Java序列化与反序列化

最新推荐文章于 2023-12-20 13:49:03 发布
最新推荐文章于 2023-12-20 13:49:03 发布
阅读量326 收藏 2
点赞数
分类专栏: Java 文章标签: 序列化 反序列化 serialize deserialize kryo
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/XlxfyzsFdblj/article/details/84673150
版权
什么是序列化

内容主要参考 https://blog.csdn.net/xlgen157387/article/details/79840134
Java的序列化(Object serialization)机制,就是将对象编码成一个字节流(序列化serialization),以及从字节流编码中重新构建对象(反序列化deserialization)的过程。一旦将对象序列化后,一方面可以将其持久化到磁盘上,供以后反序列化使用;另一方面在分布式环境中经常将对象从这一端网络传递到另一端,需要一种在两端传输数据的协议,而java序列化机制就提供了这种协议的实现。

  • 序列化
    对象序列化的最主要的用处就是在传递和保存对象的时候,保证对象的完整性和可传递性。序列化是把对象转换成有序字节流,以便在网络上传输或者保存在本地文件中。序列化后的字节流保存了Java对象的状态以及相关的描述信息。序列化机制的核心作用就是对象状态的保存与重建。
  • 反序列化
    客户端从文件中或网络上获得序列化后的对象字节流后,根据字节流中所保存的对象状态及描述信息,通过反序列化重建对象。
为什么要序列化

我们知道,当两个进程进行远程通信时,可以相互发送各种类型的数据,包括文本、图片、音频、视频等, 而这些数据都会以二进制序列的形式在网络上传送。

那么当两个Java进程进行通信时,能否实现进程间的对象传送呢?答案是可以的!如何做到呢?这就需要Java序列化与反序列化了!

换句话说,一方面,发送方需要把这个Java对象转换为字节序列,然后在网络上传送;另一方面,接收方需要从字节序列中恢复出Java对象。

当我们明晰了为什么需要Java序列化和反序列化后,我们很自然地会想Java序列化的好处。其好处一是实现了数据的持久化,通过序列化可以把数据永久地保存到硬盘上(通常存放在文件里),二是,利用序列化实现远程通信,即在网络上传送对象的字节序列。

总的来说可以归结为以下几点:

(1)永久性保存对象,保存对象的字节序列到本地文件或者数据库中;
(2)通过序列化以字节流的形式使对象在网络中进行传递和接收;
(3)通过序列化在进程间传递对象;

序列化测试
import java.io.Serializable;

/**
 * @author Twilight
 * @date 18-12-1 下午1:55
 */
public class Test implements Serializable {

    private String name;

    private int age;

    private transient String temporary;

    private static String aekc = "666";
	
	//这里省略了set get方法

    @Override
    public String toString() {
        return "Test{" +
                "name='" + name + '\'' +
                ", age=" + age +
                ", temporary='" + temporary + '\'' +
                ", aekc='" + aekc + '\'' +
                '}';
    }
}

测试方法


import java.io.*;

/**
 * @author Twilight
 * @date 18-12-1 下午1:59
 */
public class TestSerializable {

    public static void main(String[] args) throws IOException, ClassNotFoundException {
        serializeTest();
        Test test = deserializeTest();
        System.out.println(test.toString());
    }

    private static void serializeTest() throws IOException {
        Test test = new Test();
        test.setAge(10);
        test.setName("小明");
        test.setTemporary("序列化测试");
        FileOutputStream fileOutputStream = new FileOutputStream(new File("testSerializable.txt"));
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream);
        objectOutputStream.writeObject(test);
        System.out.println("序列化成功");
        objectOutputStream.close();
    }

    private static Test deserializeTest() throws IOException, ClassNotFoundException {
        FileInputStream fileInputStream = new FileInputStream(new File("testSerializable.txt"));
        ObjectInputStream objectInputStream = new ObjectInputStream(fileInputStream);
        Test test = (Test) objectInputStream.readObject();
        System.out.println("反序列化成功");
        return test;
    }
}

最后输出如下

序列化成功
反序列化成功
Test{name='小明', age=10, temporary='null', aekc='666'}

可以看到temporary为空,所以声明为transient的成员不能被序列化。transient代表对象的临时数据。
我们序列化后,在反序列化之前修改下静态变量aekc的值

public static void main(String[] args) throws IOException, ClassNotFoundException {
    serializeTest();
    Test.setAekc("888");
    Test test = deserializeTest();
    System.out.println(test.toString());
}

