Serializable:序列化代理

最新推荐文章于 2021-08-15 16:13:34 发布
最新推荐文章于 2021-08-15 16:13:34 发布
阅读量972 收藏
点赞数
分类专栏: java 文章标签: 序列化代理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/BlackCutter/article/details/46803221
版权

序列化代理简单来说,A有序列化的需求,但是不直接序列化A,而是序列化一个A的代理对象B,我们可以将A的信息保存在B中,在反序列化时,再通过B得到A的信息,实例化一个A对象
为什么这么费劲呢?因为反序列化是java机制之外的东西,不通过构造方法生成实例,这样有机会被入侵(具体说不上,就是有可能被黑的意思吧),采用序列化代理可以有效的避免通过反序列化来生成实例,所有的实例都通过构造函数来生成,这样就可以保证所有的实例都遵守构造函数的约束。
具体实现呢 通过例子来说吧:

public class Dog implements Serializable
{
    /**
     * 
     */
    private static final long serialVersionUID = 2599175554577989702L;


    private String name;
    private int age;

    Dog(String name,int age)
    {
        this.name = name;
        this.age = age;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        this.age = age;
    }

    private static class SerializationProxy implements Serializable
    {

        /**
         * 
         */
        private static final long serialVersionUID = -1792022185138959673L;

        private String name;
        private int age;

        SerializationProxy(Dog dog)
        {
            this.name = dog.name;
            this.age = dog.age;
        }



        private Object readResolve()
        {
            return new Dog(name,age);
        }

        private void writeObject(ObjectOutputStream out) throws IOException
        {
            out.defaultWriteObject();
            System.out.println("项");
        }

        private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException
        {
            in.defaultReadObject();
            System.out.println("羽");
        }
    }

    private Object writeReplace()
    {
        return new SerializationProxy(this);
    }

    private void readObject(ObjectInputStream in) throws Exception
    {
        throw new Exception("proxy required");
    }
}

定义了一个内部类,SerializationProxy 作为Dog 的序列化代理
如果试图序列化一个Dog,由于Dog中定义了

private Object writeReplace()
{
    return new SerializationProxy(this);
}

则实际会序列化一个Dog的序列化代理,而这个序列化代理是通过Dog对象来构造的(保存了Dog的信息),上节说到,之后的过程都会依赖实际被序列化类的序列化实现,也就是会依赖于Dog序列化代理的序列化实现,反序列化Dog序列化代理时由于

private Object readResolve()
{
    return new Dog(name,age);
}

实际会返回一个Dog对象,这样原来保存的Dog信息又回来了,而且新的Dog实例是通过构造方法生成的。

如何使用呢,其实完全看不出来,正常用就行了

@Test
    public void testOut03() throws FileNotFoundException, IOException
    {
        Dog d = new Dog("小白",2);
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("D:\\temp01.txt"));
        out.writeObject(d);
        out.flush();
        out.close();
    }

    @Test
    public void testIn03() throws FileNotFoundException, IOException, ClassNotFoundException
    {
        ObjectInputStream in = new ObjectInputStream(new FileInputStream("D:\\temp01.txt"));
        Dog d = (Dog)in.readObject();
        in.close();
        System.out.println(d.getAge());
        System.out.println(d.getName());
    }
}

