跟我学(Effective Java 2)第78条:考虑用序列化代理代替序列化实例

第78条:考虑用序列化代理代替序列化实例

正如第74条中提到以及本章中所讨论的,决定实现Serializable,会增加出错和出现安全问题的可能性,因为它导致实例要利用语言之外的机制来创建,而不是用普通的构造器。然而,有一种方法可以极大地减少这些风险。这种方法就是序列化代理模式(serialization proxy pattern)。

序列化代理模式相当简单。首先,为可序列化的类设计一个私有的静态嵌套类,精确地表示外围类的实例的逻辑状态。这个嵌套类被称作序列化代理(serialization proxy),它应该有一个单独的构造器,其参数类型就是那个外围类。这个构造器只从它的参数中复制数据:它不需要进行任何一致性检查或者保护性拷贝。按设计,序列代理的默认序列化形式是外围类最好的序列化形式。外围类及其序列代理都必须声明实现Serializable接口。

 /**
     * 序列化外围类时,调用内部的静态代理类,最后其实是序列化了一个内部的代理类的参数,所以不影响外部类的实例。
     * @return
     */
    private Object writeReplace(){
        return new SerializabtionProxy(this);
    }

正如保护性拷贝方法一样(见第269页),序列化代理方法可以阻止伪字节流的攻击(见第267页)以及内部域的盗用攻击(见第268页)。与前两种方法不同,这种方法允许Period的域为final的,为了确保Period类真正是不可变的(见第15条),这一点很有必要。与前两种方法不同的还有,这种方法不需要太费心思。你不必知道哪些域可能受到狡猾的序列化攻击的威胁,你也不必显式地执行有效性检查,作为反序列化的一部分。

/**
     * 如果攻击者伪造了一个字节码文件,为了确保这种攻击无法得逞,只要外围类的readObject方法直接抛异常即可。
     * @param stream
     * @throws InvalidObjectException
     */
    private void readObject(ObjectInputStream stream) throws InvalidObjectException{
        throw new InvalidObjectException("Proxy required!");
    }

还有一种方法,利用这种方法时,序列化代理模式的功能比保护性拷贝的更加强大。序列化代理模式允许反序列化实例有着与原始序列化实例不同的类。你可能认为这在实际应用中没有什么作用,其实不然。

序列化代理模式有两个局限性。它不能与可以被客户端扩展的类兼容(见第17条)。它也不能与对象图中包含循环的某些类兼容:如果你企图从一个对象的序列化代理的readResolve方法内部调用这个对象中的方法,就会得到一个ClassCastException异常,因为你还没有这个对象,只有它的序列化代理。

最后,序列化代理模式所增强的功能和安全性并不是没有代价的。在我的机器上,通过序列化代理来序列化和反序列化Period实例的开销,比用保护性拷贝进行的开销增加了14%。

总而言之,每当你发现自己必须在一个不能被客户端扩展的类上编写readObject或者writeObject方法的时候,就应该考虑使用序列化代理模式。要想稳健地将带有重要约束条件的对象序列化时,这种模式可能是最容易的方法。

  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值