Java-对象序列化

最新推荐文章于 2024-07-29 14:22:26 发布
最新推荐文章于 2024-07-29 14:22:26 发布
阅读量139 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/yYang365/p/11275559.html
版权

原文: java基础复习(18)-对象序列化

对象序列化的深入探究

我研究了一下jdk的实现,希望对你有所帮助,研究情况如下:

在我本机测试代码,查看序列化的文件guo.txt,在ultraEdit下, 用本地编码看会是一串乱码,但是用十六进制查看,就可以发现规律,文件内容如下: AC ED 00 05 7A 00 00 02 FD 11 00 0A 0D 00 0A 07.....(后面内容省略) 每次执行,发现前面的AC ED 00 05总会存在。先解释这个吧。 我在此只是想以代码进一步证明: 对于创建一个对象输出流时,查看构造器的代码如下:

Java代码

public ObjectOutputStream(OutputStream out) throws IOException {
    verifySubclass();
    bout = new BlockDataOutputStream(out);
    handles = new HandleTable(10, (float) 3.00);
    subs = new ReplaceTable(10, (float) 3.00);  
    enableOverride = false;
    writeStreamHeader();
    bout.setBlockDataMode(true);
    if (extendedDebugInfo) {
        debugInfoStack = new DebugTraceInfoStack();
    } else {
        debugInfoStack = null;
    }
}

writeStreamHeader(); //这句很重要,即只要你针对文件打开一个对象输出流,它就会向其中写入4个字节的内容。可以查看到写入的内容是:

Java代码

protected void writeStreamHeader() throws IOException {
    bout.writeShort(STREAM_MAGIC);
    bout.writeShort(STREAM_VERSION);
}
写入的两个常量在接口ObjectStreamConstants定义如下:

Java代码

public interface ObjectStreamConstants {  
/**
 * Magic number that is written to the stream header.
 */
final static short STREAM_MAGIC = (short)0xaced;

/**
 * Version number that is written to the stream header.
 */  
final static short STREAM_VERSION = 5;

从注释就可以知道,ACED只是写入序列化文件的一个固定标记,起标识作用。

BlockDataOutputStream类的writeShort方法在内部又使用了Bits类的方法,具体感兴趣的同学可以自己查看源代码。由于写进的是short,在java中short占两个字节,所以文件头就变成了AC ED 00 05。

然后解释7A。其实当你测试比较少的数据时,当写入的数据长度小于255个时,文件的前面部分会有另外一种结果: AC ED 00 05 77 05 01 10 13 0A 06

boutOjbectOutStream的私有静态内部类BlockDataOutputStream的实例。 该类持有

Java代码

/** buffer for writing block data headers */
private final byte[] hbuf = new byte[MAX_HEADER_SIZE];
// 缓存数据块的头部信息

/** buffer for writing general/block data */
private final byte[] buf = new byte[MAX_BLOCK_SIZE];
// 该缓冲数组保存要写入的数据,但长度大于MAX_BLOCK_SIZE(1024)时,会刷新缓冲将内容写入文件。

在api中也清楚的注明,摘录入下:

基本数据(不包括 serializable 字段和 externalizable 数据)以块数据记录的形式写入 ObjectOutputStream 中。块数据记录由头部和数据组成。 块数据部分包括标记和跟在部分后面的字节数。连续的基本写入数据被合并在一个块数据记录中。块数据记录的分块因子为 1024 字节。每个块数据记录都将填满 1024 字节,或者在终止块数据模式时被写入。

源码如下:

Java代码

private void writeBlockHeader(int len) throws IOException {  
    if (len <= 0xFF) {  
        hbuf[0] = TC_BLOCKDATA;
        hbuf[1] = (byte) len;
        out.write(hbuf, 0, 2);
    } else {
        hbuf[0] = TC_BLOCKDATALONG;
        Bits.putInt(hbuf, 1, len);
        out.write(hbuf, 0, 5);
    }
}

