9.Java设计模式-创建型模式-单例模式-反序列化对单例的破坏

已于 2024-01-17 13:47:52 修改
阅读量1k 收藏 15
点赞数 32
分类专栏: Java设计模式-创建型模式 文章标签: 单例模式 java 设计模式
于 2024-01-16 12:42:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Runnin_Athena/article/details/135619614
版权
本文讲述了反序列化如何破坏懒汉式单例模式,通过示例展示了问题的出现以及通过实现readResolve方法来修复。同时,讨论了为何枚举实现的单例模式能自然避免反序列化问题。
摘要由CSDN通过智能技术生成

文章目录

1.反序列化

关于文件,序列化就是将对象数据存储到文件,反序列化就是将文件中存储的对象数据读取出来

下面我将以单例模式-懒汉式-“双重检查锁+volatile“来演示反序列化对单例的破坏

2.实现代码

import java.io.Serializable;

public class Singleton implements Serializable {
    private volatile static Singleton INSTANCE;

    private Singleton() {
    }

    public static Singleton getInstance() {
        if(INSTANCE == null) {
            synchronized (Singleton.class) {
                if(INSTANCE == null) {
                    INSTANCE = new Singleton();
                }
            }
        }
        return INSTANCE;
    }
}

上面是单例模式-懒汉式-“双重检查锁+volatile“的实现代码,没有学过单例模式-懒汉式-“双重检查锁+volatile“的朋友,建议先看完5.Java设计模式-创建型模式-单例模式-懒汉式-“双重检查锁+volatile“实现,这样更利于大家对下面讲解的理解。
注意,我在原来代码的基础上让Singleton实现了Serializable接口,目的就是让Singleton可以进行序列化,如果不实现这个接口,序列化的时候是会报错的。

public class TestDemo {
    public static void main(String[] args) {
        Singleton s1 = Singleton.getInstance();
        Singleton s2 = Singleton.getInstance();
        System.out.println("s1 == s2: " + (s1 == s2)); // s1 == s2: true
    }
}

上面是我们测试的代码,通过Singleton.getInstance()获取到的是同一个对象,没有问题,符合单例的特性。
下面我们要开始搞破坏了呦~

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

public class TestDemo {
    public static void main(String[] args) throws Exception{
        // 序列化对象输出流
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("singleton.obj"));
        oos.writeObject(Singleton.getInstance()); // 将对象写入singleton.obj文件中

        // 序列化对象输入流
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("singleton.obj"));
        Singleton singleton = (Singleton) ois.readObject(); // 从singleton.obj文件中读取对象
        System.out.println(Singleton.getInstance() == singleton); // false
    }
}

上面是破坏单例的实现代码,建议大家先把注释的内容看完,再来看下面的讲解。
根据打印结果为false,我们发现,Singleton.getInstance()singleton不是同一个对象,即单例遭到了破坏,即Singleton的实例不是全局唯一的。
那我们该怎么解决呢?
其实解决这个问题很好办,我们往下看。

在这里插入图片描述

在实现Serializable接口的基础上了,我又加了一个如上图所示的readResolve方法。
加了这个方法后,我们再来测试,大家也可以测试一下,会发出打印的结果为true了。
为什么加了这个方法就能解决反序列化对单例的破坏呢?
我们来看一下这个readResolve方法的作用:防止反序列化破坏单例,由于程序在反序列化时,也就是执行ois.readObject方法时(这个方法在我们搞破坏时执行过),在源码内会判断是否有readResolve方法,如果有,则会调用该方法获取实例,如果没有,则会获取反射创建的实例。

3.总结

大家可以就单例模式-饿汉式单例模式-懒汉式-“synchronized加锁“实现单例模式-静态内部类,自己来实现一下如何避免反序列化对单例的破坏,其实不难,只要实现readResolve方法并且在这个方法内编写返回单例对象的代码即可。
最后的问题:为什么用枚举实现单例直接就能避免反序列化对单例的破坏呢?
答案:枚举常量在序列化时只序列化枚举常量的名称(不是序列化对象的数据),反序列化时根据枚举常量的名称来获取内存中对应的实例对象,所以反序列化无法破坏用枚举实现的单例

