序列化代理模式

最新推荐文章于 2021-04-22 11:42:15 发布
最新推荐文章于 2021-04-22 11:42:15 发布
阅读量719 收藏
点赞数
分类专栏: 设计模式 Java 文章标签: Java 序列化代理模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yizhenn/article/details/72466430
版权

我们知道,实现了序列化的类。在反序列化时,实例的创建是由readObject方法来完成的。由于这是一个不同于构造函数的创建类实例的通道,因此在构造函数中的状态约束条件在readObjetc中也得一条不落下的实现。这很让人头大,因此这里介绍一种模式,将实例的反序列化也交给改造函数来完成,即序列化代理模式。要想稳健的将带有重要约束条件的对象序列化时,这种模式可能是最容易的方法。代码如下:


import java.io.*;
import java.util.EnumSet;

/**
 * Created by xuyizhen on 2017/5/18.
 */
public class Demo {
    public static void main(String[] args) throws IOException, ClassNotFoundException {

        Person person = new Person("E-臻", 12);
        File file = new File("C:\\test.txt");

        FileOutputStream fileOutputStream = new FileOutputStream(file);
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream);
        objectOutputStream.writeObject(person);

        objectOutputStream.flush();
        objectOutputStream.close();
        fileOutputStream.close();

        FileInputStream fileInputStream = new FileInputStream(file);
        ObjectInputStream objectInputStream = new ObjectInputStream(fileInputStream);
        Person person1 = (Person) objectInputStream.readObject();

        objectInputStream.close();
        fileInputStream.close();

        System.out.println(person1);

    }
}

final class Person implements Serializable {

    private String name;
    private int age;

    public Person(String name, int age) {
        this.name = name;
        this.age = age;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        this.age = age;
    }

    @Override
    public String toString() {
        return "Person{" +
                "name='" + name + '\'' +
                ", age=" + age +
                '}';
    }

    private static class SerializationProxy implements Serializable {
        private String name;
        private int age;

        public SerializationProxy(Person p) {
            this.name = p.name;
            this.age = p.age;
        }

        private Object readResolve() {
            System.out.println("反序列化时使用的类");
            return new Person(name, age);
            //序列化代理模式的精髓,反序列化不再是通过不可控的readObject()途径,而是通过正常的构造函数途径。
        }
    }

    private Object writeReplace() {
        System.out.println("序列化时使用的类");
        return new SerializationProxy(this);
    }

    private void readObject(java.io.ObjectInputStream in)
            throws IOException, ClassNotFoundException {
        throw new InvalidObjectException("proxy required");
    }
}

笔者开设了一个知乎live,详细的介绍的JAVA从入门到精通该如何学,学什么?

