Java序列化的机制原理（二）

引言

在上文中我们讲解了在java中怎么序列化一个类，并且分析了序列化后的数据。已经对序列化有了一个初步认识，在今天我们在尝试另外一种序列化方式。

正文

场景演示

现在假设一个场景，一个User实体需要序列化，并且不需要属性age序列化。首先根据之前所学，先实现Serializable，但是我们知道，实现Serializable后所有属性都会序列化，怎样避免age不被序列化，那就要用到transient，次关键词的意思就是在jvm序列化中，不序列化次关键词修饰的属性，但是在jvm还是会给一个默认值，基本数据类型中int，long之类的默认为0，boolean默认为false，引用类型默认为null。

public class User implements Serializable {
    private String id;
    private String username;
    private String pwd;
    private transient Integer age;
    private Integer gender;
    ......
//省略其他属性和setget方法
}

现在又有一个新的问题出现了，pwd要进行加密处理传输（假设pwd是明文），只传递pwd的密文和usernam这两个属性，我们知道在序列化后所有的值都是可以通过数值转换得到，所以直接实现Serializable是不可能满足需求。那么有法便有破，在java中有一个接口继承了Serializable接口，并新增两个方法。为用户提供自定义序列化方式，那就是Externalizable，用于满足用户自定义序列化数据。

Externalizable强制自定义序列化

public interface Externalizable extends java.io.Serializable {
    void writeExternal(ObjectOutput out) throws IOException;
    void readExternal(ObjectInput in) throws IOException, ClassNotFoundException;
}  

Externalizable继承于Serializable接口，内部有两个方法void writeExternal(ObjectOutput out) throws IOException;和void readExternal(ObjectInput in) throws IOException, ClassNotFoundException;从名字就可看出这两个方法跟序列化和反序列化有关。
在序列化过程中，JVM会试图调用对象类里的writeObject和readObject方法，进行用户自定义的序列化和反序列化，如果没有这样的方法，则默认调用是ObjectOutputStream的defaultWriteObject方法以及 ObjectInputStream的defaultReadObject方法。如果用户重写的writeObject和readObject方法，jvm就以用户控制序列化的方式来序列化数据。
那么上文的类就可以改造成User实现Externalizable，并且重写writeExternal和readExternal方法，在writeExternal自定义序列化数据。

public class User implements Externalizable {
    private String id;
    private String username;
    private String pwd;
    private Integer age;
    private Integer gender;
    //注意，必须加上public无参构造器
    public User() {
    }
    @Override
    public void writeExternal(ObjectOutput out) throws IOException {
        //假装加密
        pwd="假装加密";
        out.writeObject(pwd);
        out.writeObject(username);
    }

    @Override
    public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {
        //假装解密
        pwd= in.readObject().toString();
        username= in.readObject().toString();
    }
}
    public static void main(String[] args) throws Exception {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("User.txt"));
        User obj = new User();
        obj.setUsername("mm");
        obj.setPwd("12345678");
        oos.writeObject(obj);
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("User.txt"));
        User user = (User) ois.readObject();
}

在代码中，特地强调了要声明一个无参的构造方法。因为JVM在反序列化的时候会通过反射创建对象。还要有注意的一点就是，在readExternal的方法中取具体的属值得时候要和writeExternal写数据的顺序要一致，由此可以推断出属性值不能多取。经试验发现如果多取属性值就会报OptionalDataException异常。原因是读到了序列化对象的结束，所以系统报错。

总结

在序列化中使用Serializable较为简单，只需要实现其方法就可以实现序列化。但是适用范围较窄、开发人员无法对数据进行操作、性能较差。而实现Externalizable进行序列化较为复杂，必须手动设置（不设置序列化后将是一个空的对象）哪些属性需要序列化，并需要至少一个无参构造函数。但是开发人员可以对具体属性进行自定义操作，在数据传递过程中可以更好的利用资源和保证数据的安全性。