输出如下

序列化成功
反序列化成功
Test{name='小明', age=10, temporary='null', aekc='888'}

可见声明为static类型的成员也不能被序列化。因为static代表类的状态。

如果被序列化的类中的成员变量是一个对象呢?

import java.io.Serializable;

public class Test implements Serializable {

    private String name;

    private int age;

    private transient String temporary;

    private static String aekc = "666";

    private Test2 test2;

	//这里省略了set get方法

    @Override
    public String toString() {
        return "Test{" +
                "name='" + name + '\'' +
                ", age=" + age +
                ", temporary='" + temporary + '\'' +
                ", test2=" + test2 +
                ", aekc='" + aekc + '\'' +
                '}';
    }
}

public class Test2 implements Serializable {

    private String name;

    public Test2(String name) {
        this.name = name;
    }
    
    @Override
    public String toString() {
        return "Test2{" +
                "name='" + name + '\'' +
                '}';
    }
}

对象成员对应的类也要实现Serializable接口,否则就会抛出NotSerializableException异常。如果是父类实现序列化,子类自动实现序列化,不需要显式实现Serializable接口。

序列化与单例模式
import java.io.Serializable;

public class Singleton implements Serializable {

    private Singleton() {}

    private static volatile Singleton instance = null;

    public static Singleton getInstance() {
        if (instance == null) {
            synchronized (Singleton.class) {
                if (instance == null) {
                    instance = new Singleton();
                }
            }
        }
        return instance;
    }
}

测试方法


import java.io.*;

public class TestSerializable {

    public static void main(String[] args) throws IOException, ClassNotFoundException {
        serializeTest();
        System.out.println(deserializeTest() == Singleton.getInstance());
    }

    private static void serializeTest() throws IOException {
        FileOutputStream fileOutputStream = new FileOutputStream(new File("testSerializable.txt"));
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream);
        objectOutputStream.writeObject(Singleton.getInstance());
        System.out.println("序列化成功");
        objectOutputStream.close();
    }

    private static Singleton deserializeTest() throws IOException, ClassNotFoundException {
        FileInputStream fileInputStream = new FileInputStream(new File("testSerializable.txt"));
        ObjectInputStream objectInputStream = new ObjectInputStream(fileInputStream);
        System.out.println("反序列化成功");
        return (Singleton) objectInputStream.readObject();

    }
}

输出如下

序列化成功
反序列化成功
false

结果是false,说明

通过对Singleton的序列化与反序列化得到的对象是一个新的对象,这就破坏了Singleton的单例性。

简单说下why,我们通过debug objectInputStream.readObject()方法,可以找到这个方法readOrdinaryObject。该方法中有一块代码

Object obj;
try {
    obj = desc.isInstantiable() ? desc.newInstance() : null;
} catch (Exception ex) {
    throw (IOException) new InvalidClassException(
        desc.forClass().getName(),
        "unable to create instance").initCause(ex);
}

这里isInstantiable表示,如果一个serializable/externalizable的类可以在运行时被实例化,那么该方法就返回true。
desc.newInstance:该方法通过反射的方式调用无参构造方法新建一个对象。
所以,我们可以知道为什么序列化可以破坏单例了吧

序列化会通过反射调用无参数的构造方法创建一个新的对象。

如何解决呢?这里需要在Singleton类中定义readResolve就可以解决该问题

import java.io.Serializable;

public class Singleton implements Serializable {

    private Singleton() {}

    private static volatile Singleton instance = null;

    public static Singleton getInstance() {
        if (instance == null) {
            synchronized (Singleton.class) {
                if (instance == null) {
                    instance = new Singleton();
                }
            }
        }
        return instance;
    }

    private Object readResolve() {
        return instance;
    }
}

输出如下

序列化成功
反序列化成功
true

原理同样也在readOrdinaryObject方法下

if (obj != null &&
        handles.lookupException(passHandle) == null &&
        desc.hasReadResolveMethod())
    {
        Object rep = desc.invokeReadResolve(obj);
        if (unshared && rep.getClass().isArray()) {
            rep = cloneArray(rep);
        }
        if (rep != obj) {
            // Filter the replacement object
            if (rep != null) {
                if (rep.getClass().isArray()) {
                    filterCheck(rep.getClass(), Array.getLength(rep));
                } else {
                    filterCheck(rep.getClass(), -1);
                }
            }
            handles.setObject(passHandle, obj = rep);
        }
    }

hasReadResolveMethod:如果实现了serializable 或者 externalizable接口的类中包含readResolve则返回true。
invokeReadResolve:通过反射的方式调用要被反序列化的类的readResolve方法。