提供给想深入学习和提高JAVA能力的同学,欢迎收听https://www.zhihu.com/lives/932192204248682496



义臻
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jboss xml漏洞exp
07-31
7.支持代理模式 java -jar jboss_exploit_fat.jar -P ...
Java 序列化代理模式
chenxuanhanhao的专栏
02-06 265
package effectivejava.chapter12.item90; import java.io.*; /** * https://blog.csdn.net/Lirx_Tech/article/details/51303966 * [疯狂Java]I/O:其它自定义序列化的方法(transient、writeReplace、readResolve、Externalizabl...
Effective Java之考虑用序列化代理代理序列化实例(七十八)
heihei
01-09 419
我们知道,实现了序列化的类。在反序列化时,实例的创建是由readObject方法来完成的。由于这是一个不同于构造函数的创建类实例的通道,因此在构造函数中的状态约束条件在readObjetc中也得一条不落下的实现。这很让人头大。 而且readObject的出现,让伪字节流攻击和内部域的盗用攻击成为可能。伪字节流攻击就是伪造一个字节流,通过readObject读取,内部域的盗用攻击是指用一个
第90项:考虑用序列化代理代替序列化实例
Coloured_Glaze的博客
09-08 304
  正如第85项和第86项中提到以及本章中所讨论的,决定实现Serializable接口,会增加bug和出现安全问题的可能性,因为它导致实例要利用语言之外的机制来创建,而不是用普通的构造器。然而,有一种方法可以极大地减少这些风险。这种方法就是序列化代理模式serialization proxy pattern)。   序列化代理模式相当简单。首先,为可序列化的类设计一个私有的静态嵌套类,精确地表...
Activity代理框架AyoActivityNoManifest.zip
07-19
目的在于在Activity之间传递参数时考虑序列化问题,适用于进程内通信提供了一个轻量级的OnActivityResult机制(OnResultCallback,使用方式基本和OnActivity不一样)状态栏一体化的简单封装Activity和Fragment状态...
java综合知识
10-16
设计模式 反射 泛型 序列化 实验 数据结构与算法 等等 设计模式 反射 泛型 序列化 实验 数据结构与算法 等等
memoizee-proxy:基于代理进行记忆
02-09
适用于任何类型,任何长度的函数参数-可选的序列化。 支持诺言和异步功能。 可配置的弱提供了WeakMap(友好的垃圾回收)。 缓存可以手动管理。 可以基于LRU限制缓存大小。 可选的参考计数器模式,允许更复杂的...
序列定位的深度强化学习-研究论文
06-09
此外,为了更好地了解潜在的基础机制,我们进行了多种可解释性分析来解释学习到的最优策略的模式。 我们的发现提供了重要的管理相关和理论一致的见解。 例如,开始时的连续降价促销可以抓住对价格敏感的消费者的即时...
C# 实现ISerializable 精确控制每一个变量序列化
11-02
C# 实现ISerializable接口精确控制每一个变量的序列化,同时通过反射动态获取类中变量。对于序列化版本控制非常有用。
序列化代理模式示例
最佳 Java 编程
05-22 200
有些书可以极大地改变您的生活。 其中一本是Joshua Bloch撰写的“ Effective Java” 。 在下面您可能会发现一些小的实验,该实验的灵感来自于本书的第11章“串行化”。 假设我们有一个为继承而设计的类,它本身不是可序列化的 ,并且没有无参数的构造函数,如以下示例所示: public class CumbersomePoint { private Strin...
Serializable接口基本理解(3)--序列化代理的使用
DrifterJ's Stash
07-30 2410
Effective Java一书一直在强调,你的类实现Serializable接口前,一定要进行价值评估,是否值得这么做,尤其你的类是一个需要进行大量继承扩展的类。因为实现了Serializable接口,就会大大的增加出错和出现安全漏洞的可能性。蓄意攻击者可以通过伪造修改字节码的方式使你的代码出现安全漏洞!从一个角度看, readObject方法是一个参数为“字节流”的构造函数,因此篡改了字节流,
serialization proxy pattern(序列化代理模式)
alterhz的博客
04-22 235
import java.io.InvalidObjectException; import java.io.ObjectInputStream; import java.io.Serializable; /** * 序列化代理模式 * <p>序列化时,调用 {@link User#writeReplace} 方法,创建并序列化的代理对象。不是序列化的{@link User}对象。</p> * <p>反序列化时,实际是用的{@link User.Serializa
Serializable:序列化代理
BlackCutter的博客
07-08 939
序列化代理简单来说,A有序列化的需求,但是不直接序列化A,而是序列化一个A的代理对象B,我们可以将A的信息保存在B中,在反序列化时,再通过B得到A的信息,实例化一个A对象 为什么这么费劲呢?因为反序列化java机制之外的东西,不通过构造方法生成实例,这样有机会被入侵(具体说不上,就是有可能被黑的意思吧),采用序列化代理可以有效的避免通过反序列化来生成实例,所有的实例都通过构造函数来生成,这样就可
【笔记90】考虑用序列化代理代替序列化实例
u013773608的博客
09-14 223
  决定实现 Serializable 接口,会增加出错和出现安全问题的可能性,因为它允许利用语言之外的机制来创建实例,而不是使用普通的构造器。然而,有一只方法可以极大的减少这些风险。就是序列化代理模式(seralization proxy pattern)。   序列化代理模式相当简单。首先,为可序列化的类设计一个私有的静态嵌套类,精确地表示外围类的逻辑状态。这个嵌套类被称为序列化代理(ser...
hashCode和equals
热门推荐
义臻的博客
08-11 1万+
最近在复习的时候,又重新的理解了下equals()和hashCode().equals()用于判断两个对象是否相等,这是大家公认的。 hashCode()被设计是用来使得哈希容器能高效的工作。 为什么这么说?在java中,有一些哈希容器,比如Hashtable,HashMap等等。当我们调用这些类的诸如get(Object obj)方法时,容器的内部肯定需要判断一下当前对象obj在容器中是否存在,...
第三方包中没有序列化,不能改变这个类,如何对这个类进行序列化
最新发布
06-09
如果第三方包中的类没有实现Serializable接口,并且我们不能改变这个类,那么我们可以通过使用Java代理模式来对这个类进行序列化代理模式是一种结构型设计模式,它允许我们为其他对象提供一个代理或占位符,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值