Bigger K
关注
  • 32
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java单例模式-反射和反序列化漏洞和解决方案
Roc_Li
06-16 694
问题: 反射可以破解单例模式的实现(不包含枚举单例模式) (可以在构造方法中手动抛出异常控制) 反序列也可以破解单例模式的实现(不包含枚举单例模式) (可以通过定义readResolve()防止获得不同对象 -反序列化时,如果对象所在类定义了readResolve(),实际时一种回调,定义返回哪个对象) 反射破解单例-懒汉式为例 public static void main(String[]...
Java中的单例模式反序列化解决方案
SeanMiao
08-11 908
一、readResolve()法 首先构造一个可序列化的单例模式类 public class User implements Serializable { private static final User instance=new User(); public String name; public int age; private User()...
Java单例模式(解决反射攻击,反序列化攻击)
weixin_45679480的博客
11-27 615
单例模式 什么是单例模式 单例模式就是确保类的实例对象只能有一个,类本身要实例化好这个对象提供给其他所有的类访问。单例模式就是为了避免状态不一致。 单例模式特定 单例类只能有一个实例。 单例类必须自己创建自己的唯一实例。 单例类必须给所有其他对象提供这一实例。 单例模式四大原则 1、构造私有 2、以静态方法或者枚举返回实例 3、确保实例只有一个,尤其是多线程环境 4、确保反序列换时不会重新构建对象 实现单例模式的方式 饿汉式(立即加载) 就是在类加载是就创建一个静态对象私有的对象实例,来提供给外部使用,除非
Java设计模式(一):单例模式,防止反射和反序列化漏洞
Happy in Code
05-22 8411
一、懒汉式单例模式,解决反射和反序列化漏洞 package com.iter.devbox.singleton; import java.io.ObjectStreamException; import java.io.Serializable; /** * 懒汉式(如何防止反射和反序列化漏洞) * @author Shearer * */ public class Singleto
单例模式之序列化与反序列化实现
anLA_的专栏
04-16 2220
静态内部类可以达到线程安全问题,但是如果遇到序列化对象时,使用默认的方式运行得到的结果 坑你还是多例的。 package test; import java.io.ObjectStreamException; import java.io.Serializable; public class MyObject implements Serializable { private stat
设计模式-单例模式
04-05
单例模式是一种广泛应用于软件设计中的创建型设计模式,它的核心思想是确保一个类只有一个实例,并提供一个全局访问点。这样做的好处在于控制共享资源的访问,比如线程安全的数据库连接池或者配置管理等。 在Java中...
设计模式1-创建型模式.doc
04-30
单例模式有多种实现方式,包括懒汉式(线程不安全)、饿汉式(线程安全)、双重检查锁定(DCL,线程安全,优化了懒汉式)以及使用枚举实现单例Java中推荐的方式,线程安全,防止反序列化破坏单例)。 **四、建造...
Java设计模式】你对单例模式了解多少,一文深入探究
01-20
目录单例模式懒汉式单例模式未初始化问题解决Double Check 双重检查方案一:不让第二步和第三步重排序-DoubleCheck方案二:基于类初始化-静态内部类饿汉式饿汉式与懒汉式最大区别序列化破坏单例模式原理枚举单例基于...
设计模式】(四)–创建型模式单例模式
12-21
单例模式是一种设计模式,它的主要目标是确保一个类在整个应用程序中只有一个实例,并提供一个全局访问点。这种模式常用于管理共享资源,如数据库连接、配置信息或日志对象等。 单例模式有两种常见的实现方式:饿汉...
设计模式的工厂模式,单例模式
03-14
