Serialization in Java

  • Serializable in Java
  • Class Refactoring with Serialization and serialVersionUID
  • Java Externalizable Interface
  • Java Serialization Methods
  • Serialization with Inheritance
  • Serialization Proxy Pattern

我们知道Java对象的生存周期跟GC有关,更宽泛一点讲,JVM关闭了,对象自然也就被销毁了。但是有的时候,我们需要将某些对象保存起来,或者进行传输,以便以后JVM启动的时候,又可以重新获取到对象。这个技术就是对象持久化技术。
Java中的Serialization可以将一个对象转成字节流,我们可以将这个字节流通过网络传输到其他地方,或者保存到文件中,或者存到数据库中。这样就相当于将对象保存下来了。
Java中的Deserialization 就是序列化的反过程,从将字节流中的内容转化成java对象。

Serializable in Java

如果你想要将一个对象序列化,你所需要的做的就是实现java.io.Serializable接口。这个接口是一个marker interface,没有成员变量,没有方法。

Java中对象的序列化是通过ObjectInputStream and ObjectOutputStream两个流实现的。我们将一个对象写入字节流,就需要ObjectOutputStream,从一个字节流读取出对象就需要使用ObjectInputStream。

下面我们看一个简单的序列化的例子:



import java.io.Serializable;

public class Employee implements Serializable {


    private String name;
    private int id;
    transient private int salary;
    
    @Override
    public String toString(){
        return "Employee{name="+name+",id="+id+",salary="+salary+"}";
    }
    
    //getter and setter methods
    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public int getSalary() {
        return salary;
    }

    public void setSalary(int salary) {
        this.salary = salary;
    }
    
}

可以看到这就是一个简单的实现了java.io.Serializable的接口的类,定义了几个属性和getter和setter。
我们看到对于salary变量我们使用了transient修饰符,这个修饰符适用于:如果对于对象中的某些成员变量,我们不想将它序列化,就可以用transient修饰符修饰它,这样它就不会被序列化。

下面,我们将一个序列化的对象保存到文件中,然后从文件反序列读取这个对象,我们需要使用到java.io.Serializable这两个类



import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

/**
 * A simple class with generic serialize and deserialize method implementations
 * 
 * @author 刘德华
 * 
 */
public class SerializationUtil {

    // deserialize to Object from given file
    public static Object deserialize(String fileName) throws IOException,
            ClassNotFoundException {
        FileInputStream fis = new FileInputStream(fileName);
        ObjectInputStream ois = new ObjectInputStream(fis);
        Object obj = ois.readObject();
        ois.close();
        return obj;
    }

    // serialize the given object and save it to file
    public static void serialize(Object obj, String fileName)
            throws IOException {
        FileOutputStream fos = new FileOutputStream(fileName);
        ObjectOutputStream oos = new ObjectOutputStream(fos);
        oos.writeObject(obj);

        fos.close();
    }

}

我们来测试一下序列化的结果



import java.io.IOException;

public class SerializationTest {

    
    public static void main(String[] args) {
        String fileName="employee.ser";
        Employee emp = new Employee();
        emp.setId(100);
        emp.setName("Pankaj");
        emp.setSalary(5000);
        
        //serialize to file
        try {
            SerializationUtil.serialize(emp, fileName);
        } catch (IOException e) {
            e.printStackTrace();
            return;
        }
        
        Employee empNew = null;
        try {
            empNew = (Employee) SerializationUtil.deserialize(fileName);
        } catch (ClassNotFoundException | IOException e) {
            e.printStackTrace();
        }
        
        System.out.println("emp Object::"+emp);
        System.out.println("empNew Object::"+empNew);
    }


}

运行结果:

emp Object::Employee{name=Pankaj,id=100,salary=5000}
empNew Object::Employee{name=Pankaj,id=100,salary=0}

因为salary被声明为transient变量,所以这个成员变量没有被序列化写入到文件中,所以反序列的时候,这个值为初始化的默认0.
类似的是,对于静态变量,static变量,也不会被序列化,因为static变量是属于类的信息,并不属于对象的信息。

Class Refactoring with Serialization and serialVersionUID

java的序列化对于某些对象的变化会忽略掉。
对于下面这些类的变化,不会影响反序列的过程:

  • 向类中添加一个新的变量
  • 将一个变量从transient转为no-transient
  • 将static变量变成 no-static

想要让这些类的变化反映到反序列化的过程中,我们需要在类中定义一个serialVersionUID。我们来写一个测试的方法测试反序列已经序列化的类。



import java.io.IOException;

public class DeserializationTest {

    public static void main(String[] args) {

        String fileName="employee.ser";
        Employee empNew = null;
        
        try {
            empNew = (Employee) SerializationUtil.deserialize(fileName);
        } catch (ClassNotFoundException | IOException e) {
            e.printStackTrace();
        }
        
        System.out.println("empNew Object::"+empNew);
        
    }

}

我们在运行之前,改变一下类,首先先给类添加一个password属性,并设置getter和setter



import java.io.Serializable;

public class Employee implements Serializable {

    /**
     * 
     */
    private static final long serialVersionUID = 7239983150140796558L;
    //private static final long serialVersionUID = -6470090944414208496L;
    private String name;
    private int id;
    transient private int salary;
    private String password;
    
    @Override
    public String toString(){
        return "Employee{name="+name+",id="+id+",salary="+salary+"}";
    }
    
    //getter and setter methods
    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public int getSalary() {
        return salary;
    }

    public void setSalary(int salary) {
        this.salary = salary;
    }

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }
    
}

运行程序,我们发现对反序列没有影响,和没加之前一样

java.io.InvalidClassException: Employee; local class incompatible: stream classdesc serialVersionUID = -5493348434707939249, local class serialVersionUID = 7239983150140796558
    at java.io.ObjectStreamClass.initNonProxy(ObjectStreamClass.java:616)
    at java.io.ObjectInputStream.readNonProxyDesc(ObjectInputStream.java:1829)
    at java.io.ObjectInputStream.readClassDesc(ObjectInputStream.java:1713)
    at java.io.ObjectInputStream.readOrdinaryObject(ObjectInputStream.java:1986)
    at java.io.ObjectInputStream.readObject0(ObjectInputStream.java:1535)
    at java.io.ObjectInputStream.readObject(ObjectInputStream.java:422)
    at SerializationUtil.deserialize(SerializationUtil.java:22)
    at DeserializationTest.main(DeserializationTest.java:13)
Exception in thread "main" java.lang.NullPointerException
    at DeserializationTest.main(DeserializationTest.java:19)

出现错误的原因就是因为,之前序列化的类serialVersionUID 和现在这个新的类的serialVersionUID 是不同的,实际上如果一个类没有显示定义serialVersionUID ,它就会自动根据这个类的成员变量方法,类名等信息,自动计算一个值分配给这个class一个serialVersionUID。如果你使用IDE的话,你会得到一个警告“The serializable class Employee does not declare a static final serialVersionUID field of type long”

如果我们想要在类改变之后,反序列化的时候,能感知到类的改变,我们就需要显示的制定一个serialVersionUID。

例如,在这个例子中,我们生成一个serialVersionUID,然后将其序列化,运行SerializationTest 程序,然后添加password属性,在运行反序列化的程序,我们发现这次不会报错,而且新添加的属性也会序列化了

Java Externalizable Interface

我们发现序列化的过程是程序自动进行的。有些时候,我们想在序列化的过程中进行一些操作,比如筛选和转换的工作。我们就可以实现 java.io.Externalizable接口,这个接口提供了两个方法,分别可以让我们序列化的时候,和反序列化的时候的操作。
writeExternal() and readExternal()

package Externalizable;



import java.io.Externalizable;
import java.io.IOException;
import java.io.ObjectInput;
import java.io.ObjectOutput;

public class Person implements Externalizable{

    private int id;
    private String name;
    private String gender;
    
    @Override
    public void writeExternal(ObjectOutput out) throws IOException {
        out.writeInt(id);
        out.writeObject(name+"xyz");
        out.writeObject("abc"+gender);
    }

    @Override
    public void readExternal(ObjectInput in) throws IOException,
            ClassNotFoundException {
        id=in.readInt();
        //read in the same order as written
        name=(String) in.readObject();
        if(!name.endsWith("xyz")) throw new IOException("corrupted data");
        name=name.substring(0, name.length()-3);
        gender=(String) in.readObject();
        if(!gender.startsWith("abc")) throw new IOException("corrupted data");
        gender=gender.substring(3);
    }

