9.Java设计模式-创建型模式-单例模式-反序列化对单例的破坏

已于 2024-01-17 13:47:52 修改
阅读量1k 收藏 15
点赞数 32
分类专栏: Java设计模式-创建型模式 文章标签: 单例模式 java 设计模式
于 2024-01-16 12:42:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Runnin_Athena/article/details/135619614
版权
本文讲述了反序列化如何破坏懒汉式单例模式,通过示例展示了问题的出现以及通过实现readResolve方法来修复。同时,讨论了为何枚举实现的单例模式能自然避免反序列化问题。
摘要由CSDN通过智能技术生成

文章目录

1.反序列化

关于文件,序列化就是将对象数据存储到文件,反序列化就是将文件中存储的对象数据读取出来

下面我将以单例模式-懒汉式-“双重检查锁+volatile“来演示反序列化对单例的破坏

2.实现代码

import java.io.Serializable;

public class Singleton implements Serializable {
    private volatile static Singleton INSTANCE;

    private Singleton() {
    }

    public static Singleton getInstance() {
        if(INSTANCE == null) {
            synchronized (Singleton.class) {
                if(INSTANCE == null) {
                    INSTANCE = new Singleton();
                }
            }
        }
        return INSTANCE;
    }
}

上面是单例模式-懒汉式-“双重检查锁+volatile“的实现代码,没有学过单例模式-懒汉式-“双重检查锁+volatile“的朋友,建议先看完5.Java设计模式-创建型模式-单例模式-懒汉式-“双重检查锁+volatile“实现,这样更利于大家对下面讲解的理解。
注意,我在原来代码的基础上让Singleton实现了Serializable接口,目的就是让Singleton可以进行序列化,如果不实现这个接口,序列化的时候是会报错的。

public class TestDemo {
    public static void main(String[] args) {
        Singleton s1 = Singleton.getInstance();
        Singleton s2 = Singleton.getInstance();
        System.out.println("s1 == s2: " + (s1 == s2)); // s1 == s2: true
    }
}

上面是我们测试的代码,通过Singleton.getInstance()获取到的是同一个对象,没有问题,符合单例的特性。
下面我们要开始搞破坏了呦~

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

public class TestDemo {
    public static void main(String[] args) throws Exception{
        // 序列化对象输出流
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("singleton.obj"));
        oos.writeObject(Singleton.getInstance()); // 将对象写入singleton.obj文件中

        // 序列化对象输入流
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("singleton.obj"));
        Singleton singleton = (Singleton) ois.readObject(); // 从singleton.obj文件中读取对象
        System.out.println(Singleton.getInstance() == singleton); // false
    }
}

上面是破坏单例的实现代码,建议大家先把注释的内容看完,再来看下面的讲解。
根据打印结果为false,我们发现,Singleton.getInstance()singleton不是同一个对象,即单例遭到了破坏,即Singleton的实例不是全局唯一的。
那我们该怎么解决呢?
其实解决这个问题很好办,我们往下看。

在这里插入图片描述

在实现Serializable接口的基础上了,我又加了一个如上图所示的readResolve方法。
加了这个方法后,我们再来测试,大家也可以测试一下,会发出打印的结果为true了。
为什么加了这个方法就能解决反序列化对单例的破坏呢?
我们来看一下这个readResolve方法的作用:防止反序列化破坏单例,由于程序在反序列化时,也就是执行ois.readObject方法时(这个方法在我们搞破坏时执行过),在源码内会判断是否有readResolve方法,如果有,则会调用该方法获取实例,如果没有,则会获取反射创建的实例。

3.总结

大家可以就单例模式-饿汉式单例模式-懒汉式-“synchronized加锁“实现单例模式-静态内部类,自己来实现一下如何避免反序列化对单例的破坏,其实不难,只要实现readResolve方法并且在这个方法内编写返回单例对象的代码即可。
最后的问题:为什么用枚举实现单例直接就能避免反序列化对单例的破坏呢?
答案:枚举常量在序列化时只序列化枚举常量的名称(不是序列化对象的数据),反序列化时根据枚举常量的名称来获取内存中对应的实例对象,所以反序列化无法破坏用枚举实现的单例

