Java 的序列化和反序列化,你该知道得更多

最新推荐文章于 2022-04-25 13:55:09 发布
最新推荐文章于 2022-04-25 13:55:09 发布
阅读量244 收藏
点赞数

Java 在内存中创建可以复用的对象,这些对象的生命周期不会比 JVM 的生命周期更长,如果有一些对象需要在 JVM 停止后保存(硬盘),并在 JVM 启动后继续使用,或者需要在两个 JVM 之间传输这些对象(网络传输);

但是只有二级制字节序列才能保存到硬盘或者在网络上传输,所以Java 的序列化和反序列化实际上就是对象和字节序列两种形态之间的转化。

01

Java 序列化的概念及作用

  • Java 序列化:把 Java 对象转换成字节序列;

  • Java 反序列化:把字节序列转换成 Java 对象。

作用:可以让 Java 对象脱离 JVM 的运行而独立存在,这些字节序列可以保存在硬盘上,或通过网络传输。

注意:上述所有序列化的地方,我都写的是 Java 序列化,实际上现在很多框架已经比较少使用 Java 序列化对象进行网络通信了,大部分都使用某种协议驱动;比如 SOAP 协议就是将 XML 序列化成流。下文中没有特殊提示的地方,序列化都指的是 Java 序列化。

02

序列化实现的方式

1. 实现 Serializable 接口

一个对象想要被序列化,那么它对应的类要实现 Serializable 接口或它的子接口。

public class User implements Serializable {
   private String userName ;
   private String gender ;
   private String age ;


   public User(String userName, String gender, String age) {
      super();
      System.out.println("User Constructor");


      this.userName = userName;
      this.gender = gender;
      this.age = age;
   }


   //省略 toString、set、get 方法
}

从序列化反序列化的结果中,我们可以看到 User 的构造方法只在 new 的时候调用了一次,反序列化的时候并不需要调用构造方法;

如果一个可序列化的类,它的成员变量包含了不可序列化的类型,在序列化的过程中会报错: 

java.io.NotSerializableException

序列化并不能保存静态变量;

如果有不想序列化的字段,可以使用 transient 进行修饰;被 transient 修饰的字段,都会变成默认值(引用类型是 null,基本类型是 0 或 false);


也可以不使用 transient 修饰符,通过重写 writeObject 和 readObject 方法,选择哪些属性需要序列化,哪些不需要序列化;

2. 实现 Externalizable 接口

Externalizable 是 Serializable 接口的子类,通过实现的 writeExternal 和readExternal 方法,可以自己定义实现序列化和反序列化的方式;这里要注意:必须提供 public 的无参数的构造方法。

public class UserWriteRead implements Serializable {
   //省略 ...
   private void writeObject(ObjectOutputStream out) throws IOException {
      //将 userName 和 gender 写入二进制流
      out.writeObject(this.userName);
      out.writeObject(this.gender);
   }


   private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException{
      //从二进制流中反写  userName 和 gender
      this.userName = in.readObject().toString();
      this.gender = in.readObject().toString();
   }
}

03

序列化版本

上述例子中,User user = new User("Suku","M","30") 被序列化之后保存到了文件中,如果在反序列化之前,User 中的内容已经发生了变化,那么反序列化还能成功么?或者说你还希望反序列化成功么?

如果新版本兼容老版本,比如增加了一个身份证号的属性,其余属性没有变化,那么反序列化是可以成功的,大不了身份证号为 null 嘛,至少不会报错;

如果新老版本不兼容,比如 userName 修改成了 name,那么反序列化之后对象就变成了 new User(null,"M","30") ,虽然程序并不会报错,但是却是一个我们不希望看到的结果;

所以随着序列化类的升级,我们可以使用 serialVersionUID 来保证升级前后的兼容性:

  • 如果希望升级前后保持兼容,那么保持 serialVersionUID 不改变;

  • 如果希望升级前后版本不兼容,那么不同版本中要设置不同的 serialVersionUID 。

  • 如果没有显式地指定 serialVersionUID ,系统会自动生成一个,而当类名、类修饰符、属性、构造器等任何一个有改变,serialVersionUID 都会变化;但是不指定 serialVersionUID 的话可能会有一些隐患,因为不同的 JVM 对于 serialVersionUID 的计算规则可能是不一样的。

