你所不知道的Java序列化

最新推荐文章于 2021-03-12 02:33:25 发布
最新推荐文章于 2021-03-12 02:33:25 发布
阅读量2k 收藏 10
点赞数 3
分类专栏: java基础 文章标签: java 序列化

我们都知道,Java序列化可以让我们记录下运行时的对象状态(对象实例域的值),也就是我们经常说的对象持久化 。这个过程其实是非常复杂的,这里我们就好好理解一下Java的对象序列化。

 

1、 首先我们要搞清楚,Java对象序列化是将 对象的实例域数据( 包括private私有域) 进行持久化存储。而并非是将整个对象所属的类信息进行存储。 其实了解JVM的话,我们就能明白这一点了。实际上堆中所存储的对象包含了实例域数据值以及指向类信息的地址,而对象所属的类信息却存放在方法区中。当我们要对持久层数据反序列化成对象的时候,也就只需要将实例域数据值存放在新创建的对象中即可。

 

2、 我们都知道凡要序列化的类都必须实现Serializable接口。 但是不是所有类都可以序列化呢?当然不是这样,想想看序列化可以让我们轻而易举的接触到对象的私有数据域,这是多么危险的漏洞呀!总结一下,JDK中有四种类型的类对象是绝对不能序列化的 

     (1) 太依赖于底层实现的类(too closely tied to native code)。比如java.util.zip.Deflater。 

     (2) 对象的状态依赖于虚拟机内部和不停变化的运行时环境。比如java.lang.Thread, java.io.InputStream
     (3) 涉及到潜在的安全性问题。比如:java.lang.SecurityManager, java.security.MessageDigest
     (4) 全是静态域的类,没有对象实例数据。要知道静态域本身也是存储在方法区中的。

 

3、 自定义的类只要实现了Serializable接口,是不是都可以序列化呢? 当然也不是这样,看看下面的例子:

Java代码   收藏代码
  1. class Employee implements Serializable{  
  2.          private ZipFile zf=null;  
  3.          Employee(ZipFile zf){  
  4.                 this.zf=zf;  
  5.          }   
  6. }  
  7.   
  8. ObjectOutputStream oout=  
  9. new ObjectOutputStream(new FileInputStream(new File("aaa.txt")));  
  10. oout.writeObject(new Employee(new ZipFile("c://.."));  

     我们会发现运行之后抛出java.io.NotSerializableException : java.util.zip.ZipFile 。很明显,如果要对Employee对象序列化,就必须对其数据域ZipFile对象也进行序列化,而这个类在JDK中是不可序列化的。因此,包含了不可序列化的对象域的对象也是不能序列化的。 实际上,这也并非不可能,我们在下面第6点会谈到。

 

4、 可序列化的类成功序列化之后,是不是一定可以反序列化呢? (这里默认在同一环境下,而且类定义永远不会改变,即满足兼容性。在下面我们会讨论序列化的不兼容性)。答案是不一定哦!我们还是看一个列子:

Java代码   收藏代码
  1. //父类对象不能序列化  
  2. class Employee{   
  3.     private String name;  
  4.     Employee(String n){  
  5.         this.name=n;  
  6.     }  
  7.     public String getName(){  
  8.         return this.name;  
  9.     }  
  10. }  
  11. //子类对象可以序列化  
  12. class Manager extends Employee implements Serializable{  
  13.     private int id;  
  14.     Manager(String name, int id){  
  15.         super(name);  
  16.         this.id=id;  
  17.     }  
  18. }  
  19. //序列化与反序列化测试  
  20. public static void main(String[] args) throws IOException, ClassNotFoundException{  
  21.          File file=new File("E:/aaa.txt");  
  22.     ObjectOutputStream oout=new ObjectOutputStream(new FileOutputStream(file));  
  23.     oout.writeObject(new Manager("amao",123));  
  24.     oout.close();  
  25.     System.out.println("序列化成功");  
  26.           
  27.     ObjectInputStream oin=new ObjectInputStream(new FileInputStream(file));  
  28.     Object o=oin.readObject();  
  29.     oin.close();  
  30.     System.out.println("反序列化成功:"+((Manager) o).getName());  
  31. }  

