Java Serialization/序列化/反序列化

最新推荐文章于 2024-11-03 11:01:20 发布
最新推荐文章于 2024-11-03 11:01:20 发布
阅读量433 收藏
点赞数
分类专栏: java技术 文章标签: Java序列化 java


Java提供了一个机制,称为一个对象可以被表示为字节序列,包括该对象的数据以及关于该对象的类型,并存储在对象数据的类型的信息的对象序列。 yiibai.com

后一个序列化的对象已经被写入到一个文件中,也可以从文件中读取和反序列化也就是,表示对象和它的数据可以用于重新创建在存储器中的对象的类型信息和字节。

最令人印象深刻的是,整个过程是独立的JVM,这意味着一个对象可以被序列化在一个平台上,并反序列化一个完全不同的平台上。

ObjectInputStream 和 ObjectOutputStream 是包含了方法,序列化和反序列化对象的高层次的数据流。yiibai.com

ObjectOutputStream类包含许多write方法写入各种数据类型,但在特定的一个方法脱颖而出:

public final void writeObject(Object x) throws IOException

上述方法序列化一个对象,并将其发送到输出流。同样,ObjectInputStream的类包含用于反序列化对象的以下方法: yiibai.com

public final Object readObject() throws IOException, 
                                 ClassNotFoundException

此方法检索的下一个对象输出流和反序列化。返回值是Object,所以需要将它转换成其相应的数据类型。

为了演示序列化的运作方式在Java中,将使用在本教程中在前面讨论的Employee类。假设我们有以下的Employee类,它实现了Serializable接口: www.yiibai.com

public class Employee implements java.io.Serializable
{
   public String name;
   public String address;
   public transient int SSN;
   public int number;
   public void mailCheck()
   {
      System.out.println("Mailing a check to " + name
                           + " " + address);
   }
}

请注意,一类被序列化成功,两个条件必须满足:

  • 这个类必须实现java.io.Serializable接口。 yiibai.com

  • 所有在类中的字段必须是可序列化的。如果一个字段不是可序列化的,必须注明短暂的。

如果想知道,一个Java标准类是可序列化与否,请检查类的文档。测试很简单:如果一个类实现了java.io.Serializable,那么它是可序列化的,否则,它不是。

序列化一个对象:

ObjectOutputStream类用于序列化一个对象。下面SerializeDemo程序实例化一个Employee对象,并将其序列化到一个文件中。

当程序执行完毕,一个名为employee.ser被创建。程序不会产生任何输出,但研究代码,并尝试确定哪些程序正在做什么。

注:当序列化一个对象到一个文件中,在Java标准惯例给定的文件扩展名为 .ser 。 www.yiibai.com

import java.io.*;

public class SerializeDemo
{
   public static void main(String [] args)
   {
      Employee e = new Employee();
      e.name = "Reyan Ali";
      e.address = "Phokka Kuan, Ambehta Peer";
      e.SSN = 11122333;
      e.number = 101;
      try
      {
         FileOutputStream fileOut =
         new FileOutputStream("/tmp/employee.ser");
         ObjectOutputStream out = new ObjectOutputStream(fileOut);
         out.writeObject(e);
         out.close();
         fileOut.close();
         System.out.printf("Serialized data is saved in /tmp/employee.ser");
      }catch(IOException i)
      {
          i.printStackTrace();
      }
   }
}

反序列化对象:

下面DeserializeDemo程序反序列化的SerializeDemo程序创建的Employee对象。研究程序,并尝试确定其输出:

import java.io.*;
public class DeserializeDemo
{
   public static void main(String [] args)
   {
      Employee e = null;
      try
      {
         FileInputStream fileIn = new FileInputStream("/tmp/employee.ser");
         ObjectInputStream in = new ObjectInputStream(fileIn);
         e = (Employee) in.readObject();
         in.close();
         fileIn.close();
      }catch(IOException i)
      {
         i.printStackTrace();
         return;
      }catch(ClassNotFoundException c)
      {
         System.out.println("Employee class not found");
         c.printStackTrace();
         return;
      }
      System.out.println("Deserialized Employee...");
      System.out.println("Name: " + e.name);
      System.out.println("Address: " + e.address);
      System.out.println("SSN: " + e.SSN);
      System.out.println("Number: " + e.number);
    }
}

这将产生以下结果:

Deserialized Employee...
Name: Reyan Ali
Address:Phokka Kuan, Ambehta Peer
SSN: 0
Number:101

这里有以下重要点要注意: yiibai.com

  • try/catch块试图捕获一个ClassNotFoundException,这是由readObject()方法声明。对于一个JVM能够反序列化对象时,它必须能够找到的字节码的类。如果JVM不能对象的反序列化过程中发现的一类,它抛出一个ClassNotFoundException。

