Serializable:序列化代理

最新推荐文章于 2020-05-28 16:41:58 发布
最新推荐文章于 2020-05-28 16:41:58 发布
阅读量958 收藏
点赞数
分类专栏: java 文章标签: 序列化代理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BlackCutter/article/details/46803221
版权

序列化代理简单来说,A有序列化的需求,但是不直接序列化A,而是序列化一个A的代理对象B,我们可以将A的信息保存在B中,在反序列化时,再通过B得到A的信息,实例化一个A对象
为什么这么费劲呢?因为反序列化是java机制之外的东西,不通过构造方法生成实例,这样有机会被入侵(具体说不上,就是有可能被黑的意思吧),采用序列化代理可以有效的避免通过反序列化来生成实例,所有的实例都通过构造函数来生成,这样就可以保证所有的实例都遵守构造函数的约束。
具体实现呢 通过例子来说吧:

public class Dog implements Serializable
{
    /**
     * 
     */
    private static final long serialVersionUID = 2599175554577989702L;


    private String name;
    private int age;

    Dog(String name,int age)
    {
        this.name = name;
        this.age = age;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        this.age = age;
    }

    private static class SerializationProxy implements Serializable
    {

        /**
         * 
         */
        private static final long serialVersionUID = -1792022185138959673L;

        private String name;
        private int age;

        SerializationProxy(Dog dog)
        {
            this.name = dog.name;
            this.age = dog.age;
        }



        private Object readResolve()
        {
            return new Dog(name,age);
        }

        private void writeObject(ObjectOutputStream out) throws IOException
        {
            out.defaultWriteObject();
            System.out.println("项");
        }

        private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException
        {
            in.defaultReadObject();
            System.out.println("羽");
        }
    }

    private Object writeReplace()
    {
        return new SerializationProxy(this);
    }

    private void readObject(ObjectInputStream in) throws Exception
    {
        throw new Exception("proxy required");
    }
}

定义了一个内部类,SerializationProxy 作为Dog 的序列化代理
如果试图序列化一个Dog,由于Dog中定义了

private Object writeReplace()
{
    return new SerializationProxy(this);
}

则实际会序列化一个Dog的序列化代理,而这个序列化代理是通过Dog对象来构造的(保存了Dog的信息),上节说到,之后的过程都会依赖实际被序列化类的序列化实现,也就是会依赖于Dog序列化代理的序列化实现,反序列化Dog序列化代理时由于

private Object readResolve()
{
    return new Dog(name,age);
}

实际会返回一个Dog对象,这样原来保存的Dog信息又回来了,而且新的Dog实例是通过构造方法生成的。

如何使用呢,其实完全看不出来,正常用就行了

@Test
    public void testOut03() throws FileNotFoundException, IOException
    {
        Dog d = new Dog("小白",2);
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("D:\\temp01.txt"));
        out.writeObject(d);
        out.flush();
        out.close();
    }

    @Test
    public void testIn03() throws FileNotFoundException, IOException, ClassNotFoundException
    {
        ObjectInputStream in = new ObjectInputStream(new FileInputStream("D:\\temp01.txt"));
        Dog d = (Dog)in.readObject();
        in.close();
        System.out.println(d.getAge());
        System.out.println(d.getName());
    }
}