    @Override
    public String toString(){
        return "Person{id="+id+",name="+name+",gender="+gender+"}";
    }
    public int getId() {
        return id;
    }

    public void setId(int id) {
        this.id = id;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public String getGender() {
        return gender;
    }

    public void setGender(String gender) {
        this.gender = gender;
    }

}

可以看到我们将对象转换到流之前,先将成员变量的值改变了,当读取的时候,再将对象的值变回来。通过这种方式,我们可以维持数据的完整性。如果跟我们预期的值不一致的时候,我们就可以在读取的时候抛出异常,说明这个序列化对象可能受到了破坏,下面我们写一个测试程序来验证

package Externalizable;



import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

public class ExternalizationTest {

    public static void main(String[] args) {
        
        String fileName = "person.ser";
        Person person = new Person();
        person.setId(1);
        person.setName("Pankaj");
        person.setGender("Male");
        
        try {
            FileOutputStream fos = new FileOutputStream(fileName);
            ObjectOutputStream oos = new ObjectOutputStream(fos);
            oos.writeObject(person);
            oos.close();
        } catch (IOException e) {
            // TODO Auto-generated catch block
            e.printStackTrace();
        }
        
        FileInputStream fis;
        try {
            fis = new FileInputStream(fileName);
            ObjectInputStream ois = new ObjectInputStream(fis);
            Person p = (Person)ois.readObject();
            ois.close();
            System.out.println("Person Object Read="+p);
        } catch (IOException | ClassNotFoundException e) {
            e.printStackTrace();
        }
        
    }

}

运行结果:

Person Object Read=Person{id=1,name=Pankaj,gender=Male}

目前,我们掌握了两种序列化对象的方法,分别是java.io.Serializable和java.io.Externalizable,似乎java.io.Externalizable更灵活,可以在写入流之前和读成对象之前分别进行操作。但实际上,我们更推荐使用java.io.Serializable。
先卖个小关子,等你读完了这篇文章,就知道为什么了

Java Serialization Methods

我们已经知道java的序列化过程是自动的,只要我实现了Serializable接口,实现这个过程的类有 ObjectInputStream and ObjectOutputStream。但是如果我们有一些数据比较敏感,比如密码,账户余额,我们不想暴露这些信息,想要save或者retrieving之前先进行一些编码转码工作,那么我们就需要用到序列化的四个方法了,这些方法,可以帮我们改变序列化的行为。

  • readObject(ObjectInputStream ois): If this method is present in the class, ObjectInputStream readObject() method will use this method for reading the object from stream.
  • writeObject(ObjectOutputStream oos): If this method is present in the class, ObjectOutputStream writeObject() method will use this method for writing the object to stream. One of the common usage is to obscure the object variables to maintain data integrity.
  • Object writeReplace(): If this method is present, then after serialization process this method is called and the object returned is serialized to the stream.
  • Object readResolve(): If this method is present, then after deserialization process, this method is called to return the final object to the caller program. One of the usage of this method is to implement Singleton pattern with Serialized classes.

通常为了安全性,这些方法的实现都是声明为private,子类无法去重写这些函数。这样做仅仅是为了保证序列化过程的安全性。

Serialization with Inheritance

有些时候,我们可能需要继承一个没有实现Serializable接口的类,如果我们依赖自动的序列化行为,超类有一些成员变量就不会被转换到流中,当我们获取对象的时候,也就无法获取到。

这种情况下,我们就可以用到上面提到的readObject() and writeObject()来解决问题了。通过实现这两个方法,我们可以将超类的状态也序列化,将来获取的时候,就可以获取到了。

package Inheritance;



public class SuperClass {

    private int id;
    private String value;
    
    public int getId() {
        return id;
    }
    public void setId(int id) {
        this.id = id;
    }
    public String getValue() {
        return value;
    }
    public void setValue(String value) {
        this.value = value;
    }
    
    
}

SuperClass是一个简单的java bean,但没有实现Serializable接口

package Inheritance;



import java.io.IOException;
import java.io.InvalidObjectException;
import java.io.ObjectInputStream;
import java.io.ObjectInputValidation;
import java.io.ObjectOutputStream;
import java.io.Serializable;

public class SubClass extends SuperClass implements Serializable, ObjectInputValidation{

    private static final long serialVersionUID = -1322322139926390329L;

    private String name;