        程序的运行结果是:打印出“序列化成功”之后抛出java.io.InvalidClassException: Manager; Manager; no valid constructor。 为什么会出现这种情况呢?很显然,序列化的时候只是将Manager类对象的数据域id写入了文件,但在反序列化的过程中,需要在堆中建立一个Manager新对象。我们都知道任何一个类对象的建立都首先需要调用父类的构造器对父类进行初始化,很可惜序列化文件中并没有父类Employee的name数据,那么此时调用Employee(String)构造器会因为没有数据而出现异常。既然没有数据,那么可不可以调用无参构造器呢? 事实却是如此,如果有Employee()无参构造器的存在,将不会抛出异常,只是在执行打印的时候出现--- “反序列化成功:null”。

       总结一下:如果当前类的所有超类中有一个类即不能序列化,也没有无参构造器。那么当前类将不能反序列化。如果有无参构造器,那么此超类反序列化的数据域将会是null或者0,false等等。 

 

5、 序列化的兼容性问题!

     类定义很有可能在不停的人为更新(比如JDK1.1到JDK1.2中HashTable的改变)。那么以前序列化的旧类对象很可能不能再反序列化成为新类对象。这就是序列化的兼容性问题,严格意义上来说改变类中除static 和transient以外的所有部分都会造成兼容性问题。而JDK采用了一种stream unique identifier (SUID) 来识别兼容性。SUID是通过复杂的函数来计算的类名,接口名,方法和数据域的 一个64位 hash值。而这个值存储在类中的静态域内:

                               private static final long serialVersionUID = 3487495895819393L

只要稍微改动类的定义,这个类的SUID就会发生变化,我们通过下面的程序来看看:

Java代码   收藏代码
  1. //修改前的Employee  
  2. class Employee implements Serializable{  
  3.     private String name;  
  4.     Employee(String n){  
  5.         this.name=n;  
  6.     }  
  7.     public String getName(){  
  8.         return this.name;  
  9.     }  
  10. }  
  11. //测试,打印SUID=5135178525467874279L  
  12. long serialVersionUID=ObjectStreamClass.lookup(Class.forName("Employee")).getSerialVersionUID();  
  13. System.out.println(serialVersionUID);  
  14.   
  15. //修改后的Employee  
  16. class Employee implements Serializable{  
  17.     private String name1; //注意,这里略微改动一下数据域的名字  
  18.     Employee(String n){  
  19.         this.name1=n;  
  20.     }  
  21.     public String getName(){  
  22.         return this.name1;  
  23.     }  
  24. }  
  25. //测试,打印SUID=-2226350316230217613L  
  26. long serialVersionUID=ObjectStreamClass.lookup(Class.forName("Employee")).getSerialVersionUID();  
  27. System.out.println(serialVersionUID);  

      两次测试的SUID都不一样,不过你可以试试如果name域是static或transient声明的,那么改变这个域名是不会影响SUID的。

     很显然,JVM正是通过检测新旧类SUID的不同,来检测出序列化对象与反序列化对象的不兼容。抛出java.io.InvalidClassException: Employee; local class incompatible:

     很多时候,类定义的改变势在必行,但又不希望出现序列化的不兼容性。我们就可以通过在类中显示的定义serialVersionUID,并赋予一个明确的long值即可。这样会逃过JVM的默认兼容性检查。但是如果数据域名的改变会导致反序列化后,改变的数据域只能得到默认的null或者0或者false值。

 

6、 在上面第3点中谈到了一个不能成功序列化的Employee的列子,原因就是包含了一个不能序列化的ZipFile对象引用的数据域。但有时我们非常想将ZipFile所对应的本地文件路径进行序列化,是不是真的没有办法了呢? 这里我们就将一个非常有用的应用。

      当我们需要用writeObject(Object)方法对某个类对象序列化的时候,会首先对这个类对象的所有超类按照继承层次从高到低来写出每个超类的数据域。谁能保证每个超类都实现了Serializable接口呢? 其实,对于这些不能序列化的类,JVM会检查这些类是否有这样一个方法:

                  private void writeObject(ObjectOutputStream out)throws IOException 
      如果有,JVM会调用这个方法仍然对该类的数据域进行序列化。我们来看看JDK的ObjectOutputStream类中对这一部分的实现(我这里只列出了源码中的执行过程):