用法呢其实都是相同的,关键是序列化类wirteObject和readObject的实现。

BlackCutter
关注
专栏目录
Java对象序列化标准最新版
10-29
序列化包含代理对象的类时,`ObjectStreamClass`会生成一个动态代理类描述符。这使得代理对象可以被正确序列化。 **4.3 序列化形式** 每个可序列化的类都有一个对应的序列化形式,它描述了类的序列化结构。这些...
Hibernate 5.1如何从Oracle中读取Blob数据
ZQ的博客
07-30 917
先回顾下以前的版本: 1、Hibernate 3.2是采用SerializableBlob类来处理Blob对象的。 看数据库中的image存储类型是BLOB。    相应的Hibernate 3.2处理代码: public byte[] getPic(String isbn) throws Exception { byte[] pic = null; String sql...
Hibernate查询Clob转化问题
老猫的专栏
11-23 2322
1 问题出现: 由于在sql需要将多行转为一行,便使用了聚合函数wmsys.wm_concat(),但开始在数据库执行时返回到页面 的都是varchar类型的字符串,后来数据库迁移发现执行sql返回的是CLOB类型,而且通过 javax.persistence.EntityManager.createNativeQuery(Sql)查询出的数据是C...
Java 序列化代理模式
chenxuanhanhao的专栏
02-06 380
package effectivejava.chapter12.item90; import java.io.*; /** * https://blog.csdn.net/Lirx_Tech/article/details/51303966 * [疯狂Java]I/O:其它自定义序列化的方法(transient、writeReplace、readResolve、Externalizabl...
hibernate 读取 blob 字段
weixin_33725270的博客
06-09 530
2019独角兽企业重金招聘Python工程师标准>>> ...
Java - 动态代理对象序列化
牧码的博客
05-28 1031
Proxy 对象是不能序列化的,就算能序列化也不能反序列化,因为proxy对象的类是动态生成出来的,序列化后,反序列化时目标JVM肯定没有加载过这个代理类。 有个变通的方法,就是获取到对象本身,序列化;反序列化后获取到原对象,再重新用代理包装即可获得反序列化后的代理对象了。不知道是否贴题。下面有个例子,虽然没有序列化和反序列化,但是基本实现了获取对象本身这个功能,希望能帮到你。 另外Groovy对象也是Java对象,应该仍然保持Groovy对象本身(个人理解,Groovy我也是略懂皮毛),Spring应
Java序列化
11-10
6. **序列化代理Serializable Proxy)** - Java允许使用 `writeObject()` 和 `readObject()` 方法来自定义序列化和反序列化的行为,这两个方法需要在类中声明为`private`,并由`java.io.Serializable` 接口的实现...
Android中的Bitmap序列化失败的解决方法
08-26
3. 自定义序列化:创建一个序列化代理类,将Bitmap转换为其他可序列化的形式(如JSON、XML),在序列化和反序列化过程中使用这个代理类。 4. 使用第三方库:有些第三方库如Gson或Parcelable接口可以帮助处理Bitmap...
Java对象的序列化与反序列化Java开发Java经验技巧
11-22
- **序列化代理模式**:对于复杂的对象结构,可以考虑使用序列化代理模式,创建一个简单的代理类进行序列化和反序列化操作。 6. **安全性**: - **反序列化攻击**:恶意用户可能会构造特殊的数据流,导致反序列化...
关于Java对象序列化您不知道的5件事Java开发Java
最新发布
11-25
在某些高级用例中,可以使用序列化代理模式来提供更安全和灵活的序列化机制。这种模式通过创建一个代理类来序列化实际对象,代理类只包含那些需要持久化的数据,从而避免了直接序列化可能导致的安全问题和复杂性。 ...
Hibernate操作Blob/Clob时,发生cannot be cast to oracle.sql.BLOB错误分析
实践出真知
08-19 5323
由Hibernate返回的Blob对象实际上是代理SerializableBlobProxy的实例,提供了java.sql.Blob接口定义的方法(实际上是通过反射的方式),表现得像是个实现java.sql.Blob接口的对象(只是貌似),但实际上是个Proxy类型的实例,因此不能把这个实例转化成oracle.sql.BLOB类型。会发生类型转换异常(java.lang.ClassCastExc
序列化代理模式
GoodIdea
04-13 551
Java序列化也带来了一些严重的误区,比如:类的结构无法大量改变,除非中断序列化处理,因此即便我们之后已经不需要某些变量了,我们也需要保留它们,仅仅是为了向后兼容。序列化会导致巨大的安全性危机,一个攻击者可以更改流的顺序,继而对系统造成伤害。举个例子,用户角色被序列化了,攻击者可以更改流的值为admin,再执行恶意代码。序列化代理模式是一种使序列化能达到极高安全性的方式,在这个模式下,一个内部的私...
序列化代理模式示例
最佳 Java 编程
05-22 210
有些书可以极大地改变您的生活。 其中一本是Joshua Bloch撰写的“ Effective Java” 。 在下面您可能会发现一些小的实验,该实验的灵感来自于本书的第11章“串行化”。 假设我们有一个为继承而设计的类,它本身不是可序列化的 ,并且没有无参数的构造函数,如以下示例所示: public class CumbersomePoint { private Strin...
Serializable接口基本理解(3)--序列化代理的使用
DrifterJ's Stash
07-30 2431
Effective Java一书一直在强调,你的类实现Serializable接口前,一定要进行价值评估,是否值得这么做,尤其你的类是一个需要进行大量继承扩展的类。因为实现了Serializable接口,就会大大的增加出错和出现安全漏洞的可能性。蓄意攻击者可以通过伪造修改字节码的方式使你的代码出现安全漏洞!从一个角度看, readObject方法是一个参数为“字节流”的构造函数,因此篡改了字节流,
Effective Java之考虑用序列化代理代理序列化实例(七十八)
heihei
01-09 450
我们知道,实现了序列化的类。在反序列化时,实例的创建是由readObject方法来完成的。由于这是一个不同于构造函数的创建类实例的通道,因此在构造函数中的状态约束条件在readObjetc中也得一条不落下的实现。这很让人头大。 而且readObject的出现,让伪字节流攻击和内部域的盗用攻击成为可能。伪字节流攻击就是伪造一个字节流,通过readObject读取,内部域的盗用攻击是指用一个
bboss序列化cglib代理对象方法介绍
Bboss 每天进步一点点
06-22 249
本文介绍bboss序列化cglib代理对象方法。经过cglib代理过的po类对象实例是原来po对象的子类对象,bboss在序列化这种对象时,需要经过特殊处理,否则会出现不可预知的错误,导致序列化失败,典型的例子就是hibernate查询操作返回的po对象就是cglib代理对象。 bboss序列化cglib代理对象方法非常简单,与序列化普通对象的方法一样,使用代码如下: [code="jav...
第90项:考虑用序列化代理代替序列化实例
Coloured_Glaze的博客
09-08 379
  正如第85项和第86项中提到以及本章中所讨论的,决定实现Serializable接口,会增加bug和出现安全问题的可能性,因为它导致实例要利用语言之外的机制来创建,而不是用普通的构造器。然而,有一种方法可以极大地减少这些风险。这种方法就是序列化代理模式(serialization proxy pattern)。   序列化代理模式相当简单。首先,为可序列化的类设计一个私有的静态嵌套类,精确地表...
C#入门:序列化详解与.NET平台介绍
代理服务器也可能利用序列化来缓存和转发请求,因为序列化的数据可以轻松地在网络中移动。 在C#中,你可以通过实现ISerializable接口或者使用[Serializable]特性来标记一个类为可序列化的。然后,可以使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值