Singleton单例模式-如何防止序列化对单例类的攻击?

最新推荐文章于 2022-07-19 22:36:06 发布
最新推荐文章于 2022-07-19 22:36:06 发布
阅读量580 收藏 2
点赞数
分类专栏: java 文章标签: singleton 单例模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hl_java/article/details/87464951
版权

既然是防止序列化的攻击,简单的做法就是这个单例类不要实现Serializable接口即可(是不是比较简单,嘻嘻),不过呢可能有面试官会问到如果实现了Serializable接口那如何防止破坏单例模式呢?

先来一个“懒汉式-防止指令重排优化的懒汉式”示例,参见
https://blog.csdn.net/hl_java/article/details/70148622 ,本文这个示例在原来的基础上增加了抗反射攻击的

public class MyManger7 implements Serializable {
    //这里两行的顺序非常关键,当前行(public static boolean flag = false;)一定要在(private static MyManger7 instance;)的前面
    //因为下面这一行new MyManger7()其中的构造器会修改flag的值,如果顺序被调整,new MyManger7()中修改过的值后来
    //又会被static boolean flag = false;覆盖,从而没有目的
    public static boolean flag = false;
    private static volatile MyManger7 instance;

    private MyManger7() {
        synchronized (MyManger7.class) {
            if (flag == false) {
                flag = true;
            } else {
                throw new RuntimeException("正在遭受反射攻击");
            }
        }
    }

    public static MyManger7 getInstance() {
        if (instance == null) {
            synchronized (MyManger7.class) {
                if (instance == null) {
                    instance = new MyManger7();
                }
            }
        }
        return instance;
    }
}

反序列化攻击测试用例:

public class ReflectSingletonTest {
    public static void main(String[] args) throws Exception {
        MyManger7 sc1 = MyManger7.getInstance();
        MyManger7 sc2 = MyManger7.getInstance();
        System.out.println("第1次getInstance得到的对象:" + sc1);
        System.out.println("第2次getInstance得到的对象:" + sc2);
        System.out.println("比较2次getInstance得到的对象是否相同:" + (sc1 == sc2)); // sc1,sc2是同一个对象

        /**
         * 通过反序列化的方式构造多个对象(单例类需要实现Serializable接口)
         */
        // 1. 把对象sc1写入硬盘文件
        FileOutputStream fos = new FileOutputStream("object.txt");
        ObjectOutputStream oos = new ObjectOutputStream(fos);
        oos.writeObject(sc1);
        oos.close();
        fos.close();

        // 2. 把硬盘文件上的对象读出来
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("object.txt"));
        // 如果对象定义了readResolve()方法,readObject()会调用readResolve()方法。从而解决反序列化的漏洞
        MyManger7 sc5 = (MyManger7) ois.readObject();
        // 反序列化出来的对象,和原对象,不是同一个对象。如果对象定义了readResolve()方法,可以解决此问题。
        System.out.println("序列化出来的对象:" + sc5);
        ois.close();

        System.out.println("判断由对象sc1序列化后,又反序列化得到的是否是同一个对象:" + (sc1 == sc5));

    }
}

测试结果:

第1次getInstance得到的对象:com.alioo.format.service.test.single.MyManger7@41cf53f9
第2次getInstance得到的对象:com.alioo.format.service.test.single.MyManger7@41cf53f9
比较2次getInstance得到的对象是否相同:true
序列化出来的对象:com.alioo.format.service.test.single.MyManger7@61e717c2
判断由对象sc1序列化后,又反序列化得到的是否是同一个对象:false

根据上面最后一行日志,可以看到的确被攻击了,优化后的单例代码如下:

public class MyManger7 implements Serializable {
    //这里两行的顺序非常关键,当前行(public static boolean flag = false;)一定要在(private static MyManger7 instance;)的前面
    //因为下面这一行new MyManger7()其中的构造器会修改flag的值,如果顺序被调整,new MyManger7()中修改过的值后来
    //又会被static boolean flag = false;覆盖,从而没有目的
    public static boolean flag = false;
    private static volatile MyManger7 instance;

    private MyManger7() {
        synchronized (MyManger7.class) {
            if (flag == false) {
                flag = true;
            } else {
                throw new RuntimeException("正在遭受反射攻击");
            }
        }
    }

    public static MyManger7 getInstance() {
        if (instance == null) {
            synchronized (MyManger7.class) {
                if (instance == null) {
                    instance = new MyManger7();
                }
            }
        }
        return instance;
    }

