Java序列化Serializable初识(2)——与SignedObject结合使用

最新推荐文章于 2024-03-12 11:04:01 发布
最新推荐文章于 2024-03-12 11:04:01 发布
阅读量677 收藏
点赞数
分类专栏: java 文章标签: java 序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chai_132/article/details/46592891
版权

上一篇文章让我们简单理解了Java中序列化的知识,以及我们Serializable的使用过程。
需要的话请查看上一节内容:
Java序列化Serializable初识

实验

那么我们今天先经行一个小实验。接着上一节的内容。实验内容如下:
(1)先将一个Person类序列化并写入文件,得到文件内容如下。
文件内容展示
(2)篡改文件中的内容,将末尾的Jack改成Jeck。
这里写图片描述
(3)反序列化,得到Person并在控制台输出。
这里写图片描述
代码在此不展示了,看过上一节的人应该很容易实现该实验内容。根据实验结果发现我们的信息被篡改了,而我们并不知道。如果这发生在网络传输中想想有多可怕,广且根据我们上面的实验,篡改竟然如此容易。因此我们需要收到我们消息之后验证我们的消息有没有被篡改,要怎么办呢?这个时候就要用到密码学中的认证相关知识。这一块知识不太理解的请看下面这篇文章:
数据公钥加密和认证中的私钥公钥
该文章出自月光博客,感谢该博主的分享。
这个认证过程在Java中实现就要使用我们的SignedObject类了。

SignedObject类介绍

如果不熟悉认证过程的去看上边那篇文章,不然下面你看不懂的。下面摘自Java API SignedObject类。
SignedObject 是一个用来创建实际运行时对象的类,在检测不到这些对象的情况下,其完整性不会遭受损害。
更明确地说,SignedObject 包含另外一个 Serializable 对象,即(要)签名的对象及其签名
签名对象是对原始对象的“深层复制”(以序列化形式)。一旦生成了副本,对原始对象的进一步操作就不再影响该副本。
底层签名算法是由传递给构造方法和 verify 方法的 Signature 对象指定。下面是签名的典型用法

Signature signingEngine = Signature.getInstance(algorithm,provider);
SignedObject so = new SignedObject(myobject, signingKey,signingEngine);

下面是对验证的典型用法(已接收到 SignedObject so): 

Signature verificationEngine = Signature.getInstance(algorithm, provider);
if (so.verify(publickey, verificationEngine))
    try {
        Object myobj = so.getObject();
    } catch (java.lang.ClassNotFoundException e) {};

以下几点需要注意。首先,不需要初始化签名或验证引擎,因为它将在构造方法和 verify 方法中被重新初始化。其次,为了成功验证,指定的公钥必须是与用来生成 SignedObject 的私钥对应的公钥。
更为重要的是,出于灵活性考虑,构造方法和 verify 方法允许使用自定义的签名引擎,这样可以实现未作为加密提供者一部分正常安装的签名算法。不过,编程人员编写知道使用什么 Signature 引擎的校验器代码至关重要,因为将调用它自己的 verify 方法的实现来验证签名。换句话说,恶意 Signature 在尝试绕过安全检查的验证中会选择始终返回 true。
在所有算法中,签名算法可以是使用 DSA 和 SHA-1 的 NIST 标准 DSA。该算法使用与签名惯例相同的惯例来指定。例如,可以将使用 SHA-1 消息分类算法的 DSA 算法指定为 “SHA/DSA” 或 “SHA-1/DSA”(它们是等效的)。如果使用 RSA 标准,消息分类算法将有多种选择,例如,可将签名算法指定为 “MD2/RSA”、”MD5/RSA” 或 “SHA-1/RSA”。没有默认的算法名称,所以必须为其指定名称。
Cryptography Package Provider 的名称也是由构造方法和 verify 方法的 Signature 参数指定的。如果未指定提供者,则使用默认的提供者。每种安装都可以配置为将特定的提供者作为默认提供者。