以上代码中的TC_BLOCKDATA也定义在接口ObjectStreamConstants中。

Java代码

/**
 * Block of optional data. Byte following tag indicates number
 * of bytes in this block data.
 */

final static byte TC_BLOCKDATA = (byte) 0x77; // 跟在77后面的字节记录一个数据块中实际写入的字节数,这里只有5个字节的数据内容,由于只有一个字节记录,所以最多只能有 255个字节的数据部分,数据长度该句代码hbuf[1] = (byte) len;产生。

/**
 * long Block data. The long following the tag indicates the
 * number of bytes in this block data.
 */
final static byte TC_BLOCKDATALONG= (byte)0x7A; // 同样的后面跟的四个字节来记录写入的数据长度
每次数据块缓冲区满时(大于1024)就会刷新缓冲区,将块头和数据写入文件保存,所以保存的数据较多时,你会发现在文件的后面部分也会出现多次77 xx或7A xx,那是多次写入引起的 。每次刷新缓冲后,会重置块缓冲buf偏移pos为0,从头写入。数据长度有该句代码产生 Bits.putInt(hbuf, 1, len);

继续查看类Bits的该方法:

Java代码

static void putInt(byte[] b, int off, int val) {
    b[off + 3] = (byte) (val >>> 0);
    b[off + 2] = (byte) (val >>> 8);
    b[off + 1] = (byte) (val >>> 16);
    b[off + 0] = (byte) (val >>> 24);
}

该方法相信大家应该看得懂,其实就是把长度(int)的每个字节取出放到了hbuf中和7A一起做头部。

还有一点就是,如果你调用输出流的write方法后,却不去关闭输出流,当数据量小于1024个字节时,文件中只会包含序列化的文件头: AC ED 00 05,而没有真正写入其他数据.数据量大于1024个字节的话,由于超过容量会刷新缓冲区,文件当然就包含数据咯。所以我们在写入较少数据的时候,注意要关闭输出流,这样就可以在关闭时,将缓冲区的数据写入到文件中去。

还有部分非关键代码就不贴出来了,想研究的同学直接查看就是了。以上内容只是本人针对源码结合测试得出的结论,不足之处,还请大家批评指正。

针对对象序列化,会将序列化的类和字段的基本信息保存在序列化文件中,也可以想见反序列化总会依赖一定信息吧,不可能直接针对一个普通文本文件就反序列化,这样就欠考虑了,呵呵。它也会首先根据文件头(即AC ED 00 05)来判定是不是一个序列化文件,如果不是就直接抛出异常。

针对对象序列化的问题,内容补充:
  • 当你想序列化的类实现了Serialiazble接口时,序列化后再次反序列化时,不会调用该类的默认构造器。
  • 而你的类如果实现了Externalizable接口时,在反序列化产生实例时,会调用默认构造器,初始化成员变量。
参考:
补充:

The following symbols in java.io.ObjectStreamConstants define the terminal and constant values expected in a stream.

final static short STREAM_MAGIC = (short)0xaced;
final static short STREAM_VERSION = 5;
final static byte TC_NULL = (byte)0x70;
final static byte TC_REFERENCE = (byte)0x71;
final static byte TC_CLASSDESC = (byte)0x72;
final static byte TC_OBJECT = (byte)0x73;
final static byte TC_STRING = (byte)0x74;
final static byte TC_ARRAY = (byte)0x75;
final static byte TC_CLASS = (byte)0x76;
final static byte TC_BLOCKDATA = (byte)0x77;
final static byte TC_ENDBLOCKDATA = (byte)0x78;
final static byte TC_RESET = (byte)0x79;
final static byte TC_BLOCKDATALONG = (byte)0x7A;
final static byte TC_EXCEPTION = (byte)0x7B;
final static byte TC_LONGSTRING = (byte) 0x7C;
final static byte TC_PROXYCLASSDESC = (byte) 0x7D;
final static byte TC_ENUM = (byte) 0x7E;
final static  int   baseWireHandle = 0x7E0000;

The flag byte classDescFlags may include values of

final static byte SC_WRITE_METHOD = 0x01; //if SC_SERIALIZABLE
 final static byte SC_BLOCK_DATA = 0x08;    //if SC_EXTERNALIZABLE
final static byte SC_SERIALIZABLE = 0x02;
final static byte SC_EXTERNALIZABLE = 0x04;
final static byte SC_ENUM = 0x10;