Bigger K
关注
  • 32
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Java单例模式-反射和反序列化漏洞和解决方案
Roc_Li
06-16 694
问题: 反射可以破解单例模式的实现(不包含枚举单例模式) (可以在构造方法中手动抛出异常控制) 反序列也可以破解单例模式的实现(不包含枚举单例模式) (可以通过定义readResolve()防止获得不同对象 -反序列化时,如果对象所在类定义了readResolve(),实际时一种回调,定义返回哪个对象) 反射破解单例-懒汉式为例 public static void main(String[]...
Java中的单例模式反序列化解决方案
SeanMiao
08-11 909
一、readResolve()法 首先构造一个可序列化的单例模式类 public class User implements Serializable { private static final User instance=new User(); public String name; public int age; private User()...
Java单例模式(解决反射攻击,反序列化攻击)
weixin_45679480的博客
11-27 615
单例模式 什么是单例模式 单例模式就是确保类的实例对象只能有一个,类本身要实例化好这个对象提供给其他所有的类访问。单例模式就是为了避免状态不一致。 单例模式特定 单例类只能有一个实例。 单例类必须自己创建自己的唯一实例。 单例类必须给所有其他对象提供这一实例。 单例模式四大原则 1、构造私有 2、以静态方法或者枚举返回实例 3、确保实例只有一个,尤其是多线程环境 4、确保反序列换时不会重新构建对象 实现单例模式的方式 饿汉式(立即加载) 就是在类加载是就创建一个静态对象私有的对象实例,来提供给外部使用,除非
Java设计模式(一):单例模式,防止反射和反序列化漏洞
Happy in Code
05-22 8412
一、懒汉式单例模式,解决反射和反序列化漏洞 package com.iter.devbox.singleton; import java.io.ObjectStreamException; import java.io.Serializable; /** * 懒汉式(如何防止反射和反序列化漏洞) * @author Shearer * */ public class Singleto
单例模式之序列化与反序列化实现
anLA_的专栏
04-16 2220
静态内部类可以达到线程安全问题,但是如果遇到序列化对象时,使用默认的方式运行得到的结果 坑你还是多例的。 package test; import java.io.ObjectStreamException; import java.io.Serializable; public class MyObject implements Serializable { private stat
设计模式-单例模式
04-05
单例模式是一种广泛应用于软件设计中的创建型设计模式,它的核心思想是确保一个类只有一个实例,并提供一个全局访问点。这样做的好处在于控制共享资源的访问,比如线程安全的数据库连接池或者配置管理等。 在Java中...
设计模式1-创建型模式.doc
04-30
单例模式有多种实现方式,包括懒汉式(线程不安全)、饿汉式(线程安全)、双重检查锁定(DCL,线程安全,优化了懒汉式)以及使用枚举实现单例Java中推荐的方式,线程安全,防止反序列化破坏单例)。 **四、建造...
Java设计模式】你对单例模式了解多少,一文深入探究
01-20
目录单例模式懒汉式单例模式未初始化问题解决Double Check 双重检查方案一:不让第二步和第三步重排序-DoubleCheck方案二:基于类初始化-静态内部类饿汉式饿汉式与懒汉式最大区别序列化破坏单例模式原理枚举单例基于...
设计模式】(四)–创建型模式单例模式
12-21
单例模式是一种设计模式,它的主要目标是确保一个类在整个应用程序中只有一个实例,并提供一个全局访问点。这种模式常用于管理共享资源,如数据库连接、配置信息或日志对象等。 单例模式有两种常见的实现方式:饿汉...
设计模式的工厂模式,单例模式
03-14
**工厂模式**是一种创建型设计模式,它提供了一种创建对象的最佳方式。在工厂模式中,当客户端需要创建一个对象时,而不是直接创建,它会请求一个工厂对象来创建。这样做的好处在于,客户端无需知道具体的产品类名,...
Java 实现单例模式的几种方法
lt5227的博客
07-18 586
单例模式是一种常用的软件设计模式,其目的是确保一个类在任何情况下只有一个实例,并提供一个全局访问点供外部获取这个唯一的实例。这种模式特别适用于那些具有全局状态的场合,如配置管理器、线程池、缓存、对话管理等。
Java二十三种设计模式-单例模式(1/23)
探索IT世界
07-14 1228
单例模式是一种常用的软件设计模式,其核心思想是确保一个类在任何情况下都只有一个实例,并且提供一个全局访问点来获取这个唯一的实例。这种模式在需要全局状态信息或者需要频繁创建和销毁实例会导致资源浪费的情况下非常有用。
单例模式 单例模式在多线程中是否线程安全, 如何保证线程安全。
dfghhhjj的博客
07-15 556
顾名思义就是在整个运行时域,一个类只有一个实例对象。
c++单例模式
m0_55138981的博客
07-15 152
(线程不安全):在第一次使用时实例化对象。基本的懒汉式实现并不支持多线程环境,因为在多线程环境下可能会创建多个实例。饿汉式单例模式由于其实现简单且线程安全(实例在程序启动时被创建),是实际应用中较为常见的选择。:主要是确保一个类仅有一个实例,并提供一个全局访问点来获取这个实例。常见的有懒汉式和饿汉式。:在程序启动时即创建实例,因此不存在多线程访问时创建多个实例的问题。
如何用 Java 实现一个简单的单例模式,怎么处理线程安全问题?
liangzai215的专栏
07-13 664
单例模式设计模式中的一种,它的核心思想是确保一个类在整个应用程序中只存在一个实例,并提供一个全局访问点来获取这个实例。这在需要控制资源访问、节省系统开销或者协调共享状态的场景下特别有用,比如配置管理器、线程池和数据库连接池等。
一、单例模式
最新发布
qq_61350148的博客
07-18 420
讲解了单例模式的 六种实现、一种线程不安全的实现 和 JDK中的单例模式
设计模式--单例模式
weixin_46520767的博客
07-14 1189
单例模式(Singleton Pattern)是 Java 中最简单的设计模式之一,此模式保证某个类在运行期间,只有一个实例对外提供服务,而这个类被称为单例类。
单例模式~
WYZFJHH的博客
07-18 160
确保一个类只有一个实例,并提供一个全局访问点来访问该实例。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值