跟我学（Effective Java 2）第78条:考虑用序列化代理代替序列化实例

第78条:考虑用序列化代理代替序列化实例

正如第74条中提到以及本章中所讨论的，决定实现Serializable，会增加出错和出现安全问题的可能性，因为它导致实例要利用语言之外的机制来创建，而不是用普通的构造器。然而，有一种方法可以极大地减少这些风险。这种方法就是序列化代理模式（serialization proxy pattern）。

序列化代理模式相当简单。首先，为可序列化的类设计一个私有的静态嵌套类，精确地表示外围类的实例的逻辑状态。这个嵌套类被称作序列化代理（serialization proxy），它应该有一个单独的构造器，其参数类型就是那个外围类。这个构造器只从它的参数中复制数据：它不需要进行任何一致性检查或者保护性拷贝。按设计，序列代理的默认序列化形式是外围类最好的序列化形式。外围类及其序列代理都必须声明实现Serializable接口。

 /**
     * 序列化外围类时，调用内部的静态代理类，最后其实是序列化了一个内部的代理类的参数，所以不影响外部类的实例。
     * @return
     */
    private Object writeReplace(){
        return new SerializabtionProxy(this);
    }

正如保护性拷贝方法一样（见第269页），序列化代理方法可以阻止伪字节流的攻击（见第267页）以及内部域的盗用攻击（见第268页）。与前两种方法不同，这种方法允许Period的域为final的，为了确保Period类真正是不可变的（见第15条），这一点很有必要。与前两种方法不同的还有，这种方法不需要太费心思。你不必知道哪些域可能受到狡猾的序列化攻击的威胁，你也不必显式地执行有效性检查，作为反序列化的一部分。

/**
     * 如果攻击者伪造了一个字节码文件，为了确保这种攻击无法得逞，只要外围类的readObject方法直接抛异常即可。
     * @param stream
     * @throws InvalidObjectException
     */
    private void readObject(ObjectInputStream stream) throws InvalidObjectException{
        throw new InvalidObjectException("Proxy required!");
    }

还有一种方法，利用这种方法时，序列化代理模式的功能比保护性拷贝的更加强大。序列化代理模式允许反序列化实例有着与原始序列化实例不同的类。你可能认为这在实际应用中没有什么作用，其实不然。

序列化代理模式有两个局限性。它不能与可以被客户端扩展的类兼容（见第17条）。它也不能与对象图中包含循环的某些类兼容：如果你企图从一个对象的序列化代理的readResolve方法内部调用这个对象中的方法，就会得到一个ClassCastException异常，因为你还没有这个对象，只有它的序列化代理。

最后，序列化代理模式所增强的功能和安全性并不是没有代价的。在我的机器上，通过序列化代理来序列化和反序列化Period实例的开销，比用保护性拷贝进行的开销增加了14%。

总而言之，每当你发现自己必须在一个不能被客户端扩展的类上编写readObject或者writeObject方法的时候，就应该考虑使用序列化代理模式。要想稳健地将带有重要约束条件的对象序列化时，这种模式可能是最容易的方法。