序列化(三) 实例分析深入了解序列化

最新推荐文章于 2024-03-03 13:29:27 发布
最新推荐文章于 2024-03-03 13:29:27 发布
阅读量101 收藏
点赞数
分类专栏: java 文章标签: Java 算法 网络应用 单元测试 Socket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ahappyman/article/details/83950589
版权
一.什么是序列化和反序化
对象的序列化是把对象写到一个输出流中。反序列化从这把输入流读取一个对象。

二。为什么要序列化
(1) 把对象持久化到一个文件中。像我们在做单元测试的时候,对于构造好的数据,可以持久化到文件中,这样就不用再从数据库中读取,在数据库中的测试数据很容易被人篡改。
(2) 像RMI,SOCKET,HESSION 等进行网络传输对象的场合,要把对象转成流的形式传递给客户端。而客户端对于取的流(byte[])要进行反序列化。

三。如何进行序列化
实现Serializable 接口

四。Serializable的作用
序列化运行时使用一个称为 serialVersionUID 的版本号与每个可序列化类相关联,该序列号在反序列化过程中用于验证序列化对象的发送者和接收者是否为该对象加载了与序列化兼容的类。如果接收者加载的该对象的类的 serialVersionUID 与对应的发送者的类的版本号不同,则反序列化将会导致 InvalidClassException。可序列化类可以通过声明名为 "serialVersionUID" 的字段(该字段必须是静态 (static)、最终 (final) 的 long 型字段)显式声明其自己的 serialVersionUID:

五。Serializable的使用说明
ANY-ACCESS-MODIFIER static final long serialVersionUID = 42L;
如果可序列化类未显式声明 serialVersionUID,则序列化运行时将基于该类的各个方面计算该类的默认 serialVersionUID 值,如“Java(TM) 对象序列化规范”中所述。不过,强烈建议 所有可序列化类都显式声明 serialVersionUID 值,原因是计算默认的 serialVersionUID 对类的详细信息具有较高的敏感性,根据编译器实现的不同可能千差万别,这样在反序列化过程中可能会导致意外的 InvalidClassException。因此,为保证 serialVersionUID 值跨不同 java 编译器实现的一致性,序列化类必须声明一个明确的 serialVersionUID 值。还强烈建议使用 private 修饰符显示声明 serialVersionUID(如果可能),原因是这种声明仅应用于直接声明类 -- serialVersionUID 字段作为继承成员没有用处。数组类不能声明一个明确的 serialVersionUID,因此它们总是具有默认的计算值,但是数组类没有匹配 serialVersionUID 值的要求。

六。实例说明

序列化对象 

import java.io.Serializable;

public class Customer implements Serializable{

	private static final long serialVersionUID = 1L;
	private Long userId;
	private String name;
	private String password;
	private int age;

	public Long getUserId() {
		return userId;
	}
	public void setUserId(Long userId) {
		this.userId = userId;
	}
	public String getName() {
		return name;
	}
	public void setName(String name) {
		this.name = name;
	}
	public String getPassword() {
		return password;
	}
	public void setPassword(String password) {
		this.password = password;
	}
	public int getAge() {
		return age;
	}
	public void setAge(int age) {
		this.age = age;
	}

}



测试代码: 


	public static void main(String[] args) throws Exception {

		ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("D:/objectFile.obj"));

		//创建对象
		Customer customer = new Customer();
		customer.setUserId(1L);
		customer.setName("张三");
		customer.setPassword("123");
		customer.setAge(10);

		// 序列化对象
		out.writeObject("你好!");
		out.writeObject(new Date());
		out.writeObject(customer);
		out.writeInt(123); // 写入基本类型数据
		out.close();

		// 反序列化对象
		ObjectInputStream in = new ObjectInputStream(new FileInputStream("D:/objectFile.obj"));
		System.out.println("obj1=" + (String) in.readObject());
		System.out.println("obj2=" + (Date) in.readObject());
		Customer obj3 = (Customer) in.readObject();
		System.out.println("obj3=" + obj3);
		System.out.println("userId :"+obj3.getUserId());
		System.out.println("name :"+obj3.getName());
		System.out.println("password :"+obj3.getPassword());
		System.out.println("age :"+obj3.getAge());
		int obj4 = in.readInt();
		System.out.println("obj4=" + obj4);
		in.close();

	}


输出内容:
obj1=你好!
obj2=Thu Jun 23 23:26:11 CST 2011
obj3=user.Customer@c20e24
obj4=123

如果Customer去掉implements Serializable
则会抛出异常:
Exception in thread "main" java.io.NotSerializableException: user.Customer
at java.io.ObjectOutputStream.writeObject0(ObjectOutputStream.java:1156)
at java.io.ObjectOutputStream.writeObject(ObjectOutputStream.java:326)
at demo.Demo1.main(Demo1.java:28)
只有实现seriliable接口才可以进行序列化