Java代码   收藏代码
  1. //下面的方法从上到下进行调用  
  2. writeObject(Object);   
  3.   
  4. //ObjectOutputStream的writeObject方法  
  5. public final void writeObject(Object obj) throws IOException {   
  6.         writeObject0(obj, false);  
  7. }  
  8.   
  9. //ObjectOutputStream, 底层写入Object的实现  
  10. private void writeObject0(Object obj, boolean unshared) {  
  11.        if (obj instanceof Serializable) {  
  12.         writeOrdinaryObject(obj, desc, unshared);  
  13. }  
  14.   
  15. //ObjectOutputStream  
  16. private void writeOrdinaryObject(Object obj, ObjectStreamClass desc,  boolean unshared) {  
  17.        writeSerialData(obj, desc);  
  18. }  
  19.   
  20. //ObjectOutputStream, 对超类到子类的每个可序列化的类,写出数据域  
  21.  private void writeSerialData(Object obj, ObjectStreamClass desc)  throws IOException{  
  22.          //如果类中有writeObject(ObjectOutputStream)方法,则通过底层进行调用  
  23.          if (slotDesc.hasWriteObjectMethod()) {   
  24.                 slotDesc.invokeWriteObject(obj, this);  
  25.          }//如果没有此方法,则采用默认的写类数据域的方法。  
  26.          else {//这个方法会对可序列化的对象中的数据域进行写出,但是如果这个数据域是不可序列化而且没有writeObject(ObjectOutputStream)方法的类对象,那么将抛出异常。  
  27.         defaultWriteFields(obj, slotDesc);  
  28.      }  
  29. }  

         ObjectOutputStream中的writeSerialData()方法说明了JVM检查writeObject(ObjectOutputStream out)这个私有方法的潜在执行机制。这就是说,我们可以通过构造这个方法,使得原本不能序列化的类的部分数据域可以序列化。下面我们就开始对ZipFile进行可序列化的改造吧!

Java代码   收藏代码
  1. //自定义的一个可序列化的ZipFile,当然这个类不能继承JDK中的ZipFile,否则序列化将不可能完成。  
  2. class SerializableZipFile implements Serializable{  
  3.     public ZipFile zf;  
  4.     //包含一个ZipFile对象  
  5.     SerializableZipFile(String filename) throws IOException{  
  6.         zf=new ZipFile(filename);  
  7.     }  
  8.     //对ZipFile中的文件名进行序列化,因为它是String类型的  
  9.     private void writeObject(ObjectOutputStream out)throws IOException{  
  10.         out.writeObject(zf.getName());  
  11.     }  
  12.     //对应的,反序列化过程中JVM也会检查类似的一个私有方法。  
  13.     private void readObject(ObjectInputStream in)throws IOException,ClassNotFoundException{  
  14.         String filename=(String)in.readObject();  
  15.         zf=new ZipFile(filename);  
  16.     }  
  17. }  
  18. //测试  
  19. public static void main(String[] args) throws IOException, ClassNotFoundException{  
  20.     //序列化  
  21.         File file=new File("E:/aaa.txt");  
  22.     ObjectOutputStream oout=new ObjectOutputStream(new FileOutputStream(file));  
  23.     oout.writeObject(new SerializableZipFile("e:/aaa.zip"));  
  24.     oout.close();  
  25.     System.out.println("序列化成功");  
  26.     //反序列化  
  27.     ObjectInputStream oin=new ObjectInputStream(new FileInputStream(file));  
  28.     Object o=oin.readObject();  
  29.     oin.close();  
  30.     System.out.println("反序列化成功:"+((SerializableZipFile) o).zf.getName());  
  31. }  
  32. //序列化成功  
  33. //反序列化成功:e:\aaa.zip  