转载于:https://www.cnblogs.com/yYang365/p/11275559.html

banzhizao8678
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Java对象输出流问题
轻舟泛水
10-18 2805
对象输出流问题: 怎样能连续向文件中添加对象,并且可以从文件中循环读取出对象? 错误的情况:连续多次调用oos.writeObject(user)向文件中写入对象,然后这样while((user=(User)ois.readObject())!=null)循环取出对象。 出现这种情况的解释:ObjectOutputStream建立后第一次写入一个对象时, 会在对象数据前写入一些标志的数据“A
Java对象序列化
zyl1112的博客
11-02 276
对象序列化 对象序列化的简介 对象序列化:就是将对象保存到磁盘中,或者在网络中传输对象 这种机制就是使用一个字节序列表示一个对象,该字节序列包含:对象的类型、对象的数据和对象中存储的属性等信息 字节序列写到文件之后,相当于文件中持久保存了一个对象的信息 反之,该字节序列还可以从文件中读取回来,重构对象,对它进行反序列化 对象序列化流 ObjectOutputStream: 将Java对象的原始数据类型和图形写入OutputStream。可以使用ObjectInputStream读取(重构)对象。 可以通
java序列化机制_Java序列化的机制和原理
weixin_39817391的博客
02-16 79
序列化后的格式如下:AC ED 00 05 7372 00 0A 53 65 72 69 61 6C 54 6573 74 05 52 81 5A AC 66 02 F6 02 00 0249 00 0776 65 72 73 69 6F 6E4C00 03 63 6F 6E74 00 094C63 6F 6E 74 61 69 6E 3B 7872 00 06 70 61 7265 6E ...
Java序列化算法透析
yangguang0012的专栏
09-14 287
转自http://blog.chinaunix.net/uid-21125022-id-1830464.html Java序列化算法透析   Serialization(序列化)是一种将对象以一连串的字节描述的过程;反序列化deserialization是一种将这些字节重建成一个对象的过程。Java序列化API提供一种处理对象序列化的标准机制。在这里你能学到如何序列化一个对象,什么时候需
00005在java结果输出_浅谈Java序列化漏洞原理(案例未完善后续补充)
weixin_29000891的博客
03-05 606
摘要:0005,这个16进制流基本上也意味者java序列化的开始;(2)HTTP:必有rO0AB,其实这就是aced0005的base64编码的结果;以上意味着存在Java序列化,可尝试构造payload进行攻击。黑盒java的RMIRMI是java的一种远程对象(类)调用的服务端,默认于1099端口,基予socket通信,该通信实现远程调用完全基于序列化以及反序列化。白盒代码审计(1)观察实...
ObjectOutputStream 追加写入读取错误
weixin_30379911的博客
11-29 133
摘自http://blog.csdn.net/mitkey/article/details/50274543问题描述:用类ObjectOutputStream向文件写读对象时,碰到一个问题:新建一个文件,用输出流ObjectOutputStream向文件连续写几个对象,关闭输出流,然后读取,这些对象都可以读出;这时在向该文件增加对象,新写的对象就读不出了问题出现的原因:ObjectOutput...
Java对象序列化与反序列化详解
09-03
总之,Java对象序列化Java开发中的一项关键技术,它允许对象的状态在不同环境间传输和恢复。理解并掌握序列化和反序列化的基本原理、方法以及注意事项,对于开发高质量的Java应用程序至关重要。
java-Hadoop序列化
06-30
Java编程语言中,序列化是一个关键的概念,它允许我们将对象的状态转换成字节流,以便于存储或在网络上传输。这使得数据能够在不同的时间点恢复,并在不同的系统之间进行交换。Java提供了一个标准的接口`java.io....
Java-使用序列化保存对象数据到文件学习总结
12-22
Java当中提供了一种序列化操作的方式,用一个字节序列来表示一个对象,该字节序列中保存了对象的属性、对象的数据、对象的类型。把字节序列化保存到文件中,就可以做到持久化保存数据内容。 1.2 如何将对象数据序列...
Java对象序列化和反序列化实践
12-22
