashtable 作为应用程序的存储格式。
团队感到陷入僵局,但这只是因为他们不知道关于 Java 序列化的一个重要事实:Java 序列化允许随着时间的推移而改变类型。当我向他们展示如何自动进行序列化替换后,他们终于按计划完成了向 HashMap 的转变。
本文是本系列的第一篇文章,这个系列专门揭示关于 Java 平台的一些有用的小知识 — 这些小知识不易理解,但对于解决 Java 编程挑战迟早有用。
将 Java 对象序列化 API 作为开端是一个不错的选择,因为它从一开始就存在于 JDK 1.1 中。本文介绍的关于序列化的 5 件事情将说服您重新审视那些标准 Java API。
Java 序列化简介

Java 对象序列化是 JDK 1.1 中引入的一组开创性特性之一,用于作为一种将 Java 对象的状态转换为字节数组,以便存储或传输的机制,以后,仍可以将字节数组转换回 Java 对象原有的状态。
实际上,序列化的思想是 “冻结” 对象状态,传输对象状态(写到磁盘、通过网络传输等等),然后 “解冻” 状态,重新获得可用的 Java 对象。所有这些事情的发生有点像是魔术,这要归功于 ObjectInputStream/ObjectOutputStream 类、完全保真的元数据以及程序员愿意用Serializable 标识接口标记他们的类,从而 “参与” 这个过程。
清单 1 显示一个实现 Serializable 的 Person 类。
清单 1. Serializable Person
  1. packagecom.tedneward;publicclassPersonimplementsjava.io.Serializable{publicPerson(Stringfn,Stringln,inta){this.firstName=fn;this.lastName=ln;this.age=a;}publicStringgetFirstName(){returnfirstName;}publicStringgetLastName(){returnlastName;}publicintgetAge(){returnage;}publicPersongetSpouse(){returnspouse;}publicvoidsetFirstName(Stringvalue){firstName=value;}publicvoidsetLastName(Stringvalue){lastName=value;}publicvoidsetAge(intvalue){age=value;}publicvoidsetSpouse(Personvalue){spouse=value;}publicStringtoString(){return"[Person:firstName="+firstName+"lastName="+lastName+"age="+age+"spouse="+spouse.getFirstName()+"]";}privateStringfirstName;privateStringlastName;privateintage;privatePersonspouse;}
复制代码
将 Person 序列化后,很容易将对象状态写到磁盘,然后重新读出它,下面的 JUnit 4 单元测试对此做了演示。
清单 2. 对 Person 进行反序列化
  1. publicclassSerTest{@TestpublicvoidserializeToDisk(){try{com.tedneward.Personted=newcom.tedneward.Person("Ted","Neward",39);com.tedneward.Personcharl=newcom.tedneward.Person("Charlotte","Neward",38);ted.setSpouse(charl);charl.setSpouse(ted);FileOutputStreamfos=newFileOutputStream("tempdata.ser");ObjectOutputStreamoos=newObjectOutputStream(fos);oos.writeObject(ted);oos.close();}catch(Exceptionex){fail("Exceptionthrownduringtest:"+ex.toString());}try{FileInputStreamfis=newFileInputStream("tempdata.ser");ObjectInputStreamois=newObjectInputStream(fis);com.tedneward.Personted=(com.tedneward.Person)ois.readObject();ois.close();assertEquals(ted.getFirstName(),"Ted");assertEquals(ted.getSpouse().getFirstName(),"Charlotte");//CleanupthefilenewFile("tempdata.ser").delete();}catch(Exceptionex){fail("Exceptionthrownduringtest:"+ex.toString());}}}
复制代码
到现在为止,还没有看到什么新鲜的或令人兴奋的事情,但是这是一个很好的出发点。我们将使用 Person 来发现您可能不知道的关于 Java 对象序列化的 5 件事。
1. 序列化允许重构

序列化允许一定数量的类变种,甚至重构之后也是如此,ObjectInputStream 仍可以很好地将其读出来。
Java Object Serialization 规范可以自动管理的关键任务是:

  • 将新字段添加到类中
  • 将字段从 static 改为非 static
  • 将字段从 transient 改为非 transient
取决于所需的向后兼容程度,转换字段形式(从非 static 转换为 static 或从非 transient 转换为 transient)或者删除字段需要额外的消息传递。
重构序列化类
既然已经知道序列化允许重构,我们来看看当把新字段添加到 Person 类中时,会发生什么事情。
如清单 3 所示,PersonV2 在原先 Person 类的基础上引入一个表示性别的新字段。
清单 3. 将新字段添加到序列化的 Person 中
  1. enumGender{MALE,FEMALE}publicclassPersonimplementsjava.io.Serializable{publicPerson(Stringfn,Stringln,inta,Genderg){this.firstName=fn;this.lastName=ln;this.age=a;this.gender=g;}publicStringgetFirstName(){returnfirstName;}publicStringgetLastName(){returnlastName;}publicGendergetGender(){returngender;}publicintgetAge(){returnage;}publicPersongetSpouse(){returnspouse;}publicvoidsetFirstName(Stringvalue){firstName=value;}publicvoidsetLastName(Stringvalue){lastName=value;}publicvoidsetGender(Gendervalue){gender=value;}publicvoidsetAge(intvalue){age=value;}publicvoidsetSpouse(Personvalue){spouse=value;}publicStringtoString(){return"[Person:firstName="+firstName+"lastName="+lastName+"gender="+gender+"age="+age+"spouse="+spouse.getFirstName()+"]";}privateStringfirstName;privateStringlastName;privateintage;privatePersonspouse;privateGendergender;}
复制代码
序列化使用一个 hash,该 hash 是根据给定源文件中几乎所有东西 — 方法名称、字段名称、字段类型、访问修改方法等 — 计算出来的,序列化将该 hash 值与序列化流中的 hash 值相比较。
为了使 Java 运行时相信两种类型实际上是一样的,第二版和随后版本的 Person 必须与第一版有相同的序列化版本 hash(存储为 private static final serialVersionUID 字段)。
因此,我们需要 serialVersionUID 字段,它是通过对原始(或 V1)版本的 Person 类运行 JDK serialver命令计算出的。
一旦有了 Person 的 serialVersionUID,不仅可以从原始对象 Person 的序列化数据创建 PersonV2 对象(当出现新字段时,新字段被设为缺省值,最常见的是“null”),还可以反过来做:即从 PersonV2 的数据通过反序列化得到 Person,这毫不奇怪。点击这里看下序列化你应该知道的一切
2. 序列化并不安全

让 Java 开发人员诧异并感到不快的是,序列化二进制格式完全编写在文档中,并且完全可逆。实际上,只需将二进制序列化流的内容转储到控制台,就足以看清类是什么样子,以及它包含什么内容。
这对于安全性有着不良影响。例如,当通过 RMI 进行远程方法调用时,通过连接发送的对象中的任何 private 字段几乎都是以明文的方式出现在套接字流中,这显然容易招致哪怕最简单的安全问题。
幸运的是,序列化允许 “hook” 序列化过程,并在序列化之前和反序列化之后保护(或模糊化)字段数据。可以通过在 Serializable 对象上提供一个 writeObject 方法来做到这一点。
模糊化序列化数据
假设 Person 类中的敏感数据是 age 字段。毕竟,女士忌谈年龄。 我们可以在序列化之前模糊化该数据,将数位循环左移一位,然后在反序列化之后复位。(您可以开发更安全的算法,当前这个算法只是作为一个例子。)
为了 “hook” 序列化过程,我们将在 Person 上实现一个 writeObject 方法;为了 “hook” 反序列化过程,我们将在同一个类上实现一个readObject 方法。重要的是这两个方法的细节要正确 — 如果访问修改方法、参数或名称不同于清单 4 中的内容,那么代码将不被察觉地失败,Person 的 age 将暴露。
清单 4. 模糊化序列化数据
[code]publicclassPersonimplementsjava.io.Serializable{publicPerson(Stringfn,Stringln,inta){this.firstName=fn;this.lastName=ln;this.age=a;}publicStringgetFirstName(){returnfirstName;}publicStringgetLastName(){returnlastName;}publicintgetAge(){returnage;}publicPersongetSpouse(){returnspouse;}publicvoidsetFirstName(Stringvalue){firstName=value;}publicvoidsetLastName(Stringvalue){lastName=value;}publicvoidsetAge(intvalue){age=value;}publicvoidsetSpouse(Personvalue){spouse=value;}privatevoidwriteObject(java.io.ObjectOutputStreamstream)throwsjava.io.IOException{//"Encrypt"/obscurethesensitivedataage=age
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

技术支持:迪恩网络科技公司  Powered by Discuz! X3.2
快速回复 返回顶部 返回列表