transient关键字:串行化,保护第三信息

最新推荐文章于 2021-07-03 14:55:23 发布
最新推荐文章于 2021-07-03 14:55:23 发布
阅读量402 收藏 1
点赞数
分类专栏: J2SE 文章标签: java 编译器 thread 磁盘 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cuser_online/article/details/6696600
版权
 最早的保护敏感信息的技术是把包含敏感数据的成员声明为私有的(private)和暂时的(transietn) .  使用transietn修饰的变量不会被串行化,也不可能通过任何串行化机制
保存. 这样的声明可以使得敏感数据不会出现在流中,也不会通过串行化机制恢复.而且,对私有成员的读写不能扩散到类之外,所以这种方法可以保护敏感数据的安全.

特别重要的类根本不应该串行化,为了保证这一点,这样的类不能实现Serializable接口或Externalizable接口.

transient关键字使用的场合

对于某些类型的对象,其状态是瞬时的,这样的对象是无法保存其状态的,例如一个Thread对象或一个FileInputStream对象,对于这些字段,我们必须用
transient关键字声明,否则编译器报错.

另外,串行化可能涉及将对象存放到磁盘或在网络上传输,
这时候就会产生安全问题,因为数据位于Java运行环境之外,
不在Java安全机制的控制之中.对于需要保密的字段,不
应该保存在永久介质中,或者不就简单地不加处理地保存下来,为了保证安全性,应该在这些字段前面加上transient关键字加以修饰.