 把Java对象转换为字节序列的过程称为对象序列化。  把字节序列恢复为Java对象的过程称为对象的反序列化。  对象序列化主要有两种用途:  1)把对象的字节序列地保存到硬盘上,通常存放在一个文件中...
Java对象序列化操作详解
08-27
Java 对象序列化操作详解 Java 对象序列化Java 语言中一种重要的机制,它允许将 Java 对象转换为字节序列,以便在网络上传送或保存到文件中。对象序列化操作主要有两种用途:把对象的字节序列永久地保存到硬盘上...
Java序列化
buffedon的博客
09-05 4186
Java序列化Java序列化概念漏洞原理漏洞危害漏洞出现点漏洞挖掘漏洞防御序列化与反序列化代码参考文章 Java序列化概念 在说反序列化之前,先说说序列化 序列化就是将对象转化为字节流,利于存储和被引用 反序列化序列化恰恰相反,是将字节流转化为对象 序列化的格式:json序列化,xml序列化,二进制序列化,SOAP序列化 序列化调用的函数 序列化java.io.ObjectOutputStream 类中的 writeObject() 实现 Serializable 和 Externaliz
修复weblogic的JAVA序列化漏洞的多种方法--预防GetShell攻击
既是过河之卒,惟有奋力向前。
06-15 1419
0x00 前言 目前oracle还没有在公开途径发布weblogic的JAVA序列化漏洞的官方补丁,目前看到的修复方法无非两条: 使用SerialKiller替换进行序列化操作的ObjectInputStream类; 在不影响业务的情况下,临时删除掉项目里的 “org/apache/commons/collections/functors/InvokerTransformer.cl...
java序列化与Apache CC链、fastjson反序列化的理解与研究
Shanfenglan's blog
04-15 1650
文章目录1. 前言2. 为什么会存在序列化技术2. 序列化 1. 前言 java序列化是将一个序列化文件或者序列化数据进行还原处理。一个被序列化的数据的2进制数据特征是以aced0005开头,有点类似于exe文件都有PE头一样,具体如下所示: 序列化技术的出现,是为了方便数据保存与传输的。它将数据变成了字节的形式进行保存并便于通过socket进行传输。 2. 为什么会存在序列化技术 1、方便对象的保存 2、方便对象在网络上传输 网络上只能传输字节流数据,对象本是无法在网络上直接进行传输的。而序列化技术可
java序列化与反序列化
huangyang20080的博客
07-26 326
内容引用:http://www.cnblogs.com/liaoweipeng/p/4767660.html 序列化与反序列化 近些天发现自己从事java开发,太多东西没有整理过,对自己也不负责,今天开始慢慢整理一些东西,这样才觉得真正掌握了. 首先我们要写一个对类,用于对象序列化,这个类实现了Serializable接口。类的定义如下:—start—public class Stu
dbexception.java,无法使用spring-jdbc以批处理方式存储Enum NamedParameterJdbcTemplate
weixin_35835508的博客
03-18 128
我正面临着spring-jdbc的枚举问题。我有一个包含枚举值的POJO。我想将字符串值存储在数据库中,而不是序号。我做了一个DAO,除了具有namedParameterJdbcTemplate的批处理方法(对于jdbcTemplate和BatchPreparedStatementSetter它可以工作,但我更喜欢使用命名参数),它工作得很好。无法使用spring-jdbc以批处理方式存储Enum...
序列化
吕小游的博客
02-27 111
关于序列号,基础不是很清楚 byte[] bytes; 把file读到byte直接用,会出异常 final BufferedImage preview = ImageIO.read(new ByteArrayInputStream(bytes)); invalid stream header:xxxxxx stackoverflow也没找合适的说法 ObjectOut...
使用hutool工具判断字符串是否全部是字母(包括大小写),java判断字符串是否全部是字母(包括大小写)
最新发布
qq_43700885的博客
07-29 452
1.导入hutool的maven依赖。2.复制一下代码执行。
Java对象序列化:秘密与安全
"Java对象序列化的秘密.pdf" Java对象序列化Java编程语言中的一个重要特性,允许将对象的状态转换为字节序列,以便可以存储在磁盘上或在网络上传输。这一过程对于处理持久化数据、跨进程通信、网络传输以及远程...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值