    // 防止反序列化获取多个对象的漏洞。
    // 无论是实现Serializable接口,或是Externalizable接口,当从I/O流中读取对象时,readResolve()方法都会被调用到。
    // 实际上就是用readResolve()中返回的对象直接替换在反序列化过程中创建的对象。
    private Object readResolve() throws ObjectStreamException {
        return instance;
    }

}

再次使用反序列化攻击测试用例,运行一下验证结果:

第1次getInstance得到的对象:com.alioo.format.service.test.single.MyManger7@41cf53f9
第2次getInstance得到的对象:com.alioo.format.service.test.single.MyManger7@41cf53f9
比较2次getInstance得到的对象是否相同:true
序列化出来的对象:com.alioo.format.service.test.single.MyManger7@41cf53f9
判断由对象sc1序列化后,又反序列化得到的是否是同一个对象:true

可以看到反序列化之后得到的对象就是之前通过MyManger7.getInstance()得到的对象,所以这个时候的反序列化攻击是失败的。

题外话
既然是单例类,本身也提供了获取单例的方式方法public static MyManger7 getInstance(), 所以我们原则上不是不希望还有其它的获取单例的方式的。
也就是说我们是不希望通过反序列化来获取单例的,那我们就真的不需要让这个单例类实现Serializable接口的,自然而然也就可以避免反序列化的攻击(此为个人理解,不知对否,如有高手路过,肯请指点)

作者相关文章

Singleton单例模式的几种创建方法
Singleton单例模式-如何防止JAVA反射对单例类的攻击?
Singleton单例模式-如何防止序列化对单例类的攻击?
Singleton单例模式-【懒汉式-加双重校验锁&防止指令重排序的懒汉式】实现方案中为什么需要加volatile关键字?