  • 请注意,调用readObject()返回值被强制转换为Employee 参考。 

  • SSN字段的值是11122333当对象被序列化,但因为该字段是短暂的,这个值是不会被发送到输出流。反序列化的Employee对象的SSN字段为0。

技术搬砖工
关注
专栏目录
CVE-2023-21839:Weblogic反序列化漏洞复现
薛定谔嘚喵博客
04-16 4326
WebLogic是美国Oracle公司出品的一个application server,确切的说是一个基于JAVAEE架构的中间件,WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。将Java的动态功能和Java Enterprise标准的安全性引入大型网络应用的开发、集成、部署和管理之中。
Java Serialization/序列化/反序列化 及 transient Java关键字详解
_William_Cheung的博客
03-31 1823
以前只知道序列化反序列化的意思及怎么去使用,没有更深入的去了解,在学习之中遇到了这个transient关键字,以前并不知道在Java中 还有 transient 关键字,既然遇到了就花点时间把整理一下,查阅了一些资料看了一下,自己整理一份让方便更多的人去学习。 首先,Java提供了一个机制,称为一个对象可以被表示为字节序列,包括该对象的数据以及关于该对象的类型,并存储在对象数据
Java序列化(Serialization) 机制
09-02
本篇文章是对Java中对象的序列化(Serialization) 机制进行了详细的分析介绍,并附实例,需要的朋友可以参考下
JNDI注入高版本绕过学习
why811的博客
09-06 264
JNDI(Java Naming and Directory Interface)是一个应用程序设计的 API,一种标准的 Java 命名系统接口。JNDI 提供统一的客户端 API,通过不同的访问提供者接口JNDI服务供应接口(SPI)的实现,由管理者将 JNDI API 映射为特定的命名服务和目录系统,使得 Java 应用程序可以和这些命名服务和目录服务之间进行交互。
Java ldap协议分析
YakProject的博客
11-06 246
LDAP是Lightweight Directory Access Protocol的缩写,顾名思义,它是指轻量级目录访问协议。这个协议是用于访问目录服务的。目录服务和数据库很类似,但又有着很大的不同之处。数据库设计为方便读写,但目录服务专门进行了读优化的设计,因此不太适合于经常有写操作的数据存储。目录服务会通过树状结构存储数据,如下图,这样存储的优点就是查询效率高。
Java安全』绕过JDK高版本限制进行JNDI注入学习研究
Ho1aAs‘s Blog
02-22 2847
文章目录绕过原理使用本地类作为恶意工厂攻击RMI探究BeanFactory类pom.xmlPoCjavax.el.ELProcessorGroovy.lang.GroovyShell引用参考完 绕过原理 对于JDK版本11.0.1、8u191、7u201、6u211及以上,RMI和LDAP的trustURLCodebase已经被限制,但是还存在几种方法绕过 使用受害者本地的类作为恶意Reference Factory攻击RMI 利用LDAP返回序列化数据触发Gadget 使用本地类作为恶意工厂攻击RMI
深入浅析Java Object Serialization与 Hadoop 序列化
08-30
深入浅析Java Object Serialization与 Hadoop 序列化 序列化是指将结构化对象转化为字节流以便在网络上传输或者写到磁盘永久存储的过程。Java 中的序列化是通过实现 Serializable 接口来实现的,而 Hadoop 序列化则...
详解Java 序列化反序列化Serialization
08-26
Java 序列化反序列化Serialization)知识点总结 Java 序列化反序列化Java 语言中的一种机制,用于将对象的状态信息转化为可以存储或者传输的形式的过程。序列化Serialization)是将对象的状态信息转化为...
Java对象的序列化反序列化Java开发Java经验技巧
11-22
Java对象的序列化反序列化Java编程中一项重要的技术,它允许我们将Java对象转换为字节流,便于存储、传输或者在网络间传递。这一过程对于数据持久化、跨进程通信(如RMI,Remote Method Invocation)以及分布式...
Java序列化反序列化三种格式存取
12-22
 Java中的序列化serialization)机制能够将一个实例对象的状态信息写入到一个字节流中,使其可以通过socket进行传输、或者持久化存储到数据库或文件系统中;然后在需要的时候,可以根据字节流中的信息来重构一个...
Java Serialized 序列化 作用
alinekang的博客
07-27 2473
