对象序列化时屏蔽字段 --《JAVA编程思想》86

最新推荐文章于 2024-01-06 09:55:04 发布
最新推荐文章于 2024-01-06 09:55:04 发布
阅读量628 收藏 1
点赞数
分类专栏: JAVA编程思想 文章标签: java 开发语言 后端 IO 序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BaymaxCS/article/details/122158387
版权
本文介绍了在Java中实现序列化时如何避免敏感信息如密码的持久化。通过使用`transient`关键字或者实现`Externalizable`接口,可以阻止特定字段在序列化和反序列化过程中被处理。`transient`关键字简单易用,直接修饰不想序列化的字段,而`Externalizable`接口则需要手动控制字段的读写,提供更高的定制性。
摘要由CSDN通过智能技术生成

通过 Serializable 接口实现序列化时,默认会将全部字段进行持久化。

但出于安全考虑,部分敏感字段,比如:密码,我们并不希望它也被持久化。

public class User implements Serializable {

    private String name;

    private String password;

    public User(String name, String password) {
        this.name = name;
        this.password = password;
    }

    @Override
    public String toString() {
        return "User{" +
                "name='" + name + '\'' +
                ", password='" + password + '\'' +
                '}';
    }

}

public class UserSerializable {

    public static void main(String[] args) throws IOException, ClassNotFoundException {
        User user = new User("admin", "123456");
        System.out.println(user);
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("user.out"));
        out.writeObject(user);
        out.close();
        System.out.println("------反序列化------");
        ObjectInputStream in = new ObjectInputStream(new FileInputStream("user.out"));
        user = (User) in.readObject();
        System.out.println(user);
    }

}

User{name='admin', password='123456'}
------反序列化------
User{name='admin', password='123456'}

下面,给大家演示屏蔽部分字段的两种方式。

序列化屏蔽字段的方式

1. transient 限时关键字

transient 的用法非常简单,直接修饰需要关闭序列化的字段即可。

public class User implements Serializable {

    private String name;

    private transient String password;

    public User(String name, String password) {
        this.name = name;
        this.password = password;
    }

    @Override
    public String toString() {
        return "User{" +
                "name='" + name + '\'' +
                ", password='" + password + '\'' +
                '}';
    }

}

public class UserSerializable {

    public static void main(String[] args) throws IOException, ClassNotFoundException {
        User user = new User("admin", "123456");
        System.out.println(user);
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("user.out"));
        out.writeObject(user);
        out.close();
        System.out.println("------反序列化------");
        ObjectInputStream in = new ObjectInputStream(new FileInputStream("user.out"));
        user = (User) in.readObject();
        System.out.println(user);
    }

}

User{name='admin', password='123456'}
------反序列化------
User{name='admin', password='null'}

2. Externalizable 接口

Externalizable 接口不会自动存储和恢复字段的值,必须由我们自己覆写 writeExternal() 和 readExternal() 方法,手动保存/恢复持久化的字段,未操作的字段将不会被持久化。

实现 Externalizable 接口的类,必须提供无参构造方法;Serializable 接口则不需要,它是基于二进制为基础来构造对象的。

public class User implements Externalizable {

    private String name;

    private String password;

    public User(String name, String password) {
        this.name = name;
        this.password = password;
    }

    public User() {

    }

    @Override
    public String toString() {
        return "User{" +
                "name='" + name + '\'' +
                ", password='" + password + '\'' +
                '}';
    }

    @Override
    public void writeExternal(ObjectOutput out) throws IOException {
        out.writeObject(name);
    }

    @Override
    public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {
        name = (String) in.readObject();
    }

}


public class UserExternalizable  {

    public static void main(String[] args) throws IOException, ClassNotFoundException {
        User user = new User("admin", "123456");
        System.out.println(user);
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("user.out"));
        out.writeObject(user);
        out.close();
        System.out.println("------反序列化------");
        ObjectInputStream in = new ObjectInputStream(new FileInputStream("user.out"));
        user = (User) in.readObject();
        System.out.println(user);
    }

}

User{name='admin', password='123456'}
------反序列化------
User{name='admin', password='null'}

本次分享至此结束,希望本文对你有所帮助,若能点亮下方的点赞按钮,在下感激不尽,谢谢您的【精神支持】。

若有任何疑问,也欢迎与我交流,若存在不足之处,也欢迎各位指正!