设计模式-单例模式-注册式单例模式-枚举式单例模式和容器式单例模式在Java中的使用示例
BADAO_LIUMANG_QIZHI的博客
10-28 1007
上面讲了单例模式的三种方式,另外还有一种注册式单例模式
Singleton单例模式
TheSeasonSun的博客
04-13 639
设计模式之单例模式
如何防止序列化破坏单例模式
tang1988911的专栏
02-18 392
只要在Singleton中定义readResolve方法: private Object readResolve() { return singleton; }
单例模式安全之序列化攻击
qq_29879799的博客
05-05 467
源码 什么是序列化攻击呢? 简单说,一个单例对象经过序列化再反序列化后,内存中会存在两个对象,这样单例模式就被破坏。 序列化攻击复现 序列化攻击复过程 获取到单例对象 对象序列化持久到磁盘 反序列化成对象 这里采用JDK的自带的序列化方式 单例实现Serializable接口 package com.fine.serialize; import java.io.Serializable;...
设计模式——单例模式(防止序列化以及反射机制侵犯)
hacfox的专栏
04-06 1835
单例模式的几种写法:懒汉,恶汉,双重校验锁,枚举和静态内部。 以及线程安全的单例模式防止序列化防止反射机制侵犯的解决方案。 创建单例很简单,总共三点: 私有构造器 声明一个私有的静态变量 提供一个对外的公共的静态方法访问该变量,如果该变量没有对象,则创建该对象
四种单例模式优缺点,以及防止序列化序列化破解
litong835881846的博客
09-25 355
1恶汉式单例模式 package com.example.demo.singleton; /** * 恶汉式 单例模式 * 优点:初始化即加载对象,1、线程安全(加载时,天然的是线程安全的);2、效率高(不需同步) * 缺点:未延迟加载 */ public class SingletonDemo { private static SingletonDemo instance ...
Java-设计模式-单例模式-实现源码(简单实现、双重检查锁、静态内部、枚举
03-14
使用枚举实现单例模式是Java 5之后推荐的方法,因为枚举天生就是线程安全的,同时也避免序列化带来的问题。 ```java public enum Singleton { INSTANCE; public void someMethod() { // ... } } ``` ...
设计模式-Singleton单例模式详解以及8种写法
huangqingfeng的博客
04-22 520
什么是单例模式 单列模式是保证在内存之中只有一个实例 单列模式的八种写法 第一种写法饿汉式 加载到内存后,就实例化一个单例,JVM保证线程安全。简单实用,推荐使用!缺点:不管用到与否,装载时就完成实例化 public class Mgr01 { private static final Mgr01 INSTANCE = new Mgr01(); private Mgr01() {}; public static Mgr01 getInstance() {
单例模式-----<ant求职记之设计模式>
03-17
7. 枚举单例:最安全且推荐的方式,天然防反射攻击序列化攻击。 ```java public enum Singleton { INSTANCE; public void whateverMethod() {} } ``` 在《ant求职记之设计模式》这篇博文中,作者可能通过一个...
单例模式实现及防止反射与序列化
Better_YZQ的博客
07-19 872
单例模式 模式动机 对于系统中的某些来说,只有一个实例很重要,如一个系统中只有一个计时工具和 ID(序号)生成器。 单例模式适用情况包括:系统只需要一个实例对象;客户调用的单个实例只允许使用一个公共访问点。 定义 顾名思义,用来保证一个对象只能创建一个实例,除此之外,它还提供了对实例的全局访问方法。 单例模式的要点有三个:一是只能有一个实例;二是它必须自行创建这个实例;三是它必须自行向整个系统提供这个实例。 实现 为了确保单例实例的唯一性,所有的 单例构造器都要被声明为私有 的,再通过声明 静态方法实
单例模式及其序列化/反序列化
xuerhu85的博客
02-26 225
为了使一个单例变成可串行化的,仅仅在声明中添加“implements Serializable”是不够的。因为一个串行化的对象在每次返串行化的时候,都会创建一个新的对象,而不仅仅是一个对原有对象的引用。为了防止这种情况,可以在单例中加入readResolve 方法。 下面我们先简要地回顾下对象的序列化. 一般来说, 一个实现了 Serializable接口,...
单例模式-序列化问题
qq_34679704的博客
03-19 517
在前面文章 单例模式-双检锁就稳了?,提到了对象序列化会破坏单例模式,同时也做了试验,今天我们来借着这个问题了解一下序列化的过程。 序列化的作用起源这里就不详细赘述了,本文主要解决序列化破坏单例的问题。如果想详细了解序列化,反序列化过程,推荐一篇文章,写得清清楚楚,包括底层实现流程。 https://cloud.tencent.com/developer/article/1125165) 问题...
单例模式序列化
weixin_34006468的博客
04-14 118
2019独角兽企业重金招聘Python工程师标准>>> ...
java 单例模式 序列化_单例模式序列化与反序列化
weixin_35753431的博客
02-26 162
package com.wz.thread.resolve;import java.io.ObjectStreamException;import java.io.Serializable;/*** 序列化与反序列化* @author Administrator**/public class MyObject implements Serializable {private static fina...
【Java设计模式】单例模式序列化
qq_45461593的博客
07-29 383
序列化会破坏单例模式 当使用双重校验锁并且使用了volatile的时候,这种看上去非常perfect的方式也可能存在单例模式被破坏的问题,那就是遇到序列化的时候。 Q:序列化之后的对象还是同一个吗 答案是 不是 public class Singleton implements Serializable{ private volatile static Singleton singleton; private Singleton (){} public static Singleto
单例模式序列化与反序列化实现
anLA_的专栏
04-16 2242
静态内部可以达到线程安全问题,但是如果遇到序列化对象时,使用默认的方式运行得到的结果 坑你还是多例的。 package test; import java.io.ObjectStreamException; import java.io.Serializable; public class MyObject implements Serializable { private stat
序列化单例模式
冷血天狼的博客
10-23 491
本文将通过实例+阅读Java源码的方式介绍序列化是如何破坏单例模式的,以及如何避免序列化单例的破坏。 单例模式,是设计模式中最简单的一种。通过单例模式可以保证系统中一个只有一个实例而且该实例易于外界访问,从而方便对实例个数的控制并节约系统资源。如果希望在系统中某个的对象只能存在一个,单例模式是最好的解决方案。关于单例模式的使用方式,可以阅读单例模式的七种写法 但是,单例模式真的能够实...
java 单例模式 序列化_单例模式的7种实现方式及反射,序列化破坏单例模式?...
weixin_36474966的博客
02-26 182
概述本文主要记录单例模式各种实现方式。主要包含以下内容单例模式含义单例特点单例缺点应用场景单例实现方式饿汉模式 (静态方法,静态块,枚举)懒汉模式(单线程,线程安全,双重验证,静态内部)反射破环单例单例序列化单例模式单例模式(Singleton Pattern)是 Java 中最简单的设计模式之一。这种型的设计模式属于创建型模式,它提供了一种创建对象的最佳方式。这种模式涉及到一个单一的,该...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值