JAVA葵花宝典
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java中对象的序列化方式克隆详解
08-31
在学习编程的过程中,我觉得不止要获得课本的知识,多的是通过学习技术知识提高解决问题的能力,这样我们才能走...这篇文章主要给大家介绍了Java中对象的序列化方式克隆,需要的朋友可以参考借鉴,下面来一起看看吧。
java反序列化怎么修改参数_JDK反序列化时修改类的全限定性名解析
weixin_34124963的博客
02-27 295
应用场景SpringSecurityOAuth2有一个奇葩的设计,那就是它将与access_token相关的所有属于都封装到OAuth2AccessToken中,然后保存时会直接将该对象序列化成字节写入数据库。我们在资源服务器中想要直接读数据库来取出access_token来验证令牌的有效性,然而又不想引入SpringSecurity的相关依赖污染jar包。这时可以将SpringSecurity中...
vulhub漏洞——fastjson
weixin_45808483的博客
12-05 3166
我们只知道一个IP nmap扫描端口 我们可以看到 8090opsmessaging Xary扫描没有发现漏洞 访问 8090 端口 fastjson反序列化漏洞验证POC DNSLog Platform 获取dnslog burp抓包修改数据包 POST Content-Type: application/json {"zeo":{"@type":"java.net.Inet4Address","val":"m7ds09.dnslog.cn"}} //va.
漏洞复现-反序列化-fastjson
qq_38618396的博客
08-17 3786
0x00、原理说明 0x01、环境搭建 1、docker + vulhub 2、fastjson 1.2.24-rce 3、物理机:192.168.10.108 靶机:192.168.10.130 4、访问效果 0x02、漏洞利用 漏洞扫描特征 使用nmap扫描靶机,识别到opsmessaging: 利用dnslog漏洞验证漏洞 1、使用dnslog进行无回显测试:http://www.dnslog.cn/ 2、准备poc import java.lang.Runtime; import ja
java反序列化 PHPSerializer 序列化的对象参数描述
一起进步的博客
07-01 830
maven 引用的包 <!--反序列化 php--> <dependency> <groupId>org.sction</groupId> <artifactId>phprpc</artifactId> <version>3.0.2</version> </dependency 主要的操作方法: public static Map<String, Ob
Java工程师必备面试题【多线程、反射、类加载器、JVM、泛型、异常处理、注解、面向对象编程、集合、IO流、序列化
07-20
内容概要:以上列出的Java面试题涵盖了Java语言的基础知识、面向对象编程、集合、IO流、多线程、反射、类加载器、JVM、序列化、泛型、异常处理、注解等多个方面。 适用人群:以上Java面试题适用于准备Java开发...
SerializationDumper:一种以易读的形式转储Java序列化流的工具
04-29
一种转储和重建Java序列化流和Java RMI数据包内容的工具,其可读性高。 该工具不会反序列化流(即,不实例化流中的对象),因此它不需要访问流*中使用的类。 开发该工具是为了在花费大量时间手动解码原始序列化...
freddy:使用主动和被动扫描自动识别Java和.NET应用程序中的反序列化问题
02-26
他们在工作中回顾了针对Java和.NET的一系列JSON和XML序列化库,发现它们中的许多都支持任意运行时对象的序列化,因此,与许多序列化技术一样,它们也很容易受到攻击-代码段(可以使用序列化对象的属性来控制在反序列...
原型:Java序列化库,原型编译器,代码生成器
02-03
一个Java序列化库,内置支持向前和向后兼容性(模式演变)和验证。 高效,速度和内存 灵活,支持可插拔格式 用例 RPC中的消息传递层 数据存储或缓存中的存储格式 有关多信息,请访问 Maven 对于核心格式...
Java序列化反序列化
qq_44885775的博客
04-25 6834
java序列化反序列化知识点
基于matlab实现的一种新型的配电网潮流计算,基于前推回代法
05-03
基于matlab实现的一种新型的配电网潮流计算,基于前推回代法,并附有10kv配电网数据,利用新的判别手段,成功解决配电网不收敛的问题.rar
node-v5.3.0.tar.xz
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能快地响应市场需求。
ASP+ACCESS网上园林设计(源代码+设计说明书).zip
05-03
ASP+ACCESS网上园林设计(源代码+设计说明书).zip
2023-04-06-项目笔记 - 第一百二十二阶段 - 4.4.2.120全局变量的作用域-120 -2024.05.03
05-03
2023-04-06-项目笔记-第一百二十二阶段-课前小分享_小分享1.坚持提交gitee 小分享2.作业中提交代码 小分享3.写代码注意代码风格 4.3.1变量的使用 4.4变量的作用域与生命周期 4.4.1局部变量的作用域 4.4.2全局变量的作用域 4.4.2.1全局变量的作用域_1 4.4.2.120全局变量的作用域_120 - 2024-05-03
node-v10.22.0-linux-ppc64le.tar.xz
最新发布
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能快地响应市场需求。
基于matlab实现的电动汽车动力性经济性UI,希望对初学者有用 .rar
05-03
基于matlab实现的电动汽车动力性经济性UI,希望对初学者有用。.rar
node-v6.9.0-x64.msi
05-03
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能快地响应市场需求。
基于stm32f103C8T6智能台灯设计与制作
05-03
本次设计是系统介绍了智能台灯的应用背景、设计原理、软硬件电路等。以STM32作为主控,应用定时模块、人体感应模块、光敏模块,使得智能台灯具备调光,监督使用者的坐姿,节能,时间提醒等功能。有五级自动、手动灯光。ds1302实时时钟模块、HCSR04超声波模块、dht11温湿度模块、HCSR501人体感应模块、光敏电阻模块和无源蜂鸣器模块。
java json序列化反序列化
05-14
Java 中的 JSON 序列化反序列化可以使用许多第三方库来实现,比如 Jackson、Gson、FastJson 等。这里以 Jackson 库为例...这些注解可以用于控制序列化反序列化的行为,多的注解用法可以参考 Jackson 的官方文档。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值