BaymaxCS
关注
专栏目录
Java编程规范
生活在别处
07-12 2700
文章目录前言编程规范命名规范【强制】命名不能以下划线或美元符号开头或者结尾。【强制】命名不允许使用拼音与英文混合的方式。【强制】类目使用UpperCamelCase风格。【强制】方法名、参数名、成员变量、局部变量都统一使用lowerCamelCase风格。【强制】常量命名应该全部大写,单词间使用下划线隔开。【强制】抽象类命名使用Abstract或Base开头;异常类命名使用Exception结尾;测试类命名以它要测试的类目开始,以Test结尾。【强制】定义数组,类型和[]紧挨。【强制】POJO类中的任何布
java基础复习(四):面向对象深度解析
qq_44793993的博客
05-17 521
文章目录理解面向对象三大特性类与对象类加载过程static对象的创建new关键字做了什么new的执行细节this和superthis的本质this与static无法共存的本质super的本质重写与重载接口与抽象类 理解面向对象 三大特性 类与对象 类加载过程 static 对象的创建 new关键字做了什么 new的执行细节 this和super this的本质 this与static无法共存的本质 super的本质 重写与重载 接口与抽象类 ...
java序列化忽略指定的字段
qq_41605733的博客
12-01 946
字段上添加@JsonIgnore注解
java transient关键字 阻止字段序列化
壹口尘埃
05-03 4205
Java的serialization提供了一种持久化对象实例的机制。当持久化对象,可能有一个特殊的对象数据成员,我们不想用serialization机制来保存它。为了在一个特定对象的一个域上关闭serialization,可以在这个域前加上关键字transient。当一个对象序列化候,transient型变量的值不包括在序列化的表示中,然而非transient型的变量是被包括进去的。
Java bean和json互转屏蔽某个属性
dichengyan0013的博客
12-14 429
有的候我们把java bean 转换成json的候,希望屏蔽掉某个属性,这可以在java bean的属性上加上@JsonIgnore注解,在com.fasterxml.jackson.annotation包下 @JsonIgnore private String name; 反过来json转java bean 也适用 转载于:https://www.cnblogs....
Serializable 剔除某些不想保存的字段 transient
weixin_30763397的博客
08-05 575
示例: package cn.com.chinatelecom.mms.pojo; import java.io.Serializable; public class Person implements Serializable{ /** * */ private static final long serialVersionUI...
2020-10-25
qq_32902741的博客
10-25 320
java序列化,看这篇就够了 一、序列化的含义、意义及使用场景 序列化:将对象写入到IO流中 反序列化:从IO流中恢复对象 意义:序列化机制允许将实现序列化Java对象转换位字节序列,这些字节序列可以保存在磁盘上,或通过网络传输,以达到以后恢复成原来的对象序列化机制使得对象可以脱离程序的运行而独立存在。 使用场景:所有可在网络上传输的对象都必须是可序列化的,比如RMI(remote method invoke,即远程方法调用),传入的参数或返回的对象都是可序列化的,否则会出错;所有需要保.
Think In JavaJava编程思想(第4版)》的中文版 _读书笔记:目录先行
weixin_41109417的博客
05-22 1355
@[TOC](Think In JavaJava编程思想(第4版)》的中文版 _读书笔记:目录先行) 读书计划:270天即9个月看完这本书。 目录 出版者的话 专家指导委员会 读者评论 关于《Thinking in C ++》 译者序 译者简介 前言 绪论 第1章 对象导论1 1.1抽象过程1 1.2每个对象都有一个接口2 1.3每个对象都提供服务4 1.4被隐藏的具体实现4 1.5复用具体实现...
Java并发编程艺术
nalanmingdian的博客
07-26 1055
一、并发编程面临的挑战 并发编程的目的是为了让程序运行更快,但并不是启动多线程就能让程序最大限度地并发执行。还会面临上下文切换、死锁、软硬件的资源限制等问题。 上下文切换 CPU通过给每个线程分配CPU间片来实现多线程并发执行。间片一般几十毫秒,因此CPU通过不停地切换线程执行,让我们感官上觉得多个线程是同执行的。 通过间片分配算法来循环执行任务,当前任务执行一个间片后切到下一间片,但在切换前会保存上一任务的状态,以便下次切回来可以再加载该任务状态。 任务从保存到再加载的过程就
Java编程技巧之单元测试用例编写流程
阿里云云栖号
05-14 4520