      太棒了,我们构造了一个可序列化的ZipFile类。这真是一件伟大的事情。


1、当父类继承Serializable接口,所有子类都可以被序列化
 2、子类实现了Serializable接口,父类没有,父类中的属性不能序列化(不报错,数据会丢失),但是子类中属性人能正确序列化
 3、如果序列化的属性是对象,这个对象也必须实现Serializable接口,否则会报错
 4、在反序列化时,如果对象的属性有修改或删减,修改的部分属性会丢失,但不会报错
 5、在反序列化时,如果serialVersionUID被修改,那么反序列化时会失败
 6、如果一个父类没有实现Serializable接口,他的内部类如果不是static的,即使实现了序列化接口,也会序列失败。
       因为非静态内部类会保存一个指向父类的类型this变量,而序列化类的所有属性必须实现序列化接口,所以要将内部类设置成静态类
 7、List或者Map容器中包含的泛型类型也必须实现Serializable接口,否则也会报java.io.NotSerializableException

四道风尘
关注
  • 3
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java序列化_Java序列化结构_
09-29
大家请看Java序列化结构有不足的地方请指教也希望指出不足的地方。
Java中对象序列化与反序列化详解
09-03
主要介绍了Java中对象序列化与反序列化,较为详细的分析了java中对象序列化的概念、原理、实现方法及相关注意事项,具有一定参考借鉴价值,需要的朋友可以参考下
深入分析Java序列化与反序列化
12-22
序列化是一种对象持久化的手段。普遍应用在网络传输、RMI等场景中。本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:   怎么实现Java序列化   为什么实现了java.io.Serializable接口才能被序列化   transient的作用是什么   怎么自定义序列化策略   自定义的序列化策略是如何被调用的   ArrayList对序列化的实现有什么好处   Java对象的序列化   Java平台允许我们在内存中创建可复用的Java对象,但一般情况下,只有当JVM处于运行时,这些对象才可能存在,即,这些对象的生命周期不会比
java序列化和反序列化,面试必备
12-21
最近阅读Serializable接口和Externalizable接口的源码,并结合了一些资料,对面试过程中与序列化相关的内容做了一些总结。 一、序列化、反序列化、使用场景、意义。 序列化:将对象写入IO流中; 反序列化:从IO流中恢复对象; 意义:序列化机制允许将实现序列化Java对象转换为字节序列,并将字节序列保存在磁盘中,或通过网络传输,以达到以后恢复成原来的对象。序列化机制使地对象可以脱离程序的运行而独立存在。 使用场景:所有在网络上传输的对象都必须是可序列化的。如:RMI (远程方法调用),传入的参数或返回的对象都是可序列化的,否则会出错。所有必须保存到磁盘的java对象都必须是可
关于Java对象序列化您不知道的5件事Java开发Java
11-25
关于Java对象序列化您不知道的5件事Java开发Java经验技巧共11页.pdf.zip
【总结】你所不知道Java序列化
ccnunlp的专栏
09-04 144
我们都知道Java序列化可以让我们记录下运行时的对象状态(对象实例域的值),也就是我们经常说的对象持久化 。这个过程其实是非常复杂的,这里我们就好好理解一下Java的对象序列化。   1、 首先我们要搞清楚,Java对象序列化是将 对象的实例域数据( 包括private私有域) 进行持久化存储。而并非是将整个对象所属的类信息进行存储。 其实...
java 序列化 兼容_【总结】你所不知道Java序列化
weixin_39689428的博客
02-16 211
我们都知道Java序列化可以让我们记录下运行时的对象状态(对象实例域的值),也就是我们经常说的对象持久化。这个过程其实是非常复杂的,这里我们就好好理解一下Java的对象序列化。1、首先我们要搞清楚,Java对象序列化是将对象的实例域数据(包括private私有域)进行持久化存储。而并非是将整个对象所属的类信息进行存储。其实了解JVM的话,我们就能明白这一点了。实际上堆中所存储的对象包含了实例域数...
Serializable兼容性问题及serialVersionUID的使用
水煮帝国的专栏
07-26 720
兼容性问题  兼容性历来是复杂而麻烦的问题。 不要兼容性:       首先来看看如果我们的目的是不要兼容性,应该注意哪些。不要兼容性的场合很多,比如war3每当版本升级就不能够读取以前的replays。       兼容也就是版本控制,java通过一个名为UID(stream unique identifier)来控制,这个UID是隐式的,它通过类名,方法名等诸多因素经过计算而得,理论上