今天在看设计模式时,看到迪米特法则时,有一点,谨慎使用Serialized: 一个项目中使用 远程方法调用 方式传递一个VO(值对象),这个对象就必须实现Serialized接口,也就是把需要网络传输的对象进行序列化,否则会出现NotSerialiableException 异常。若VO修改了一个属性的权限,由private改为public 访问权限变大了,如果服务器上没有做出相应的变更,就会报...
Java基础之序列化对象Serialized
qq_44129924的博客
12-15 708
文章目录序列化对象Serialized目的:序列化类型应用场景代码案例直接应用自定义对象序列化 序列化对象Serialized 目的: 序列化机制允许将实现序列化Java对象转换成字节序列 ,这些字节序列可以被保存在磁盘上,或者通过网络传输,以备以后重新恢复成原来的对象. 序列化类型 对象的序列化(serialize)指将一个Java对象写入IO流中 对象的反序列化机制(Deserialize)则指从IO流中恢复该Java对象. 应用场景 当你想把的内存中的对象保存到一个文件中或者数据库中时候;
springboot学习(三)——使用HttpMessageConverter进行http序列化反序列化
Yang0015的博客
01-01 1582
以下内容,如有问题,烦请指出,谢谢! 对象的序列化/反序列化大家应该都比较熟悉:序列化就是将object转化为可以传输的二进制,反序列化就是将二进制转化为程序内部的对象。序列化/反序列化主要体现在程序I/O这个过程中,包括网络I/O和磁盘I/O。 那么什么是http序列化反序列化呢? 在使用springmvc时,我们经常会这样写: @RestController @RequestMa...
Java 序列化
chenziyin9959的博客
12-19 212
Java 提供了一种对象序列化的机制,该机制中,一个对象可以被表示为一个字节序列,该字节序列包括该对象的数据、有关对象的类型的信息和存储在对象中数据的类型。 将序列化对象写入文件之后,可以从文件中读取出来,并且对它进行反序列化,也就是说,对象的类型信息、对象的数据,还有对象中的数据类型可以用来...
《JDK 8u191之后的JNDI注入(LDAP)》学习
公众号shadow sock7
09-27 5066
参考: 8u191之后的JNDI注入(LDAP) JNDI注入,即某代码中存在JDNI的string可控的情况,可构造恶意RMI或者LDAP服务端,导致远程任意类被加载,造成任意代码执行。 JNDI注入中RMI和LDAP与JDK版本的关系,参考这张图: 来源: https://xz.aliyun.com/t/6633 RMI + JNDI Reference利用方式: JDK 6u132, JD...
HashMap为什么线程不安全?
最新发布
rnnf_yyds的博客
11-03 340
HashMap底层是基于数组 + 链表(在 Java 8 以后,当链表长度超过一定阈值时会转换为红黑树)的数据结构。在多线程环境下,当多个线程同时对HashMap进行put操作时,可下面这种情况:假设两个线程 A 和 B 同时执行put操作,它们计算出的插入位置相同(假设为index线程 A 先获取到了当前index位置的节点,在它还没来得及将新节点插入链表(或树)时,线程 B 也获取到了这个位置的节点。
[自用,更新自day5]瑞吉外卖代码及笔记
lapiii的博客
11-01 862
当使用ThreadLocal维护变量时,ThreadLocal为每个使用该变量的线程提供独立的变量副本,所以每一个线程都可以独立地改变自己的副本,而不会影响其它线程所对应的副本。Mybatis Plus公共字段自动填充,也就是在插入或者更新的时候为指定字段赋予指定的值,使用它的好处就是可以统一对这些字段进行处理,避免了重复代码。因为在分页查询的Dish的records(菜品记录中),只有这个菜品所属的categoryId,但是我们需要分页的时候展示的是菜品名字。
服务器虚拟化
Hellc007的博客
10-30 906
服务器虚拟化是一种将物理服务器的计算资源分割为多个独立虚拟环境的技术,通过软件层将底层硬件资源抽象化并在上层构建多个虚拟机(Virtual Machine, VM)。每个虚拟机运行独立的操作系统和应用程序,相互之间不受干扰,具备类似于物理服务器的功能。这种技术使得一台物理服务器能够承担多台虚拟服务器的角色,从而极大地提升了硬件资源的利用率。服务器虚拟化的概念最早可追溯到20世纪60年代IBM大型机时代,当时虚拟化被用来将大型机的资源分配给多个任务,使得企业在有限的资源下能够同时运行多个应用。
基于vue框架的的汇生活家居商城的设计与实现bdjlq(程序+源码+数据库+调试部署+开发环境)系统界面在最后面。
h2345678的博客
10-29 1430
项目功能:商品分类,商品信息,用户。
XML与对象序列化反序列化详解
在.NET框架中,可以使用`System.Xml.Serialization`命名空间中的`XmlSerializer`类来进行XML序列化反序列化。例如,要序列化`Team`对象,可以创建一个`XmlSerializer`实例,然后调用其`Serialize`方法: ```...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值