cuser_online
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Java transient关键字与序列化操作实例详解
08-25
主要介绍了Java transient关键字与序列化操作,结合实例形式详细分析了java序列化操作相关实现方法与操作注意事项,需要的朋友可以参考下
transient关键字
狼行千里吃肉
06-18 129
作用 transient关键字被用来表示变量将不被序列化处理; 默认情况下,对象所有的变量都会转变成持久状态,但是有时候,一些变量可能不需要序列化,例如用户密码、姓名、证件号码等敏感信息,这时,就可以将这些变量申明为transient,如果一个变量被申明为transient,那么这个变量就不会被序列化; 注意事项 ①transient关键字只能修饰变量,而不能修饰方法和类; ②本地变量是不能被transient关键字修饰的,变量如果是用户自定义类变量,则该类需要实现Serializable接口;
java代码审计之反序列化(敏感信息泄露)
糖小喵
05-07 4679
前言 在 Java 环境中,允许处于不同受信域的组件进行数据通信,从而出现跨受信边界的数据传输。不要序列 化未加密的敏感数据;不要允许序列化绕过安全管理器。 public class GPSLocation implements Serializable { private double x; // sensitive field private double y; // sensitive...
序列化、反序列化和transient关键字
weixin_43918355的博客
07-03 584
转载地址:序列化、反序列化和transient关键字的作用 - duanxz - 博客园 (cnblogs.com) 目录 序列化 ID 问题 静态变量序列化 父类的序列化与 Transient 关键字 对敏感字段加密 序列化存储规则 默认序列化 手动指定序列化过程 重点!!! 我们自己写的writeObject和readObject为什么会被调用? 复杂序列化情况总结 序列化 ID 问题 情境:两个客户端 A 和 B 试图通过网络传递对象数据,A 端将对象 C 序列...
Java基础—序列化关键字transient
sanmi8276的博客
01-19 2813
原文作者:老鼠只爱大米 原文地址:Javatransient关键字的详细总结 一、概要介绍 本文要介绍的是Java中的transient关键字transient是短暂的意思。对于transient 修饰的成员变量,在类的实例对象的序列化处理过程中会被忽略。 因此,transient变量不会贯穿对象的序列化和反序列化,生命周期仅存于调用者的内存中而不会写到磁盘里进行持久化。 (1)序列化 Java中对象的序列化指的是将对象转换成以字节序列的形式来表示,这些字节序列包含...
代码审计[java安全编程]
0x00的博客
06-27 8688
SQL注入 介绍 注入攻击的本质,是程序把用户输入的数据当做代码执行。这里有两个关键条件,第一是用户能够控制输入;第二是用户输入的数据被拼接到要执行的代码中从而被执行。sql注入漏洞则是程序将用户输入数据拼接到了sql语句中,从而攻击者即可构造、改变sql语义从而进行攻击。 漏洞示例一:直接通过拼接sql @RequestMapping("/SqlInjection/{id}") public...
Java关键字Transient串行化
09-13
关于Java关键字transient串行化的简略介绍
Java transient关键字使用小记
01-20
哎,虽然自己熟的是Java,但很多Java基础知识都不知道,比如transient关键字以前都没用到过,所以不知道它的作用是什么,做笔试题时发现有一题是关于这个的,于是花个时间整理下transient关键字的使用,涨下姿势~~~...
Java transient关键字原理解析
08-25
主要介绍了Java transient关键字原理解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
javatransient关键字用法分析
09-03
主要介绍了javatransient关键字用法,以实例形式分析了javatransient关键字的功能及使用技巧,具有一定参考借鉴价值,需要的朋友可以参考下
transient
冷血天狼的博客
07-29 154
        当我们需要序列化的时候,不想某些敏感字段序列化,因为如果默认实现Serilizable接口序列化,数据在网络传播的话,内容很容易被别人截获并且反序列化,导致信息不安全,这个时候,需要在不想序列化的字段上加transient关键字或者注解(自己百度下)。 下面,就以简单的例子来演示该关键字的使用 package com.guanjianzi; import java.io.S...
transient关键字解读笔记
反反复复的博客
05-29 3506
今天在阅读ArrayList源码时,发现一个以前没有遇到过的关键字transient,于事百度了一下,百度到这篇博客 transient关键字详解,作者讲得很详细,我也对transient关键字有了一定的了解,所以我自己也整理一下,一是加强理解,二是便于自己以后直接查看。 1. transient关键字的用途 首先我们需要知道,当一个对象实现了Serializable接口后,该对象就可以被序列化(...
java中序列化和transient关键字使用小结
十豆三展的博客
03-30 2206
一、背景:Java中的对象序列化 1.对象序列化的类是有要求的,这个序列化的类必须实现一个接口Serializable,这个 接口没有任何方法声明,它是一个标识接口。 2.对象流可以将Java对象转换成二进制写入磁盘,这个过程通常叫做序列化。 并且还可以从磁盘读出完整的Java对象,而这个过程叫做反序列化。 3.序列化 ObjectOutputStream 把对象转成文件 反序列化 ...
java基础总结(四)--transient关键字用法
秋天的猿
03-31 593
    1. transient的作用及使用方法      我们都知道一个对象只要实现了Serilizable接口,这个对象就可以被序列化,java的这种序列化模式为开发者提供了很多便利,我们可以不必关系具体序列化的过程,只要这个类实现了Serilizable接口,这个类的所有属性和方法都会自动序列化。      然而在实际开发过程中,我们常常会遇到这样的问题,这个类的有些属性需要序列化,而其他属...
transient的使用与总结
guanfengliang的专栏
02-02 1494
1. transient作用 我们都知道一个对象只要实现了Serilizable接口,这个对象就可以被序列化,java的这种序列化模式为开发者提供了很多便利,我们可以不必关系具体序列化的过程,只要这个类实现了Serilizable接口,这个类的所有属性和方法都会自动序列化。 然而在实际开发过程中,我们常常会遇到这样的问题,这个类的有些属性需要序列化,而其他属性不需要被序列化,打个比方,如果
javatransient的作用及使用方法
我的专栏
11-28 544
transient的作用及使用方法 我们都知道一个对象只要实现了Serilizable接口,这个对象就可以被序列化,java的这种序列化模式为开发者提供了很多便利,我们可以不必关系具体序列化的过程,只要这个类实现了Serilizable接口,这个类的所有属性和方法都会自动序列化。 然而在实际开发过程中,我们常常会遇到这样的问题,这个类的有些属性需要序列化,而其他属性不需要被序列化,打个比方,...
java transient关键字 阻止字段被序列化
壹口尘埃
05-03 4086
Java的serialization提供了一种持久化对象实例的机制。当持久化对象时,可能有一个特殊的对象数据成员,我们不想用serialization机制来保存它。为了在一个特定对象的一个域上关闭serialization,可以在这个域前加上关键字transient。当一个对象被序列化的时候,transient型变量的值不包括在序列化的表示中,然而非transient型的变量是被包括进去的。
transient关键字详解
热门推荐
u013207877的专栏
09-18 2万+
1,transient的用途及使用方法1,用途  我们知道,当一个对象实现了Serilizable接口,这个对象就可以被序列化,我们不关心其内在的原理,只需要了解这个类实现了Serilizable接口,这个类的所有属性和方法都会自动序列化。而在开发过程中,我们可能要求:当对象被序列化时(写入字节序列到目标文件)时,有些属性需要序列化,而其他属性不需要被序列化,打个比方,如果一个用户有一些敏感信息(如
transient关键字的作用
最新发布
06-09
transient关键字用于Java中的序列化机制,它可以标记一个类的成员变量,告诉...需要注意的是,transient关键字只对Java的序列化机制生效,对于其他类型的持久化操作(如数据库存储),仍需要其他的手段来保护敏感数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值