所以,原理也就清楚了,主要在Singleton中定义readResolve方法,并在该方法中指定要返回的对象的生成策略,就可以防止单例被破坏。

serialVersionUId

        serialVersionUID是用来辅助序列化和反序列化过程的,序列化的时候系统会把当前类的serialVersionUID写入序列化的文件中,当反序列化的时候系统会检测当前文件中的serialVersionUID是否和当前类的serialVersionUID一致,如果一致这个时候可以反序列化成功,否则就说明当前类和序列化的类相比发生了某些变换,比如成员变量的数量、类型可能发生了改变,这个时候是无法正常反序列化的。

        如果不手动指定serialVersionUID的值,反序列化时当前类有所改变,比如增加或减少了某些成员变量,那么系统会重新计算当前类的hash值并把它赋值给serialVersionUID,这个时候当前类的serialVersionUID就和序列化数据中的serialVersionUID不一致,于是反序列化失败。所以当我们手动指定了serialVersionUID的值,就可以很大程度上避免了反序列化的失败。但是如果类结构发生了非常规性改变,比如修改了类名,修改了成员变量的类型,这个时候尽管serialVersionUID验证通过了,但是反序列化还是会失败,因为类结构发生了改变。

其他序列化技术
  • 专门针对Java语言的:基于Protobuf的Kryo,JBoss的Marshalling等等
  • 跨语言的:Protostuff,ProtoBuf,Thrift,Avro,MsgPack等等

下面我们测试下Kryo序列化方式和Java原生序列化方式的时间效率对比

实体类

package com.serializable.test;

import java.io.Serializable;
import java.util.Map;

public class Simple  implements Serializable {
     private static final long serialVersionUID = -4914434736682797743L;  
     private String name;  
     private int age;  
     private Map<String,Integer> map;  
     public Simple(){  
  
     }  
     public Simple(String name,int age,Map<String,Integer> map){  
         this.name = name;  
         this.age = age;  
         this.map = map;  
     }  
  
     public String getName() {  
       return name;  
     }  
  
     public void setName(String name) {  
        this.name = name;  
     }  
  
     public int getAge() {  
        return age;  
     }  
  
     public void setAge(int age) {  
        this.age = age;  
     }  
  
     public Map<String, Integer> getMap() {  
        return map;  
     }  
  
     public void setMap(Map<String, Integer> map) {  
        this.map = map;  
     }  
  
  
}

Java原生序列化方式

package com.serializable.test;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.util.HashMap;
import java.util.Map;

public class OriginalSerializable {  
      
    public static void main(String[] args) throws IOException {
        long start =  System.currentTimeMillis();  
        setSerializableObject();  
        System.out.println("java原生序列化时间:" + (System.currentTimeMillis() - start) + " ms" );    
        start =  System.currentTimeMillis();  
        getSerializableObject();  
        System.out.println("java原生反序列化时间:" + (System.currentTimeMillis() - start) + " ms");  
    }  
  
    public static void setSerializableObject() throws IOException{  
  
        FileOutputStream fo = new FileOutputStream("file1.bin");
  
        ObjectOutputStream so = new ObjectOutputStream(fo);  
  
        for (int i = 0; i < 100000; i++) {  
            Map<String,Integer> map = new HashMap<String, Integer>(2);  
            map.put("zhang0", i);  
            map.put("zhang1", i);  
            so.writeObject(new Simple("zhang"+i,(i+1),map));  
        }  
        so.flush();  
        so.close();  
    }  
  
    public static void getSerializableObject(){  
         FileInputStream fi;  
        try {  
            fi = new FileInputStream("file1.bin");
            ObjectInputStream si = new ObjectInputStream(fi);  
  
            Simple simple =null;  
            while((simple=(Simple)si.readObject()) != null){  
                //System.out.println(simple.getAge() + "  " + simple.getName());  
            }  
            fi.close();  
            si.close();  
        } catch (FileNotFoundException e) {  
            e.printStackTrace();  
        } catch (IOException e) {  
            //e.printStackTrace();  
        } catch (ClassNotFoundException e) {  
            e.printStackTrace();  
        }  