先序列化对象,并保存。
在返序列化的时候,修改 
	private static final long serialVersionUID = 2L;

则会抛异常:
Exception in thread "main" java.io.InvalidClassException: user.Customer; local class incompatible: stream classdesc serialVersionUID = 1, local class serialVersionUID = 2
at java.io.ObjectStreamClass.initNonProxy(ObjectStreamClass.java:562)
at java.io.ObjectInputStream.readNonProxyDesc(ObjectInputStream.java:1583)
at java.io.ObjectInputStream.readClassDesc(ObjectInputStream.java:1496)
at java.io.ObjectInputStream.readOrdinaryObject(ObjectInputStream.java:1732)
at java.io.ObjectInputStream.readObject0(ObjectInputStream.java:1329)
at java.io.ObjectInputStream.readObject(ObjectInputStream.java:351)
at demo.Demo1.main(Demo1.java:36)
原因就是serialVersionUID 有校验版本兼容性的作用。

七 transient 关键字
对于一些比较敏感信息,不希望被反序化,如password,可以加上transient ,则不会被反序列。其他未加transient属性信息都会正常序列化和反序化。

八 writeObject 和 readObject
像ObjectOutputStream和ObjectInputStream 两个类提供了序列化和反序列化的方法。当然也可以自己重写这两个方法。自己定义序列化和反序列化,这往往涉及一些加密和解密算法,记得大学有一门课程“信息论”的一门课程,提到了一系列加密算法,可以序列化产生的流做处理,保证网络传输的安全性。
ahappyman
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ImmutableList hessian2序列化失败问题分析
诗酒年华
01-26 2354
Java中的不可变集合(guava的 ImmutableList、ImmutableSet等,Java9引入的ImmutableCollections相关类型)不能作为POJO参数进行序列化,但是可以直接作为对象进行序列化;float 反序列化后精度丢失,double 没问题;keySet()返回的Set未实现Serializable,Hessian反序列化结果为ArrayList;
com.alibaba.fastjson 序列化 反序列
weixin_41563161的博客
03-31 4380
fastjson 序列化反序列 目录 fastjson 序列化反序列 序列化 SerializeWriter成员变量 一 SerializeWriter成员函数 1 序列化整形数字 2 序列化长整形数字 3 序列化浮点类型数字 4 序列化...
彻底理解序列化和反序列化
Likes的博客
01-16 2788
https://tech.meituan.com/2015/02/26/serialization-vs-deserialization.html 目录 摘要 简介 一、定义以及相关概念 数据结构、对象与二进制串 二、序列化协议特性 通用性 强健性/鲁棒性 可调试性/可读性 性能 可扩展性/兼容性 安全性/访问限制 序列化和反序列化的组件 序列化组件与数据库访问组件...
Java编程进阶之路 07】深入探索:Java序列化的深层秘密 & 字节流
最新发布
weixin_40736233的博客
03-03 967
Java序列化是将Java对象的状态转换为字节流的过程,以便在网络中传输、保存到文件中或进行持久化存储。序列化后的字节流可重建为原始对象,即反序列化序列化常用于远程方法调用、对象持久化、深拷贝及数据传输等场景。但需注意,反序列化可能带来安全风险,且类版本变化可能影响兼容性。因此,使用序列化时需谨慎考虑安全性和版本控制。
序列化梳理
麦田里的码农
08-20 3165
文章目录一、为什么需要序列化?二、反序列化时如何生成实例、是不是所有的类都需要序列化四、java序列化(Serializable)和外部化(Externalizable)的主要区别五、哪些东西需要序列化1. 普通成员变量需要序列化2. 静态变量无需序列化3. 方法无需序列化4. 属性是一个引用5.有父类(较为复杂)6. 有实现接口7. 用transient保护的敏感信息六、java序列化为什么要...
PHP代码审计12—反序列化漏洞
W0ngk,一个安全菜鸡,一直在模仿,尚未有超越。
08-09 1427
PHP反序列化入门
CTF中的PHP反序列化ALL IN ONE
热门推荐
Love&Share
09-01 1万+
CTF中的PHP反序列化 1.反序列化的基础知识 什么是序列化,反序列化,php反序列化序列化字符串知识,漏洞产生原因,修复方法 php反序列化漏洞,又叫php对象注入漏洞,是ctf中常见的漏洞。 PHP基础知识 PHP类与对象(https://www.php.net/manual/zh/language.oop5.php) PHP魔术方法(https://secure.php.net/manual/zh/language.oop5.magic.php) 序列化定义 php程序为了保存和转储对象,提供了序
