Effective Java - 序列化

第85条 其他序列化优先于 Java 序列化

  1. 避免序列化漏洞被利用的最佳方法是永远不要反序列化任何东西
  2. 任何新系统中都没有理由使用 Java 序列化
  3. 永远不会反序列化不受信任的数据
  4. 推荐使用JSONprotobuf替代序列化

第86条 谨慎地实现 Serializable 接口

  1. 实现 Serializable 接口而付出的最大代价是,一旦一个类被发布,就大大降低了“改变这个类的实现”的灵活性。如果你接受了默认的序列化形式,这个类中私有的和包级私有的实例域都将变成导出的 API 的一部分,这不符合"将域的访问权限限制到最低"的实践准则
  2. 实现 Serializable 的第二个代价是,它增加了出现 BUG 和安全漏洞的可能性
  3. 实现 Serializable 的第三个代价是,随着类发行新的版本,测试相关的负担也增加了
  4. 为了继承而设计的类应该很少实现Serializable接口,接口也很少继承Serializable接口
  5. 内部类不应该实现 Serializable 接口

第87条 考虑使用自定义的序列化形式

  1. 如果一个对象的物理表示法等同于它的逻辑内容,可能就适合于使用默认的序列化形式
  2. 即使你确定了默认的序列化形式是合适的,通常还必须提供一个readObject方法来保证约束关系和安全性
  3. 不管你选择了哪种序列化方式,都要为自己编写的每个可序列化的类声明一个显示的序列版本 UID
  4. 请勿更改序列版本UID

第88条 保护性地编写readObject方法

  1. readObject方法实际上相当于另一个公有的构造器,如同其他的构造器一样,它也要满足所有注意事项。构造器必须检查其参数的有效性,并且在必要的时候对参数进行保护性拷贝,同样地,readObject方法也需要这么做
  2. 当一个对象反序列化的时候,对客户端不得拥有的对象引用的任何字段进行保护性拷贝至关重要
  3. 如果整个对象图在被反序列化之后必须进行验证,就应该使用 ObjectInputValidation 接口

第89条 对于实例控制,枚举类型优先于readResolve

  1. 如果依赖readResolve进行实例控制,带有对象引用类型的所有实例域则都必须声明为transient
  2. readResolve的可访问性很重要 。如果把readResolve方法放在一个final类上,它就应该是私有的。如果把readResolve方法放在一个非final的类上,就必须认真考虑它的可访问性。如果它是私有的,就不适用于任何子类。如果它是包级私有的,就只适用于同一个包中的子类。如果它是受保护的或者公有的,就适用于所有没有覆盖它的子类。如果readResolve方法是受保护的或者公有的,并且子类没有覆盖它,对序列化过的子类实例进行反序列化,就会产生一个超类实例,这样有可能导致ClassCastException异常

第90条 考虑用序列化代理代替序列化实例

    • 为可序列化的类设计一个私有的静态嵌套类,精确地表示外围类的实例的逻辑状态。这个嵌套类被称作序列化代理
    • 它应该有一个单独的构造器,其参数类型就是那个外围类
    • 这个构造器只从它的参数中复制数据:它不需要进行任何一致性检查或者保护性拷贝
  1. 序列化代理会有性能损失
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 203,772评论 6 477
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 85,458评论 2 381
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 150,610评论 0 337
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 54,640评论 1 276
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 63,657评论 5 365
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,590评论 1 281
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,962评论 3 395
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,631评论 0 258
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,870评论 1 297
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,611评论 2 321
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,704评论 1 329
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,386评论 4 319
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,969评论 3 307
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,944评论 0 19
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 31,179评论 1 260
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 44,742评论 2 349
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,440评论 2 342

推荐阅读更多精彩内容

  • 将一个对象编码成字节流称作将该对象「序列化」。相反,从字节流编码中重新构建对象被称作「反序列化」。一旦对象被「序列...
    Alent阅读 773评论 0 1
  • Java序列化机制提供了一个框架,用来将对象编码成字节流,并从字节流编码中重新构建对象。一旦对象被序列化之后,就可...
    塞外的风阅读 437评论 0 0
  • 正如前文《Java序列化心得(一):序列化设计和默认序列化格式的问题》中所提到的,默认序列化方法存在各种各样的问题...
    登高且赋阅读 8,321评论 0 19
  • 序列化 内置序列化的3种方式 默认的序列化机制 即实现Serializable接口即可,不需要实现任何方 该接口没...
    月半的瘦子阅读 836评论 0 1
  • 在Java中,我们可以通过多种方式来创建对象,并且只要对象没有被回收我们都可以复用该对象。但是,我们创建出来的这些...
    懒癌正患者阅读 1,521评论 0 12