    }  
  
}

kyro序列化方式

package com.serializable.test;

import com.esotericsoftware.kryo.Kryo;
import com.esotericsoftware.kryo.io.Input;
import com.esotericsoftware.kryo.io.Output;
import org.objenesis.strategy.StdInstantiatorStrategy;

import java.io.FileInputStream;
import java.io.FileNotFoundException;
import java.io.FileOutputStream;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

public class KyroSerializable {

    public static void main(String[] args) throws IOException {
        long start =  System.currentTimeMillis();
        setSerializableObject();
        System.out.println("Kryo 序列化时间:" + (System.currentTimeMillis() - start) + " ms" );
        start =  System.currentTimeMillis();
        getSerializableObject();
        System.out.println("Kryo 反序列化时间:" + (System.currentTimeMillis() - start) + " ms");

    }

    public static void setSerializableObject() throws FileNotFoundException {
        Kryo kryo = new Kryo();
        kryo.setReferences(false);
        kryo.setRegistrationRequired(false);
        kryo.setInstantiatorStrategy(new StdInstantiatorStrategy());
        kryo.register(Simple.class);
        Output output = new Output(new FileOutputStream("file2.bin"));
        for (int i = 0; i < 100000; i++) {
            Map<String,Integer> map = new HashMap<String, Integer>(2);
            map.put("zhang0", i);
            map.put("zhang1", i);
            kryo.writeObject(output, new Simple("zhang"+i,(i+1),map));
        }
        output.flush();
        output.close();
    }


    public static void getSerializableObject() {
        Kryo kryo = new Kryo();
        kryo.setReferences(false);
        kryo.setRegistrationRequired(false);
        kryo.setInstantiatorStrategy(new StdInstantiatorStrategy());
        Input input;
        try {
            input = new Input(new FileInputStream("file2.bin"));
            Simple simple = null;
            while((simple = kryo.readObject(input, Simple.class)) != null) {
                //System.out.println(simple.getAge() + "  " + simple.getName() + "  " + simple.getMap().toString());
            }
        } catch (FileNotFoundException e) {
            e.printStackTrace();
        }
    }
}