**工厂模式**是一种创建型设计模式,它提供了一种创建对象的最佳方式。在工厂模式中,当客户端需要创建一个对象时,而不是直接创建,它会请求一个工厂对象来创建。这样做的好处在于,客户端无需知道具体的产品类名,...
设计模式单例模式
最新发布
彬的博客
07-11 155
确保一个类只有一个实例,并且自行实例化并向整个系统提供这个实例 单例模式的主要作用是确保一个类只有一个实例存在 使用场景: ● 作为序列号生成器 ● Web页面的计数器,避免每次刷新都在数据库中增加技术,先缓存起来 ● 创建消耗资源过多的对象,如I/O与数据库连接等 单例模式存在7种实现方法 主要分为饿汉式和懒汉式 饿汉式:类加载就会导致该单实例对象被创建 懒汉式:类加载不会导致该单实例对象被创建,而是首次使用该对象时才会创建
设计模式单例模式
weixin_44318762的博客
07-08 372
在实际应用中,根据具体的需求和性能要求选择合适的单例模式实现。饿汉模式适合于实例初始化开销较小且始终会被使用的情况,而懒汉模式则适用于实例初始化开销较大或可能不被使用的情况。单例模式是一种常用的设计模式,它确保一个类只有一个实例,并提供了一个全局访问点。在C++中,实现单例模式可以采用饿汉模式或懒汉模式,每种模式都有其适用的场景和特点。在饿汉模式中,单例实例在程序启动时就被创建,无论之后是否会被用到。懒汉模式下,单例实例在首次被请求时才被创建。
单例模式(大话设计模式)C/C++版本
m0_47104421的博客
07-08 263
【代码】单例模式(大话设计模式)C/C++版本。
简谈设计模式单例模式
Yonagi的博客
07-08 1307
上一篇博客已经介绍了设计模式及其设计原则, 在这篇博客中笔者会介绍一下单例模式, 也是最简单的一种设计模式
c++单例模式的一种写法
hu626626的博客
07-05 372
c++单例模式
单例模式之静态内部类与枚举类
小辉的编程学习记录
07-07 464
推荐使用创建单例模式有:双重检查锁,静态内部类,枚举类。如果确保对象一定会被使用,那么使用饿汉式的创建方式也可以。
单例模式之懒汉式
小辉的编程学习记录
07-06 846
是的,但是也出现了线程不安全的问题,比如有多个线程进入 if (singleton == null) 那么是不是会有多个线程进行创建对象。虽然解决了线程安全问题,但是性能太差了,每一次调用实例都需要进入同步方法,其实我们创建实例的时候保持同步就可以了。我们只需要在加锁的代码块中再进行一次空判断,就可以很好的解决并发问题了,当一个线程进入的时候,先判断是否为空,为空才创建对象,不为空直接返回。懒汉式是符合懒加载的模式,但是会存在线程并发的问题发生,所以还需要一种解决线程并发的机制,比如:加锁等。
Java学习笔记整理: 关于设计模式:单例模式 2024/7/10;
gzx233的博客
07-10 827
关于java单例模式中饿汉式和懒汉式的理解
序列化和反序列化破坏单例设计模式
09-02
序列化和反序列化可以破坏单例设计模式的安全性。当一个单例类被序列化后,然后再进行反序列化,会创建出一个新的实例,从而破坏单例的特性。这是因为序列化和反序列化过程中会创建一个新的对象,并不会调用类的构造函数来初始化新对象。因此,即使单例类被序列化和反序列化,也不能保证只有一个实例存在。 为了解决这个问题,可以在单例类中添加一个readResolve方法,并在该方法中返回单例实例。这样,在反序列化时,就可以通过readResolve方法返回已存在的单例实例,而不是创建一个新的实例。通过这种方式,可以确保单例模式的安全性,避免了序列化和反序列化破坏单例的问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [深入浅出单例模式与反射与序列化对单例破坏](https://blog.csdn.net/weixin_43975523/article/details/103140654)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [设计模式|序列化、反序列化单例破坏、原因分析、解决方案及解析](https://blog.csdn.net/leo187/article/details/104332138)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值