序列化与反序列化
1. 描述
序列化是一种将对象的状态转换为字节流的机制,从而使对象能够被保存到文件中或通过网络进行传输。反序列化则是将字节流重新转换为对象的过程。这两个过程使得对象能够在不同的存储介质或不同的计算机系统之间进行传输和恢复。
2. 使用场景
当我们只在本地 JVM 里运行下Java 实例,这个时候是不需要什么序列化和反序列化的,但当我们需要将内存中的对象持久化到磁盘,数据库中时,或者需要与浏览器进行交互时这个时候就需要序列化和反序列化了。
3. 实现
注意:transient修饰的属性,不会被序列化(不希望被序列化时用transient修饰);静态static修饰的属性,也不会被序列化(因为序列化是针对对象而言的而 static 属性独立于对象存在随着类的加载而加载,所以不会被序列化。)
3.1将java对象序列化与反序列化实现
创建一个Person对象
import java.io.*;
class Person implements Serializable {
private static final long serialVersionUID = 1L;
private String name;
private int age;
public Person(String name, int age) {
this.name = name;
this.age = age;
}
@Override
public String toString() {
return "Person{name='" + name + "', age=" + age + "}";
}
}
serialVersionUID
作用
- 在类定义中显式地声明
serialVersionUID
,可以确保类在修改(如添加或删除字段)后仍然能够与以前的版本兼容。 - 如果类的定义发生变化,但
serialVersionUID
保持不变,反序列化时将尝试加载对象并填充可用字段。 - 如果没有显式声明
serialVersionUID
,编译器将根据类的结构自动生成一个值。这意味着每次编译类时生成的serialVersionUID
可能不同,从而导致不同版本的类不兼容。
将person
对象的状态转换为字节流并写入到名为"ser.bin"的文件中,以实现对象的持久化存储。
package org.example;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.ObjectOutputStream;
public class Ser {
public static void main(String[] args) throws Exception {
Person person = new Person("小红", 19);
//使用FileOutputStream将字节数据输出到名为"ser.bin"的文件中。
//ObjectOutputStream用于将对象序列化为字节流并写入文件中
ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("ser.bin"));
//将person对象的状态(包括名字和年龄)转换为字节流,并将这个字节流写入到"ser.bin"文件中。
objectOutputStream.writeObject(person);
}
}
将其封装为一个方法:
import java.io.FileOutputStream;
import java.io.ObjectOutputStream;
public class Ser {
public static void serializable(String path,Object obj) throws Exception {
ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream(path));
objectOutputStream.writeObject(obj);
}
public static void main(String[] args) throws Exception {
Person person = new Person("小红", 19);
serializable("ser.bin",person);
}
}
将写入的类进行反序列化
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
public class Ser {
public static void main(String[] args) throws Exception {
ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("ser.bin"));
System.out.println(objectInputStream.readObject());
}
}
将反序列化方法封装为一个方法
package org.example;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
public class Ser {
public static Object unserializable(String path) throws Exception {
ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(path));
return objectInputStream.readObject();
}
public static void main(String[] args) throws Exception {
System.out.println(unserializable("ser.bin"));;
}
}
安全问题
如果类中重写readObject方法,则会触发安全问题
package org.example;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.Serializable;
class Person implements Serializable {
private static final long serialVersionUID = 1L;
private String name;
private int age;
public Person(String name, int age) {
this.name = name;
this.age = age;
}
private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
in.defaultReadObject();
Runtime.getRuntime().exec("calc");
}
@Override
public String toString() {
return "Person{name='" + name + "', age=" + age + "}";
}
}