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }
    
    @Override
    public String toString(){
        return "SubClass{id="+getId()+",value="+getValue()+",name="+getName()+"}";
    }
    
    //adding helper method for serialization to save/initialize super class state
    private void readObject(ObjectInputStream ois) throws ClassNotFoundException, IOException{
        ois.defaultReadObject();
        
        //notice the order of read and write should be same
        setId(ois.readInt());
        setValue((String) ois.readObject());
        
    }
    
    private void writeObject(ObjectOutputStream oos) throws IOException{
        oos.defaultWriteObject();
        
        oos.writeInt(getId());
        oos.writeObject(getValue());
    }

    @Override
    public void validateObject() throws InvalidObjectException {
        //validate the object here
        if(name == null || "".equals(name)) throw new InvalidObjectException("name can't be null or empty");
        if(getId() <=0) throw new InvalidObjectException("ID can't be negative or zero");
    }
    
}

我们实现了一个ObjectInputValidation接口,并且实现了 validateObject() 方法,我们可以对数据进行一些转换,以保证数据的完整性不发生变化

我们写一个测试类,来看看我们是否能从流中获取超类的状态信息

package Inheritance;



import java.io.IOException;


public class InheritanceSerializationTest {

    public static void main(String[] args) {
        String fileName = "subclass.ser";
        
        SubClass subClass = new SubClass();
        subClass.setId(10);
        subClass.setValue("Data");
        subClass.setName("Pankaj");
        
        try {
            SerializationUtil.serialize(subClass, fileName);
        } catch (IOException e) {
            e.printStackTrace();
            return;
        }
        
        try {
            SubClass subNew = (SubClass) SerializationUtil.deserialize(fileName);
            System.out.println("SubClass read = "+subNew);
        } catch (ClassNotFoundException | IOException e) {
            e.printStackTrace();
        }
    }

}

运行结果:

SubClass read = SubClass{id=10,value=Data,name=Pankaj}

我们发现通过这种方式,我们可以实现序列化超类的信息,即使超类没有实现序列化的接口。这个技术在我们需要序列化一些第三方库的时候,很有用。

Serialization Proxy Pattern

序列化技术存在下面这些问题:

  • 类的结构不能改变太多,除非我们重新进行序列化。所以,有时候即使我们已经不需要最初定义的那些变量了,我们仍然需要保留他们。

  • 同时,序列化也会带来很多的安全性的问题。一个黑客可能可以通过改变输出的流序列从而来攻击系统。例如,一个用户角色被序列化之后,黑客将它的流改变成admin角色,这样就会造成很大的危险。

为了解决上面的安全性问题,java序列化使用代理模式来增强安全性。在这个模式中,一个内部私有类被用作代理类。这个类持有主类的状态。这个模式主要通过readResolve() and writeReplace() 这两个方法实现的

我们先看代码再来分析

import java.io.InvalidObjectException;
import java.io.ObjectInputStream;
import java.io.Serializable;

public class Data implements Serializable{

    private static final long serialVersionUID = 2087368867376448459L;

    private String data;
    
    public Data(String d){
        this.data=d;
    }

    public String getData() {
        return data;
    }

    public void setData(String data) {
        this.data = data;
    }
    
    @Override
    public String toString(){
        return "Data{data="+data+"}";
    }
    
    //serialization proxy class
    private static class DataProxy implements Serializable{
    
        private static final long serialVersionUID = 8333905273185436744L;
        
        private String dataProxy;
        private static final String PREFIX = "ABC";
        private static final String SUFFIX = "DEFG";
        
        public DataProxy(Data d){
            //obscuring data for security
            this.dataProxy = PREFIX + d.data + SUFFIX;
        }
        
        private Object readResolve() throws InvalidObjectException {
            if(dataProxy.startsWith(PREFIX) && dataProxy.endsWith(SUFFIX)){
            return new Data(dataProxy.substring(3, dataProxy.length() -4));
            }else throw new InvalidObjectException("data corrupted");
        }
        
