保护性拷贝
假设类的客户端会尽期所能来破坏这个类的约束条件,因此你必须保护性地设计程序。
——摘自《Effective Java》
示例:
现在考虑下面的类,它声称可以表示一段不可变的时间周期。(周期的起始时间(start)不能在结束时间(end)之后)
// 声称表示一段不可变的时间周期
final class Period {
private final Date start;
private final Date end;
public Period(Date start, Date end) {
// 约束条件:周期的起始时间(start)不能在结束时间(end)之后
if (start.compareTo(end) > 0)
throw new IllegalArgumentException(start + "after" + end);
this.start = start;
this.end = end;
}
public Date getStart() {
return start;
}
public Date getEnd() {
return end;
}
}
乍一看,这个类似乎是不可变的,并且强加了结束条件:周期的起始时间(start)不能在结束时间(end)之后。然而,由于Date类本身是可变的,因此很容易违反了这个约束条件:
public class ProtectiveCopy {
public static void main(String[] args) {
Date start = new Date();
Date end = new Date();
Period p = new Period(start, end);
end.setYear(78); // 引用传递带来的问题,结束时间被修改了,比开始时间还要早。
System.out.println("start:" + p.getStart());
System.out.println("end:" + p.getEnd());
}
}
为了保护Period实例的内部信息避免受到这种攻击,对于构造器的每个可变参数进行保护性拷贝是必要的,并且使用备份对象作为Period实例的组件,而不使用原始的对象:
public Period(Date start, Date end) {
this.start = new Date(start.getTime());
this.end = new Date(end.getTime());
// 约束条件:周期的起始时间(start)不能在结束时间(end)之后
if (start.compareTo(end) > 0)
throw new IllegalArgumentException(start + "after" + end);
}
采用这种方法,上述的问题就不存在了。但问题还没有解决。(注意:我们没有用Date的clone方法来进行保护性拷贝。因为Date是非final的,不能保证clone方法一定返回类为java.util.Date的对象:它有可能返回专门出于恶意的目的而设计的不可信子类的实例)
public class ProtectiveCopy {
public static void main(String[] args) {
Date start = new Date();
Date end = new Date();
Period p = new Period(start, end);
p.getEnd().setYear(78); //由于还是引用传递把private暴露,结束时间被修改了,比开始时间还要早。
System.out.println("start:" + p.getStart());
System.out.println("end:" + p.getEnd());
}
}
为了防御第二种攻击,只需要修改这两个访问方法,使它返回可变内部域的保护性拷贝即可:
public Date getStart() {
return new Date(start.getTime());
}
public Date getEnd() {
return new Date(end.getTime());
}
采用了新的构造器和新的访问方法之后,Period真正是不可变的了。