最后时间效率对比

java原生序列化时间:8826 ms
java原生反序列化时间:10354 ms
Kryo 序列化时间:730 ms
Kryo 反序列化时间:20 ms

经过对比,可以发现kryo是java原生序列化性能十几倍

序列化后文件大小对比

java原生序列化文件大小:7606k
Kryo序列化文件大小:5337k
Twilight.c
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java 反序列化_Java-序列化-反序列化
weixin_36110673的博客
02-24 217
ThanksJava中的序列化对象是存储在内存中,但如果我们想把对象持久化存到硬盘上该怎么做呢?在Java中,可以使用序列化Serialization(序列化)是一种将对象以一连串的字节描述的过程;反序列化deserialization是一种将这些字节重建成一个对象的过程。简单例子Java中必须实现接口Serializable才能够被序列化,而Serializable接口没有方法,更像是个标记。...
java安全(五)java反序列化
weixin_45694388的博客
04-09 6304
序列化 在调用RMI时,发现接收发送数据都是反序列化数据. 例如JSON和XML等语言,在网络上传递信息,都会用到一些格式化数据,大多数处理方法中,JSON和XML支持的数据类型就是基本数据类型,整型、浮点型、字符串、布尔等,如果开发者希望在传输数据的时候直接传输一个对象,那么就不得不想办法扩展基础的JSON(XML)语法。比如,Jackson和Fastjson这类序列化库,在JSON(XML)的基础上进行改造,通过特定的语法来传递对象. RMI使用java等语言内置的序列化方法,将一个对象转化成一串二进制
java反序列化_JAVA反序列化机制
weixin_34175388的博客
02-12 360
最近看了下JAVA反序列化机制,发现它还是比想像中的要兼容些。不过还是有一些陷阱,跨语言跨平台的协议才是王道。反序列化过程如下图:几个关键点:1.ObjectStreamClass的matchFields方法:此处会比较本地与序列化数据流中对象字段,对本地不存在的字段做过滤标识;如果本地存在同名但类型不同,则抛错。2.readOrdinaryObject的处理:会调用ObjectStreamCla...
Java反序列化学习
就爱喝酸奶的博客
07-22 3122
Java反序列化学习1.JAVA反射2.JAVA序列化反序列化3.漏洞分析3.1 Apache commons-collections3.1.1 ConstantTransformer3.1.2 InvokerTransformer3.1.3 ChainedTransformer3.1.4 TransformedMap.decorate()3.1.5 LazyMap3.2 构造POP3.2.1 ...
java反序列化基础
akxnxbshai的博客
11-13 488
java反序列化基础学习。
java 序列化反序列化的实例详解
08-29
java 序列化反序列化的实例详解 Java 序列化反序列化Java 编程语言中的一种机制,允许将 Java 对象转换为字节序列,并将其反序列化Java 对象。序列化是指将 Java 对象转换为字节序列的过程,而反序列化是...
深入分析Java序列化反序列化
12-22
本文通过分析ArrayList的序列化来介绍Java序列化的相关内容。主要涉及到以下几个问题:  怎么实现Java序列化  为什么实现了java.io.Serializable接口才能被序列化  transient的作用是什么  怎么自定义序列...
Java序列化反序列化三种格式存取
12-22
 Java中的序列化serialization)机制能够将一个实例对象的状态信息写入到一个字节流中,使其可以通过socket进行传输、或者持久化存储到数据库或文件系统中;然后在需要的时候,可以根据字节流中的信息来重构一个...
java序列化反序列化操作实例分析
09-01
以下是一些关键的Java序列化反序列化的API及它们的作用: 1. `ObjectOutputStream`: 这个类用于将Java对象写入输出流。在这个例子中,`new ObjectOutputStream(new FileOutputStream("D:/objectFile.obj"))`创建...
详解Java 序列化反序列化Serialization)
08-26
Java 序列化反序列化Serialization)知识点总结 Java 序列化反序列化Java 语言中的一种机制,用于将对象的状态信息转化为可以存储或者传输的形式的过程。序列化Serialization)是将对象的状态信息转化为...
Java中对象序列化反序列化详解
09-03
本文将深入探讨Java中的对象序列化反序列化的概念、原理、实现方法以及相关的注意事项。 **一、对象序列化的概念和作用** 对象序列化是将一个Java对象转换成字节流的过程,这个字节流可以存储在磁盘上,也可以在...
Java序列化反序列化的实例分析讲解
08-26
今天小编就为大家分享一篇关于Java序列化反序列化的实例分析讲解,小编觉得内容挺不错的,现在分享给大家,具有很好的参考价值,需要的朋友一起跟随小编来看看吧
JAVA序列化反序列化的底层实现原理解析
08-25
(2)若User类仅仅实现了Serializable接口,并且还定义了readObject(ObjectInputStream in)和writeObject(ObjectOutputSteam out),则采用以下方式进行序列化反序列化。ObjectOutputStream调用User对象的...
java序列化反序列化,面试必备
12-21
最近阅读Serializable接口和Externalizable接口的源码,并结合了一些资料,对面试过程中与序列化相关的内容做了一些总结。 一、序列化反序列化、使用场景、意义。 序列化:将对象写入IO流中; 反序列化:从IO流中...
Java实现序列化反序列化的简单示例
09-02
Java序列化反序列化Java编程中一个重要的概念,它允许我们将Java对象转换为字节序列,以便存储或在网络中传输。这个过程对于数据持久化、远程对象传输以及跨平台交互具有重要意义。 1. Java序列化Java序列化...
Java序列化反序列化(详解)
热门推荐
qq_62414755的博客
07-20 3万+
java序列化及可序列化讲解,代码清晰易懂。
Java反序列化
m0_46390077的博客
11-22 926
​ PHP的反序列化java反序列化是两种不同的类型,序列化反序列化本身没有漏洞点,只是为了实现数据的完整高效的传输。​ PHP反序列漏洞是由于类里面的魔术方法调用了某个函数,该危险函数又调用了别的函数,最终执行到了危险函数的位置转存中…(img-6467S4OE-1700661213322)]
JAVA反序列化
最新发布
不知名佳佳的博客
12-20 416
1.利用反序列化漏洞将程序运行的对象以二进制形式储存在文件系统中,在另一个程序中对序列化后的对象状态数据,进行反序列化恢复对象,可以实现多平台通信,对象持久化存储。位置:java .io.Object Output Stream java.io.Object Input stream。白盒测试又分为(函数点)Object Input stream.read Object。反序列化:Object Input stream --> read Object()3.检测可以分为黑盒检测和白盒检测。
java序列化反序列化
05-14
以下是一个Java序列化反序列化的示例代码: ``` import java.io.*; public class SerializationDemo { public static void main(String[] args) { // 序列化对象 try { // 创建一个Student对象 Student s =...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值