SignedObject的使用方法

为了方便的对文件读写我们,我们将对文件读写的操作再次封装:
IOObjectFile类:

public class IOObjectFile {
    public static boolean outputObjectToFile(Serializable object,String file){
        FileOutputStream fileOutputStream = null ;
        ObjectOutputStream objectOutputStream = null ;
        try {
            fileOutputStream = new FileOutputStream(file);
            objectOutputStream = new ObjectOutputStream(fileOutputStream);
            objectOutputStream.writeObject(object);
            fileOutputStream.close();
            objectOutputStream.close();
            return true;
        } catch (FileNotFoundException e) {
            e.printStackTrace();
            return false;
        } catch (IOException e) {
            e.printStackTrace();
            return false;
        } 
    }

    public static Object inputObjectFromFile(String file) throws IOException, ClassNotFoundException{
        FileInputStream fileInputStream = null ;
        ObjectInputStream objectInputStream = null ;
        fileInputStream = new FileInputStream(file);
        objectInputStream = new ObjectInputStream(fileInputStream);
        Object object = objectInputStream.readObject();
        objectInputStream.close();
        fileInputStream.close();
        return object;
    }
}

Serializable的实现类Person:

public class Person implements Serializable{

    private static final long serialVersionUID = 987882963008866333L;

    private int age;
    private String firstName;  
    private String lastName;
    private Gender gender;

    enum Gender{
        MALE,FEMALE
    }

    public Person() {
        super();
    }

    public Person(int age, String firstName, String lastName) {
        super();
        this.age = age;
        this.firstName = firstName;
        this.lastName = lastName;
    }

    @Override
    public String toString() {
        return "Person [age=" + age + ", firstName=" + firstName
                + ", lastName=" + lastName + ", gender=" + gender + "]";
    }
}

主函数类:

public class SignMain {

    public static void main(String[] args) {
        Person jack = new Person(22,"Jack","Chai") ;
        try {
            // 1. 生成公钥私钥对
            KeyPairGenerator keyPairGenerator;
            keyPairGenerator = KeyPairGenerator.getInstance("DSA");   
            keyPairGenerator.initialize(1024);
            KeyPair keyPair = keyPairGenerator.genKeyPair();
            PrivateKey privateKey = keyPair.getPrivate();
            PublicKey publicKey = keyPair.getPublic();
            // 2. 输出key到文件
            if(IOObjectFile.outputObjectToFile(publicKey, "storage\\publicKey.txt")){
                System.out.println("输出publicKey成功");
            }else{
                System.out.println("输出publicKey失败");
            }
            // 3. 生成签名,并用SignedObject类包装
            Signature signingEngine = Signature.getInstance("DSA");
            SignedObject so = null;
            so = new SignedObject(jack, privateKey, signingEngine);
            // 4. 输出Object到文件
            if (IOObjectFile.outputObjectToFile(so, "storage\\serializable.txt")) {
                System.out.println("输出SignedObject成功");
            }else{
                System.out.println("输出SignedObject失败");
            }
            // 5. 从文件输入Key
            PublicKey publicKey2 = null;
            publicKey2 = (PublicKey) IOObjectFile.inputObjectFromFile("storage\\publicKey.txt");
            // 6. 从文件输入SignedObject,用同样的算法获得签名,
            //    在调用verify方法验证是否被篡改
            SignedObject signedObject = (SignedObject)IOObjectFile.inputObjectFromFile("storage\\serializable.txt");
            Signature verificationEngine = Signature.getInstance("DSA");
            if (signedObject.verify(publicKey2, verificationEngine)){
                try {
                    Person person = (Person) signedObject.getObject();
                    System.out.println(person.toString());
                } catch (java.lang.ClassNotFoundException e) {
                }
            }else{
                System.out.println("内容已被篡改");
            }
        } catch (NoSuchAlgorithmException e1) {
            e1.printStackTrace();
        } catch (InvalidKeyException e) {
            e.printStackTrace();
        } catch (SignatureException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException | IOException e) {
            e.printStackTrace();
        }
    }
}

运行结果:
运行结果
最后验证成功并输出了我们的Person类。这时我们去篡改一下文件中的内容试一试。
依然是将Jack改为Jeck。
篡改内容
然后我们将上面向文件输出的代码注释掉。只读取认证,运行结果:
运行结果
这时候篡改了信息之后,发生了错误,该异常表示什么呢?查看API解释为:
当从对象流中读取的控制信息与内部一致性检查相冲突时,抛出此异常。如此看来被篡改没那么容易了。 捕捉异常做处理:

SignedObject signedObject = null;
try {
    signedObject = (SignedObject)IOObjectFile.inputObjectFromFile("storage\\serializable.txt");
} catch (StreamCorruptedException e) {
    System.out.println("控制信息与内部一致性检查相冲突!");
    return ;
}

运行结果:
运行结果
通过这样的异常捕捉我们可以做其他处理。我还不能篡改之后使其不抛出异常,如果有哪位大神可以,求分享。基本上这就是SignedObject的作用。介绍这个类的文章很少,自己仅是查看文档摸索出的,如有错误请各位大神斧正。

Chacojack
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
关于序列化对象.Serializable Object总结.
RickyLin
12-19 6598
一个对象需要可实现序列化需要满足以下条件. 1.实现Serializable接口 2.父类必须实现可序列化或者存在默认无参构造函数. 3.类的域变量必须实现可序列化或者定义为transient类型. 4.类内部定义 private static final long serialVersionUID = 9999L;(可选) 如果未显式定义serialVersionUID的话,后台会自动
java signed_java11教程--类SignedObject用法
weixin_39600366的博客
02-16 226
SignedObject是一个用于创建真实运行时对象的类,其完整性在未被检测到的情况下不会受到损害。更具体地说,SignedObject包含另一个Serializable对象,即(将)签名对象及其签名。签名对象是原始对象的“深层复制”(以序列化形式)。 复制完成后,对原始对象的进一步操作对副本没有副作用。底层签名算法由传递给构造函数的Signature对象和verify方法指定。 签名的典型用法如...
Serializable
Bao5282的博客
01-11 426
#对象序列化Object Serialization 实现有限持久化(必须在自己的程序中明确地序列化和组装对象) 为序列化一个对象,首先要创建某些OutputStream 对象,然后将其封装到 ObjectOutputStream 对象内 只需调用writeObject()即可完成对象的序列化,并将其发送给OutputStream 相反的过程是将一个InputStream 封装
一篇文章带你深入学习 Java 对象序列化Serializable/ObjectOutputStream/ObjectInputStream/Externalizable/transient)
南淮北安的博客
02-12 378
一篇文章带你深入学习 Java 对象序列化Serializable/ObjectOutputStream/ObjectInputStream/Externalizable/transient)
2023巅峰极客比赛web复现
weixin_63231007的博客
08-07 377
过滤了if,用case when绕过,sleep、benchmark、rpad也过滤了,用笛卡尔积延时,通常是用count(*),这里count被过滤了,其他函数也可以,这里用sum。
java serializable 序列化反序列化
05-22
Java序列化反序列化Java开发中的一项重要技术,它允许我们将对象的状态转换为字节流,以便存储或在网络上传输。`Serializable`接口是Java提供的一个标记接口,用于实现对象的序列化。当一个类实现了这个接口,...
java 序列化反序列化的实例详解
08-29
Java 序列化反序列化Java 编程语言中的一种机制,允许将 Java 对象转换为字节序列,并将其反序列化Java 对象。序列化是指将 Java 对象转换为字节序列的过程,而反序列化是指将字节序列恢复为 Java 对象的...
java 序列化对象 serializable 读写数据的实例
09-05
以下是一个使用`Serializable`接口进行对象序列化反序列化的实例: 首先,我们定义了一个名为`Student`的类,它实现了`Serializable`接口。这个类包含了学生的姓名、ID、年龄以及一个学生列表的属性: ```java ...
Java中对象序列化反序列化详解
09-03
本文将深入探讨Java中的对象序列化反序列化的概念、原理、实现方法以及相关的注意事项。 **一、对象序列化的概念和作用** 对象序列化是将一个Java对象转换成字节流的过程,这个字节流可以存储在磁盘上,也可以在...
【Web】浅聊Hessian反序列化之打Rome出网&不出网
最新发布
uuzeray的博客
03-12 926