用法呢其实都是相同的,关键是序列化类wirteObject和readObject的实现。

Effective Java:考虑用序列化代理代替序列化实例
xujiajun945的博客
11-19 320
考虑用序列化代理代替序列化实例 前提:使用Serializable接口会增加出错和出现安全问题的可能性(因为他导致实例要利用语言之外的机制来创建,而不是普通的构造器) 解决方案:使用序列化代理模式 为可序列化的类设计一个私有的静态嵌套类,精确的表示外围类的实例的逻辑状态,这个嵌套类就是序列化代理 嵌套类具有一个单独的构造器,参数类型就是外围类,这个构造器只从它的参数中复制数据(不进行一致性检查和...
Serializable序列化工作原理/代码实现
最新发布
m0_71524094的博客
03-11 519
通常我们使用Java序列化与反序列化时,只需要将类实现Serializable接口即可,剩下的事情就交给了jdk。今天我们就来探究一下,Java序列化是怎么实现的,然后探讨一下几个常见的集合类,他们是如何处理序列化带来的问题的。
Serializable接口基本理解(3)--序列化代理的使用
DrifterJ's Stash
07-30 2448
Effective Java一书一直在强调,你的类实现Serializable接口前,一定要进行价值评估,是否值得这么做,尤其你的类是一个需要进行大量继承扩展的类。因为实现了Serializable接口,就会大大的增加出错和出现安全漏洞的可能性。蓄意攻击者可以通过伪造修改字节码的方式使你的代码出现安全漏洞!从一个角度看, readObject方法是一个参数为“字节流”的构造函数,因此篡改了字节流,
序列化代理模式
最佳 Java 编程
05-27 186
在上一篇文章中 ,我谈到了一般的序列化。 这是更加集中的内容,并提供了一个细节: 序列化代理模式 。 这是处理序列化许多问题的一种好方法,通常是最好的方法。 如果开发人员只想了解有关该主题的一件事,我会告诉他。 总览 这篇文章的重点是在给出两个简短的例子之前,先介绍模式的详细定义,最后讨论其优缺点。 据我所知,该模式首先在约书亚·布洛赫(Joshua Bloch)的绝妙著作《 有效的...
Effective Java之考虑用序列化代理代理序列化实例(七十八)
heihei
01-09 462
我们知道,实现了序列化的类。在反序列化时,实例的创建是由readObject方法来完成的。由于这是一个不同于构造函数的创建类实例的通道,因此在构造函数中的状态约束条件在readObjetc中也得一条不落下的实现。这很让人头大。 而且readObject的出现,让伪字节流攻击和内部域的盗用攻击成为可能。伪字节流攻击就是伪造一个字节流,通过readObject读取,内部域的盗用攻击是指用一个
Java RMI深入解析:序列化与对象传输
为了实现这一点,RMI系统会使用序列化来创建服务器端的一个代理(或存根),这个存根可以模拟客户端对象的行为,接收方法调用并将其转化为网络消息。 存根并不直接访问对象的字段,而是模拟方法调用,将参数打包...
C#入门:序列化详解与.NET平台介绍
代理服务器也可能利用序列化来缓存和转发请求,因为序列化的数据可以轻松地在网络中移动。 在C#中,你可以通过实现ISerializable接口或者使用[Serializable]特性来标记一个类为可序列化的。然后,可以使用...
Java对象的序列化与反序列化Java开发Java经验技巧
11-22
- **序列化代理模式**:对于复杂的对象结构,可以考虑使用序列化代理模式,创建一个简单的代理类进行序列化和反序列化操作。 6. **安全性**: - **反序列化攻击**:恶意用户可能会构造特殊的数据流,导致反序列化...
java IO流之对象流ObjectInputStream ObjectInputStream 自定义类 Serializable 序列化与反序列化
SKPrimin的博客
08-15 782
java IO流之对象流ObjectInputStream ObjectInputStream 对象流:用于存储和读取基本数据类型数据或对象的处理流。 它的强大之处就是可以把Java中的对象写入到数据源中,也能把对象从数据源中还原回来。 序列化和反序列化: ObjectOutputStream 类 : 把内存中的Java对象转换成平台无关的二进制数据,从而允许把这种二进制数据持久地保存在磁盘上,或通过网络将这种二进制数据传输到另一个网络节点。序列化 ObjectInputStream类 : 当其它
Java 序列化代理模式
chenxuanhanhao的专栏
02-06 420
package effectivejava.chapter12.item90; import java.io.*; /** * https://blog.csdn.net/Lirx_Tech/article/details/51303966 * [疯狂Java]I/O:其它自定义序列化的方法(transient、writeReplace、readResolve、Externalizabl...
serialization proxy pattern(序列化代理模式)
alterhz的博客
04-22 303
import java.io.InvalidObjectException; import java.io.ObjectInputStream; import java.io.Serializable; /** * 序列化代理模式 * <p>序列化时,调用 {@link User#writeReplace} 方法,创建并序列化代理对象。不是序列化的{@link User}对象。</p> * <p>反序列化时,实际是用的{@link User.Serializa
Java - 动态代理对象序列化
陆氪和他的那些代码
05-28 1042
Proxy 对象是不能序列化的,就算能序列化也不能反序列化,因为proxy对象的类是动态生成出来的,序列化后,反序列化时目标JVM肯定没有加载过这个代理类。 有个变通的方法,就是获取到对象本身,序列化;反序列化后获取到原对象,再重新用代理包装即可获得反序列化后的代理对象了。不知道是否贴题。下面有个例子,虽然没有序列化和反序列化,但是基本实现了获取对象本身这个功能,希望能帮到你。 另外Groovy对象也是Java对象,应该仍然保持Groovy对象本身(个人理解,Groovy我也是略懂皮毛),Spring应
第90项:考虑用序列化代理代替序列化实例
Coloured_Glaze的博客
09-08 397
  正如第85项和第86项中提到以及本章中所讨论的,决定实现Serializable接口,会增加bug和出现安全问题的可能性,因为它导致实例要利用语言之外的机制来创建,而不是用普通的构造器。然而,有一种方法可以极大地减少这些风险。这种方法就是序列化代理模式(serialization proxy pattern)。   序列化代理模式相当简单。首先,为可序列化的类设计一个私有的静态嵌套类,精确地表...
【重回基础】序列化序列化攻击与序列化代理
Patrick_Lam的博客
08-23 333
文章目录一、what、why、how 序列化二、JDK 序列化并不简单三、序列化攻击四、序列化代理模式参考 一、what、why、how 序列化 **什么是序列化?**简单讲就是将对象按照序列化协议编码成字节流,相反的过程就称为反序列化。譬如我们常见的JSON序列化: public class A { private int x = 1; private String y = "2...
【笔记90】考虑用序列化代理代替序列化实例
u013773608的博客
09-14 256
  决定实现 Serializable 接口,会增加出错和出现安全问题的可能性,因为它允许利用语言之外的机制来创建实例,而不是使用普通的构造器。然而,有一只方法可以极大的减少这些风险。就是序列化代理模式(seralization proxy pattern)。   序列化代理模式相当简单。首先,为可序列化的类设计一个私有的静态嵌套类,精确地表示外围类的逻辑状态。这个嵌套类被称为序列化代理(ser...
C#中Serializable的关键作用与对象序列化详解
`SurrogateSelector`是一个选择器类,它可以根据需要选择不同的序列化代理(Surrogate)来处理特定类型的对象。如果某个类型的对象不是直接可序列化的, SurrogateSelector可以根据指定的规则(如类型映射或序列化上...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值