第77条:对于实例控制,枚举类型优先于readResolve
在第3条中提到的,如果这个类的声明中加上了"implements Serializable"的字样,它就不再是一个Singleton。无论该类使用了默认的序列化形式,还是自定义的序列化形式(见第75条),都没有关系;也跟它是否提供了显式的readObject方法(见第76条)无关。任何一个readObject方法,不管是显式的还是默认的,它都会返回一个新建的实例,这个新建的实例不同于该类初始化时创建的实例。
该方法忽略了被反序列化的对象,只返回该类初始化时创建的那个特殊的Elvis实例。因此,Elvis实例的序列化形式并不需要包含任何实际的数据;所有的实例域都应该被声明为transient的。事实上,如果依赖readResolve进行实例控制,带有对象引用类型的所有实例域则都必须声明为transient的。否则,那种破釜沉舟式的攻击者,就有可能在readResolve方法被运行之前,保护指向反序列化对象的引用,采用的方法类似于在第76条中提到过的MutablePeriod攻击。
你将一个可序列化的实例受控的类编写成枚举,就可以绝对保证除了所声明的常量之外,不会有别的实例。JVM对此提供了保障,这一点你可以确信无疑。从你这方面来讲,并不需要特别注意什么。
用readResolve进行实例控制并不过时。如果必须编写可序列化的实例受控的类,它的实例在编译时还不知道,你就无法将类表示成一个枚举类型。
readResolve的可访问性(accessibility)很重要。如果把readResolve方法放在一个final类上,它就应该是私有的。如果把readResolver方法放在一个非final的类上,就必须认真考虑它的可访问性。如果它是私有的,就不适用于任何子类。如果它是包级私有的,就只适用于同一个包中的子类。如果它是受保护的或者公有的,就适用
于所有没有覆盖它的子类。如果readResolve方法是受保护的或者公有的,并且子类没有覆盖它,对序列化过的子类实例进行反序列化,就会产生一个超类实例,这样有可能导致ClassCastException异常。
总而言之,你应该尽可能地使用枚举类型来实施实例控制的约束条件。如果做不到,同时又需要一个既可序列化又是实例受控的类,就必须提供一个readResolver方法,并确保该类的所有实例域都为基本类型,或者是瞬时的。
317
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
