序列化与反序列化

1>序列化与反序列化简介

        Java序列化是指把Java对象转换为字节序列的过程；而Java反序列化是指把字节序列恢复为Java对象的过程。

        序列化分为两大部分：序列化和反序列化。序列化是这个过程的第一部分，将数据分解成字节流，以便存储在文件中或在网络上传输。反序列化就是打开字节流并重构对象。对象序列化不仅要将基本数据类型转换成字节表示，有时还要恢复数据。恢复数据要求有恢复数据的对象实例。

2>序列化与反序列化作用

序列化最重要的作用：在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。

反序列化的最重要的作用：根据字节流中保存的对象状态及描述信息，通过反序列化重建对象。

总结：核心作用就是对象状态的保存和重建。（整个过程核心点就是字节流中所保存的对象状态及描述信息）

3>序列化的缺陷

• 无法跨语言
• 易被攻击
• 序列化性能太差
• 序列化后的流太大

4>避免使用序列化

        Java 默认的序列化虽然实现方便，但却存在安全漏洞、不跨语言以及性能差等缺陷，所以最好避免使用Java序列化。

1.通过java类属性禁止序列化。
    使用transient修饰。当然，transient也有他的弊端。首先transient关键字只能修饰属性，不能修饰方法和类。其次，在实现Externalizable接口是，transient修饰的属性依旧会被序列化。（对象的序列化可以通过实现两种接口来实现，若实现的是Serializable接口，则所有的序列化将会自动进行，若实现的是Externalizable接口，则没有任何东西可以自动序列化，需要在writeExternal方法中进行手工指定所要序列化的变量，这与是否被transient修饰无关）。

2.实现自己的readObject()。

   private final void readObject ( ObjectInputStream in ) throws java.io.IOException {
           throw new java.io.IOException ( "Deserialized not allowed" );
    }

3.选取其他序列化框架
    纵观主流序列化框架，FastJson、Protobuf、Kryo 是比较有特点的，而且性能以及安全方面都得到了业界的认可，我们可以结合自身业务来选择一种适合的序列化框架，来优化系统的序列化性能。
    注：只有堆内存会被序列化，所以静态变量不会被序列化。