java序列化
chenming1574的专栏
01-08 252
本文介绍Java序列化技术。<br /> 1.Java的"对象序列化"<br /> Java 的"对象序列化"能让你将一个实现了Serializable接口的对象转换成一组byte,这样日后要用这个对象时候,你就能把这些byte数据恢复出 来,并据此重新构建那个对象。这一点甚至在跨网络的环境下也是如此,这就意味着序列化机制能自动补偿操作系统方面的差异。也就是说,你可以在 Windows机器上创键一个对象,序列化之后,再通过网络传到Unix机器上,然后在那里进行重建。你不用担心在不同的平台上
序列化问题中的向上兼容和向下兼容解决方案。
猪猪和乖乖的小窝
08-03 2638
首先要了解java默认的序列化行为,java将一切关于对象的信息都保存了下了,也就是说,有些时候那些不需要保存的也被保存了下来。一般情况下,我们仅仅需要保存逻辑数据就可以了。不需要保存的数据我们可以用关键字transient标出。   以下是一个例子: import java.io.*; public class Serial implements Serializable {  int comp
java序列化工具
11-21
java序列化工具,覆盖jboss、weblogic、websphere。
理解Java序列化
12-08 123
前言 Java对象是在JVM中产生的,若要将其进行传输或保存到硬盘,就要将对象转换为可传输的文件流。而目前Java对象的转换方式有: 利用Java序列化功能序列成字节(字节流),一般是需要加密传输时使用。 将对象包装成JSON字符串(字符流),一般使用JSON工具进行转换 。 protoBuf工具(二进制),性能好,效率高,字节数很小,网络传输节省IO。但二进制格式可读性差。 一、...
java如果没有序列化的规范,写给小白看的java序列化
weixin_39793553的博客
03-12 277
本文主要内容背景在Java语言中,程序运行的时候,会产生很多对象,而对象信息也只是在程序运行的时候才在内存中保持其状态,一旦程序停止,内存释放,对象也就不存在了。怎么能让对象永久的保存下来呢?--------对象序列化。何为序列化和反序列化序列化:对象到IO数据流反序列化:IO数据流到对象有哪些使用场景?Java平台允许我们在内存中创建可复用的Java对象,但一般情况下,只有当JVM处于运行时,...
判断一个对象是否实现序列化
k_x_sh的博客
05-10 1867
People p = new People(“name”,“age”); if(p instanceof Serializable){ //说明实现的序列化 }else{ //未实现序列化 } //https://blog.csdn.net/xieliangkai/article/details/79037628
为什么JAVA要实现对象序列化
DCTM + SAP
07-13 219
简单来说序列化就是一种用来处理对象流的机制,所谓对象流也就是将对象的内容进行流化,流的概念这里不用多说(就是I/O),我们可以对流化后的对象进行读写操作,也可将流化后的对象传输于网络之间(注:要想将对象传输于网络必须进行流化)!在对对象流进行读写操作时会引发一些问题,而序列化机制正是用来解决这些问题的! 如上所述,读写对象会有什么问题呢?比如:我要将对象写入一个磁盘文件而后再将其读出来会有什么问...
JPA OneToOne单向和双向测试验证
热门推荐
Caesar Zhang的专栏
09-18 1万+
最近学习Jpa,其中的OneToOne等关系映射测试与理解
java 判断序列化,浅谈Java序列化
weixin_42353715的博客
03-11 509
Java序列化什么是序列化序列化是将一个对象的状态,各属性的值序列化保存起来,然后在合适的时候通过反序列化获得。Java序列化是将一个对象表示成字节序列,该字节序列包括了对象的数据,有关对象的类型信息和存储在对象中的数据类型。说白了,就是将对象保存起来,就跟保存字符串数据一样,用到的时候再取出来。任何实现了Serializable接口的类都可以被序列化。实现Serializable接口进行序列...
Java 序列化和反序列化
最新发布
10-15
Java 序列化是将对象转换为字节序列的过程,反序列化则是将字节序列转换为对象的过程。Java 序列化可以用于对象的持久化、网络传输等场景。 Java 序列化的实现方式是通过 ObjectOutputStream 和 ObjectInputStream ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值