    }
    
    //replacing serialized object to DataProxy object
    private Object writeReplace(){
        return new DataProxy(this);
    }
    
    private void readObject(ObjectInputStream ois) throws InvalidObjectException{
        throw new InvalidObjectException("Proxy is not used, something fishy");
    }
}

  • data 和dataProxy类都必须实现Serializable接口

  • DataProxy类需要持有序列化对象的状态

  • DataProxy是一个内部的私有类,所以其他类都不可以访问这个类

  • DataProxy只有一个构造函数,就是将data类作为参数,也就是被代理对象需要传给dataProxy

  • data类需要覆盖writeReplace() 这个方法会在写入流之后调用,这个方法返回dataproxy对象,所以当data类被序列化之后,返回的流是dataproxy类。由于dataproxy类在外部是无法访问的,所以它不可以被直接使用。

  • dataproxy类需要实现readResolve方法,并且返回data对象。所以当一个data类被反序列化的时候,内部的dataproxy会被反序列化,之后就会调用readResolve方法,返回data对象给我们

  • 最后实现readObject方法,并且抛出异常,当攻击者想要改变data对象的流的时候,就会被这个方法抛出异常。

我们写一个测试类,来测试这个代理模式是否可用

import java.io.IOException;

import SerializationUtil;

public class SerializationProxyTest {

    public static void main(String[] args) {
        String fileName = "data.ser";
        
        Data data = new Data("Pankaj");
        
        try {
            SerializationUtil.serialize(data, fileName);
        } catch (IOException e) {
            e.printStackTrace();
        }
        
        try {
            Data newData = (Data) SerializationUtil.deserialize(fileName);
            System.out.println(newData);
        } catch (ClassNotFoundException | IOException e) {
            e.printStackTrace();
        }
    }

}

运行结果

Data{data=Pankaj}

如果你打开data.ser文件,你会发现dataproxy对象被存在文件中。

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
  • 人面猴
    序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 200,392评论 5 470
  • 死咒
    序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 84,258评论 2 377
  • 救了他两次的神仙让他今天三更去死
    文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 147,417评论 0 332
  • 道士缉凶录:失踪的卖姜人
    文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 53,992评论 1 272
  • 港岛之恋(遗憾婚礼)
    正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 62,930评论 5 360
  • 恶毒庶女顶嫁案:这布局不是一般人想出来的
    文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 48,199评论 1 277
  • 城市分裂传说
    那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 37,652评论 3 390
  • 双鸳鸯连环套:你想象不到人心有多黑
    文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 36,327评论 0 254
  • 万荣杀人案实录
    序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 40,463评论 1 294
  • 护林员之死
    正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 35,382评论 2 317
  • 白月光启示录
    正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 37,432评论 1 329
  • 活死人
    序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 33,118评论 3 315
  • 日本核电站爆炸内幕
    正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 38,704评论 3 303
  • 男人毒药:我在死后第九天来索命
    文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 29,787评论 0 19
  • 一桩弑父案,背后竟有这般阴谋
    文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 30,999评论 1 255
  • 情欲美人皮
    我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 42,476评论 2 346
  • 代替公主和亲
    正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 42,057评论 2 341

推荐阅读更多精彩内容

  • 序列化和反序列化
    JAVA序列化机制的深入研究 对象序列化的最主要的用处就是在传递,和保存对象(object)的时候,保证对象的完整...
    时待吾阅读 10,834评论 0 24
  • Java初级面试题
    1. Java基础部分 基础部分的顺序:基本语法,类相关的语法,内部类的语法,继承相关的语法,异常的语法,线程的语...
    子非鱼_t_阅读 31,537评论 18 399
  • Effective Java一书笔记
    对象的创建与销毁 Item 1: 使用static工厂方法,而不是构造函数创建对象:仅仅是创建对象的方法,并非Fa...
    孙小磊阅读 1,944评论 0 3
  • Java序列化与反序列化
    一、 序列化和反序列化概念 Serialization(序列化)是一种将对象以一连串的字节描述的过程;反序列化de...
    步积阅读 1,433评论 0 10
  • IOS10 适配调整
    1.隐私权限设置 在info.plist里面加对应的key-value,value对应的是显示的文字,key是对应...
    CRAZYBADAM阅读 474评论 0 0