序列化是干啥用的?
- 序列化:把Java对象转换为字节序列。
- 反序列化::把字节序列恢复为原先的Java对象。
@Data
@Builder
public class Student implements Serializable {
private String name;
private Integer age;
private Integer score;
}
package com.lsh.util;
import com.lsh.model.Student;
import java.io.*;
/**
* @author :LiuShihao
* @date :Created in 2020/12/15 5:55 下午
* @desc :
*/
public class SerializableUtil {
public static void main(String[] args) throws Exception {
serializ();
deserializ();
}
public static void serializ() throws IOException {
// 创建Student对象 这里使用了 lombok 中的建造者模式构建对象
Student student = Student.builder().name("LiuShihao").age(18).score(100).build();
ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream(new File("student.txt")));
objectOutputStream.writeObject(student);
objectOutputStream.close();
System.out.println("序列化成功! 已生成student.txt文件");
}
public static void deserializ() throws IOException, ClassNotFoundException {
ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(new File("student.txt")));
Student student = (Student) objectInputStream.readObject();
System.out.println("==================================");
System.out.println("反序列化结果:");
System.out.println(student);
}
}
注意:
序列化的txt文件打开是为乱码:
因为乱码才是正常的,序列化和反序列话是基于二进制流的,这个二进制流不受制于任何字符编码格式
序列化是把Student对象的信息以二进制存储在文件obj.bat中,不是以特定的字符编码格式输出的
用文本编辑器打开自然是乱码。只有通过反序列话才能将存储的二进制读取出来,然后显示在控制台上。
实现Serializable接口
点进这个接口发现这是一个空接口。
serialVersionUID号有什么用?
第一个问题:
序列化ID,可以看成是序列化和反序列化过程中的“暗号”,在反序列化时,JVM会把字节流中的序列号ID和被序列化类中的序列号ID做比对,只有两者一致,才能重新反序列化,否则就会报异常来终止反序列化的过程。
第二个问题:
如果在定义一个可序列化的类时,没有人为显式地给它定义一个serialVersionUID的话,则Java运行时环境会根据该类的各方面信息自动地为它生成一个默认的serialVersionUID,一旦更改了类的结构或者信息,则类的serialVersionUID也会跟着变化!
所以,为了serialVersionUID的确定性,写代码时还是建议,凡是implements Serializable的类,都最好人为显式地为它声明一个serialVersionUID明确值!
当然,如果不想手动赋值,你也可以借助IDE的自动添加功能。
使用IntelliJ IDEA自动生成serialVersionUID:
两种特殊情况
对于第一点,因为序列化保存的是对象的状态而非类的状态,所以会忽略static静态域也是理所应当的。
对于第二点,就需要了解一下transient修饰符的作用了。如果在序列化某个类的对象时,就是不希望某个字段被序列化(比如这个字段存放的是隐私值,如:密码等),那这时就可以用transient修饰符来修饰该字段。
比如在之前定义的Student类中,加入一个密码字段,但是不希望序列化到txt文本,则可以:
序列化的受控和加强
束性加持
从上面的过程可以看出,序列化和反序列化的过程其实是有漏洞的,因为从序列化到反序列化是有中间过程的,如果被别人拿到了中间字节流,然后加以伪造或者篡改,那反序列化出来的对象就会有一定风险了,毕竟反序列化也相当于一种“隐式的”对象构造,因此我们希望在反序列化时,进行受控的对象反序列化动作。那怎么个受控法呢?
笞案就是:自行编写 readobject()函数,用于对象的反序列化构造,从而提供约束性。既然自行编写 readobject()函数,那就可以做很多可控的事情:比如各种判断工作。还以上面的 Student:类为例,一般来说学生的成绩应该在0-100之间,我们为了防止学生的考试成绩在反序列化时被别人簒改成一个奇葩值,我们可以自行编写 readobject()函数用于反序列化的控制
单例模式增强