Java序列化实现原理研究
瘦子没有夏天
05-31 1万+
1.什么是序列化和反序列化 序列化 是指将Java对象保存为二进制字节码的过程。 反序列化 将二进制字节码重新转成Java对象的过程。 2.为什么序列化 我们知道,一般Java对象的生命周期比Java虚拟机短,而实际的开发中,我们需要 在Jvm停止后能够继续持有对象,这个时候就需要用到序列化技术将对象持久到磁盘或数据库。 在多个项目进行RPC调用的,需要在网络上传输JavaB...
Boost序列化与Protobuf比较:深入分析 (Boost Serialization vs. Protobuf: An In-depth Comparison)...
探索C++编程的奥秘,分享深入的技术见解和实践,旨在激发读者创造力与解决问题的思维。
12-07 1055
序列化不仅仅是数据转换那么简单。它反映了人们对数据的理解和处理方式,涉及到信息的持久化、通信效率和数据完整性。正如心理学家弗洛伊德(Sigmund Freud)所说:“梦想是愿望的达成”(《梦的解析》),在数据处理领域,序列化可以被视为程序员对数据处理效率和灵活性愿望的实现
commons-collections2(cc2)反序列化分析
遇事不决冲冲冲
02-16 3229
大的思路是将恶意参数放到`TemplatesImpl`类中的`_bytecodes`属性中,反射构造`PriorityQueue`队列的`comparator`和`queue`两个字段,将`PriorityQueue`队列的`comparator`字段设置为`TransformingComparator`(创建一个`InvokerTransformer`并传递一个`newTransformer`方法,然后将`InvokerTransformer`方法名传递给`TransformingComparator`)
通过实例深入了解java序列化
08-25
本文将通过实例深入了解 Java 序列化分析一些真实情境,帮助读者轻松牢记 Java 序列化中的一些高级认识。 序列化 ID 问题 ---------------- 在 Java 序列化中,序列化 ID 是一个非常重要的一点。它决定了两个类...
PHP常见的序列化与反序列化操作实例分析
10-16
本文将深入探讨这两个概念,结合实例分析PHP中如何使用`serialize()`和`unserialize()`函数。 **1. 序列化(Serialization)** 序列化是将变量(如数组、对象等)转换为字符串的过程。在PHP中,`serialize()`...
java对象序列化操作实例分析
08-25
下面我们将深入探讨Java对象序列化及其相关实现步骤。 1. **实现Serializable接口** 为了使一个Java对象能够被序列化,该对象的类必须实现`Serializable`接口。例如,在提供的代码示例中,`Demo1`类实现了这个接口...
C#二进制序列化实例分析
09-03
本文将深入探讨C#二进制序列化,并通过实例分析其工作原理。 首先,我们需要引入必要的命名空间,`System.Runtime.Serialization.Formatters.Binary` 和 `System.Runtime.Serialization`,这两个命名空间提供了用于...
try catch finally 关闭流标准的写法
ahappyman的博客
09-23 3813
平常开发中,都知道要在finlly里关闭流,但是有时finlly里代码不当,会引起另外的异常。 以下是看struts2源代码看到的,随手记录下。 有两点注意: (1)判断流是否为空。 (2)filly里要捕获异常 [code="java"] InputStream in = null; try { in = settingsUrl.openStream(); ...
spring 懒加载与dubbo 客户端校验
ahappyman的博客
09-19 1052
Dubbo的启动时服务依赖检查是,对象实例化时,判断远程调用是否成功,对象是否能够实例化成功。 参数可配置。 若项目启动时,依赖的服务没有提供,则消费者也无法启动。 [img]http://dl2.iteye.com/upload/attachment/0120/1179/f5c57114-c6c1-3189-8db8-c3fc0eb2ba91.png[/img] 若spr...
ACL权限管理
ahappyman的博客
09-19 722
ACL : access control list 访问权限管理 在企业服务里,算是个基础服务。今天谈谈关与它的设计。 网上有好多资料,给出了ER图,类图。讲得都非常好,试用于各个场景。但是用起来,前期没什么问题,到后期发现有很大的问题。 分析原因,是因为以开发的角度去解决这个问题,去思考ACL。少了从运营的角度去分析ACL。 [b]首先,明确一些问题与误区:[/b] ----...
信号量与PV java
ahappyman的博客
01-02 410
进程间通信: 进程通常分为就绪、运行和阻塞个工作状态。种状态在某些条件下可以转换,者之间的转换关系如下: 进程个状态之间的转换就是靠PV操作来控制的。PV操作主要就是P操作、V操作和信号量。其中信号量起到了至关重要的作用。 信号量 信号量是最早出现的用来解决进程同步与互斥问题的机制。  信号量(Saphore)由一个值和一个指针组成,指针指向等待该信号量的进程。信号量...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值