java的反序列化流程如下:
注意:并不是所有类都需要进行序列化,主要原因有两个
1)安全问题。java中有的类属于敏感类,此类的对象数据不便对外公开,而序列化的对象数据很容易进行破解,无法保证其数据的安全性,因此一般这种类型的对象不会进行序列化。
2)资源问题。可以使用序列化字节流创建对象,而且这种创建时不受限制的,有时过多地创建对象会造成很大的资源问题,因此此类对象也不适宜进行序列化。
serializable
serializable是java提供的一个序列化接口,它是一个空接口,专门为对象提供标准的序列化跟反序列化操作。
序列化过程:
person p = new person("name","id"); file file = new file("cache.txt"); fileoutputstream output = new fileoutputstream(file); objectoutputstream objectoutputstream = new objectoutputstream(output); objectoutputstream.writeobject(p); output.close(); objectoutputstream.close();
反序列化过程:
file file = new file("cache.txt"); fileinputstream input= new fileinputstream(file); objectinputstream objectinputstream = new objectinputstream(input); person p = (person)objectinputstream.readobject(); system.out.println(p.getname()+"---"+p.getid()); input.close(); objectinputstream.close();
需要序列化的类成员
对象序列化时并不是所有成员都要转换成二进制的字节序列,因为为了节省存储或传输空间以及提高序列化效率,有些不必要的成员是无需序列化的。其中包括:
静态变量。因为静态变量属于类的属性,并不属于某个具体实例,因此在序列化的时候无须进行序列化,反序列化时,可以直接获取类的静态成员引用。
方法。方法只是一系列的操作集合,方法不会依赖对象,不会因为对象的不同,而操作不同,反序列化时,也可以从类中直接获取方法信息。
继承关系的序列化
父类实现serializable时,子类被序列化,父类也会被序列化。
父类没有实现serializable时,子类被序列化,父类不会被序列化
引用关系的序列化
如果对一个实现了serializable的类进行序列化操作,则同时对它的引用类进行序列化操作。如果引用类没有实现serializable接口,jvm会抛出java.io.notserializableexeception.
class person implements serializable{ private string name; private tool tool = new tool(); } class tool implements serializable{ }
此时对person类进行序列化操作,则会同时对tool类进行序列化操作。若tool类没有实现serializable接口,则会抛出异常。
保护敏感数据:
一个类加上序列化标识后,该类对象的所有属性信息将被序列化,然后进行本地存储或网络传输。然后有时对象中的某些字段属于敏感信息,不应暴露出来。如果对其也进行序列化,容易被破解,从而 造成安全隐患,例如常见的密码字段。
java提供一个关键字transient,即瞬时关键字。该关键字关闭字段的序列化,这样受保护的信息就不会因为序列化而对外暴露。
序列化标识id
试想一下这样的情景:两端进行网络传输序列化对象,由于某种原因,导致两端使用的类的版本不同,假设接收方的类被删除了几个字段。当发送发将对象的序列化字节流发送到接收方时,由于接收方 的类少了几个字段,而无法解析。
java要求实现序列化接口的类都必须声明一个serialversionuid静态属性,如果没有该属性jvm也会自动声明该属性,并为该属性赋值(当类发生改变时会赋予不同的值)。该属性的值是唯一的,用于 标识不同的序列化类。只有类的序列化标识完全相同,java才会进行反序列化工作,这就是序列化标识的作用。
对于前面提到的情景,假设没有手动声明serialversionuid,则jvm对发送方跟接收方使用的类中的serialversionuid赋予不同的值,则反序列化失败。当手动给serialversionuid赋值时,即使类的字 段发生改变,也能够反序列化成功。
自定义序列化策略
定制序列化策略
java提供了一套有效的机制,允许在序列化和反序列化时,使用定制的方法进行相应的处理。当传输双方协定好序列化策略后,只需要在需要传输的序列化类中添加一组方法来实现这组策略,在序列化时会自动调用这些规定好的方法进行序列化和反序列化。方法如下:
1)private void writeobject(objectoutputsteam out) throws ioexception
在方法的内部有重要的代码:out.defaultwriteobject() //将对象数据以默认方式写入到输出流中
2)private void readobject(objectinputstream in) throws ioexception,classnotfoundexception
同样的,此方法内部也有相似代码:in.defaultreadobject();//以默认方式从输入流中恢复对象
这两个方法的作用分别是将特定的对象写入到输出流中以及从输入流中恢复特定的对象,通过这两个方法,用户即可实现自定义的序列化。当在实现serializable接口的类中写了上面两个方法之后,序列化或反序列化该类时则会通过反射来调用这两个方法,从而实现自定义序列化。
限制序列化对象的数量
我们看下面的单例模式:
public class singleton implements serializable { private volatile static singleton minstance; private singleton() { } public static singleton getinstance() { if (minstance == null) { synchronized (singleton.class) { if (minstance == null) { minstance = new singleton(); } } } return minstance; } }
此时通过反序列化获取实例,则单例模式会失效。那该如何解决这个问题呢?
java有一种机制,可以让我们在序列化和反序列化时,可以根据自己的需要,写入或读取指定的实例。使用这种机制,需要在实现serializable接口的类中添加两个方法:
private object readresolve() //如果用户在序列化类中添加了该方法,则在进行反序列化时,使用该方法返回的对象,作为反序列化对象。
private object writereplace() //如果用户在序列化类中添加了该方法,则在进行序列化时,序列化该类返回的对象。
再看使用了该机制的单例模式:
public class singleton implements serializable { private volatile static singleton minstance; private singleton() { } public static singleton getinstance() { if (minstance == null) { synchronized (singleton.class) { if (minstance == null) { minstance = new singleton(); } } } return minstance; } private object readresolve() { return getinstance(); } private object writereplace() { return getinstance(); } }
此时的通过反序列化得到的对象也是同一个,即单例模式依然有效!
相关文章:
java序列化serializable和externalizable区别的示例代码
java 序列化对象 serializable 读写数据的实例
php—serializable接口