简介:立足于“如何来编写单元测试用例”,让大家“有章可循”,快速编写出单元测试用例。 作者 | 常意 来源 | 阿里技术公众号 温馨提示:本文较长,同学们可收藏后再看 :) 前言 清代杰出思想家章学诚有一句名言:“学必求其心得,业必贵其专精。” 意思是:学习上一定要追求心得体会,事业上一定要贵以专注精深。做技术就是这样,一件事如果做到了极致,就必然会有所心得体会。作者最近在一个项目上,追求单元测试覆盖率到极致,所以才有了这篇心得体会。 上一篇文章《Java单元测试技巧之PowerMock》.
Java 序列化中如果有些字段不想进行序列化,怎么办?
最新发布
qq_33240556的博客
01-06 807
方法来控制哪些字段应该被序列化和反序列化。这种方式更加灵活,可以更好地控制序列化和反序列化的过程。另外,你也可以使用自定义序列化器来控制哪些字段应该被序列化。关键字用于指示对象序列化过程中不应包含该字段。在Java中,如果你想要在序列化过程中忽略某些字段,你可以使用。这是因为这些字段不能被序列化,因为它们不是对象的一部分。,它在序列化过程中会被忽略,不会包含在序列化的结果中。这样就可以控制哪些字段应该被序列化和反序列化了。在这个例子中,我们创建了一个自定义的序列化器。
Java序列化排除指定字段
Kawa103的博客
11-28 5771
前提是使用的是Serializable进行序列化和反序列化的   1.使用变量修饰符  transient 这里打印password 的值是为 空的   2.使用关键字 static 第二种这个很容易产生误解,content在输出的候还是有数据的, 反序列化输入的值是  “只是之前的值” ,之后打印的值虽然也是看到 “只是之前的值”,其实这个不是序列化那个的值的 如果不理...
html屏蔽字段,为什么无法过滤掉字段里面的html字符呢?
weixin_29832179的博客
05-31 72
AAA.aspx.cspublic string strvalue(string value, int length){if (value.Length > length){value = value.Substring(0, length);value = value + "...";return NoHTML(value);}else{return NoHTML(value);}}pub...
java column: password (should be mapped with insert=“false“ update=“false“)
然而老干妈早就看穿了一切
07-26 178
@Column(length=255, name = "password") //密码 private String password; @Column(length=255, name = "password") private String uid; 很有可能是你字段重复导致的这种错误
Java Serializable(序列化)的理解和总结
热门推荐
非淡泊无以明志,非宁静无以致远
11-11 8万+
我对Java Serializable(序列化)的理解和总结 博客分类:  Java技术 JavaOSSocketCC++  1、序列化是干什么的?        简单说就是为了保存在内存中的各种对象的状态(也就是实例变量,不是方法),并且可以把保存的对象状态再读出来。虽然你可以用你自己的各种各样的方法来保存object states,但是Java给你提供一种应该比你自己
Serializable序列化(总结)
影魔的专栏
02-26 1120
1.Java序列化 Java序列化提供了一种能力,把对象保存到字节数据或者文件流中 通过发送字节数组或者文件流,在另一个系统或者另一应用里面能很好地恢复该对象 在一些常见的分布式实现,比如RMI实现的分布式系统中,对象的传递就可以很好的利用序列化   (1)必须实现Serializable接口,尽管这个接口没有任何方法要你实现 (2)使用ObjectOutputStream的wri
fastJson 序列化忽略指定字段
xyw10000
09-26 6393
【代码】fastJson 序列化忽略指定字段
Java transient关键字使用小记
weixin_33841503的博客
10-15 675
      哎,虽然自己最熟的是Java,但很多Java基础知识都不知道,比如transient关键字以前都没用到过,所以不知道它的作用是什么,今天做笔试题发现有一题是关于这个的,于是花个间整理下transient关键字的使用,涨下姿势~~~好了,废话不多说,下面开始: 1. transient的作用及使用方法       我们都知道一个对象只要实现了Serilizable接口,这个对象就...
Java对象序列化与反序列化深度解析
本文将深入探讨Java对象序列化和反序列化的核心概念及其在实际开发中的应用。首先,我们回顾了Java中数据流处理的背景,特别提到使用DataOutputStream对对象属性逐个写入和读取的繁琐过程。为了简化这种操作,Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BaymaxCS

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值