正如我们前文所说,当Hessian反序列化Map类型的对象的时候,会自动调用其put方法,而put方法又会牵引出各种相关利用链打法。map.put对于HashMap会触发key.hashCode()。利用到hashCode的链子有很多,如CC6和Rome相关链,但很遗憾的是CC6因为一些原因无法使用,后面会出一篇文章专门讲其原因。本文主要讲一下Rome出网和不出网的两种利用方式。
keypair java_如何在Java序列化反序列化RSA KeyPair
weixin_39517902的博客
02-13 946
我想在我的Java应用程序中实现一些非常基本的安全性,但是一开始我就陷入了困境.我想做的是这样的:1-生成RSA密钥对2将这些密钥以序列化形式存储在数据库中,以便在下次运行该应用程序时重新创建它们3-反序列化它们,这样我就可以将它们恢复为对象形式,并可以使用它们来加密/解密内容.问题是,在任何地方我都找不到直接的解释.我尝试了标准的Java序列化/反序列化方法,但是它们不起作用.我的代码如下:pu...
Java对象序列化反序列化
Charge8的博客
07-22 521
一、序列化反序列化介绍 在Java中,对象的序列化反序列化被广泛应用到RMI(远程方法调用)及网络传输中。 序列化:指将Java对象数据保存到磁盘文件中或者传递给其他网络的节点(在网络上传输)。 反序列化:指将磁盘文件中的对象数据或者把网络节点上的对象数据,恢复成Java对象的过程为反序列化。 对象序列化机制允许把内存中的Java对象转换成与平台无关的二进制流,从而允许把这种二进制流持久地保存在磁盘上,或通过网络将这种二进制流传输到另一个网络节点。其他程序一旦获得了这种二进制流,都可以将这种二进
Serializable (对象序列化操作)
qq_56800327的博客
09-04 635
在学习redis时发现如果不进行序列化操作,就不能保存读取对象。为此搜索了一些关于序列化的知识。 在解释序列化前,我们需要了解什么是持久化。 持久化的简单介绍: ”持久化“意味着对象的生存空间并不取决于程序是否在运行--他存在或生存于程序的每一次调用之间。通过序列化一个对象,将其写入磁盘,以后程序再次调用的时候重新恢复那个对象,就好像那个对象一直存在一样。 在语言中增加对象的序列化后,可以提供两种功能的支持: 1、远程调用方法(RMI)使本来存在其他机器的对象可以表现出好像在本地机器的行为。将消息
怎么把unsigned char转化成string_String属于基础数据类型么?
weixin_36037280的博客
01-28 1362
关于String讲解人:郭馨惠 日期:8月15日邮箱:guoxinhuigxh@outlook.comString 不属于基础类型,基础类型有 8 种:byte、boolean、char、short、int、float、long、double,而 String 属于对象。在Java中String是字符串 申明字符串类的变量都用这个类型,在js中string是一种基本数据类型。类型...
Spark的对象不可序列化(object not serializable)的一个解决方案
aicodex的博客
01-14 9399
       最近在公司开发了一个新项目。这个项目要求人工去编写配置文件,然后根据配置文件配置的函数去处理数据。学到的隐式转换终于排上用场了。假设这些函数就是对比两个Set内容,然后得到这俩Set的相关得分。如下,然后分别实现这些函数即可。 object ScoreFunction{ implicit class FunctionGetterFaster(val functionConf:...
使用KeyPairGenertaor生成公钥和密钥,并保存在文件中
weixin_44673447的博客
03-30 3183
1、导入依赖 2、实现代码 <dependencies> <dependency> <groupId>commons-io</groupId> <artifactId>commons-io</artifactId> <version>2.6</version> </dependency>
Java IO操作——对象序列化Serializable接口、ObjectOutputStream、以及与Externalizable接口的用法和区别)...
iteye_18817的博客
08-11 279
学习目标 掌握对象序列化的作用。 掌握Serializable接口的作用。 可以使用ObjectOutputStream进行对象的序列化操作。 可以使用ObjectInputStream进行对象的反序列化操作。 掌握Externalizable接口的作用及与Serializable接口的实现区别。 掌握transient关键字的作用。 可以序列化一组对象。 对象序列化 对象序列化,就是把一个对象变...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值