序列化揭秘(二)

最新推荐文章于 2024-04-20 11:07:36 发布
最新推荐文章于 2024-04-20 11:07:36 发布
阅读量111 收藏
点赞数
分类专栏: 编程工匠之所想 文章标签: Java JDK Security thread
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lixiang_2011/article/details/83888315
版权

     反序列化的时候,并不是调用类的构造函数来实现实例的构建,而是通过一种语言之外的对象创建机制来构造对象实例。。从底层源码来看,生成实例时调用了java.reflect.Constructor 的newInstance()方法:

 

// 用反射生成实例
public T newInstance(Object ... initargs)
throws InstantiationException, IllegalAccessException,
IllegalArgumentException, InvocationTargetException {
//。。。。。。此处省略。。。。。。。
return (T) constructorAccessor.newInstance(initargs);
}

 

     而最后实际上是调用了ConstructorAccessor 的newInstance()方法,而再往下,ConstructorAccessor 调用了本地方法。

 

   由此产生了两个问题:

   (一)、通过序列化可以任意创建实例,不受任何限制。那么如何确保单例类反序列化的时候满足单例特性

   (二)、由于不调用类自己的构造器,可能通过构造器来保证的一些限制条件就很难满足。比如,有两个参数max,min,构造 时必须满足max>min

 

 

  下面提供了解决上述两个问题的方法。

  先看看单例模式是如何被序列化蹂躏的,再来看看我们解决方案。

 

// 单例类
public class ASingleton implements Serializable{
private static final long serialVersionUID = -4647546107954516623L;
private static final ASingleton INSTANCE = new ASingleton();
private ASingleton(){
System.out.println("construct a ASingleton");
}
public static ASingleton getInstance(){
return INSTANCE;
}
}


// 单例测试类
public class TestSingleton {
public static void main(String[] args) throws IOException, ClassNotFoundException{
ASingleton s = ASingleton.getInstance();
SerialUtils.writeObject(s, "asingleton.byte");
System.out.println(s);
SerialUtils.readObject("asingleton.byte");
}
}
 

   测试方法会打印出序列化前对象,和反序列化后的对象,我们看看是否是同一个实例

   construct a ASingleton
   file size:51bytes
   test.serial.resolve.ASingleton@3dfeca64
   read form asingleton.byte get test.serial.resolve.ASingleton@457471e0

 

   可以看出来不是同一个实例。这个问题的解决方案是:可以通过覆写readResolve 这个方法来实现,readResolve 会在反序列化时调用,当从流中获取信息重建对象生成实例后,将会调用这个方法,将生成的实例替换成我们想要的实例,看代码:

 

 

// 单例类覆写了readResolve
public class ASingleton implements Serializable{
// 此处省略100 个字
private Object readResolve(){
System.out.println("resolve instance");
return INSTANCE;}
}
 

   可以看出,我们覆写了这个方法,并且将那个唯一的实例(INSTANCE)返回,从而保证了单例。看
看运行结果证明我们的想法:

construct a ASingleton
file size:51bytes
test.serial.resolve.ASingleton@3dfeca64
resolve instance
read form asingleton.byte get test.serial.resolve.ASingleton@3dfeca64

 

可以看出是一个实例,并且readResolve 也被调用了。
到底替换实例的过程是怎样的呢,我们在jdk 源码中寻求答案:

 

// 源码中是如何使用readResolve的
private Object readOrdinaryObject(boolean unshared) throws IOException{
// ...
ObjectStreamClass desc = readClassDesc(false);
desc.checkDeserialize();
Object obj;
try {
obj = desc.isInstantiable() ? desc.newInstance() : null;
}
// ....
if (obj != null && handles.lookupException(passHandle) == null && desc.hasReadResolveMethod()) {
Object rep = desc.invokeReadResolve(obj);
// …
if (rep != obj) {
handles.setObject(passHandle, obj = rep);
}
}
return obj;
}

    从代码可以看出,原理是这样的:
   (1)首先会从流中读取信息,重建对象obj
   (2) 判断是否覆写了readResolve 方法,如果没有覆写则直接返回obj
   (3) 如果覆写了readResolve 方法,则调用readResolve 方法返回实例rep,如果rep与obj不相等,则用rep 替换obj,最后返回obj替换过程就是这样的,至此,单例问题解决了。

 

 

  最后看看第二个问题如何解决。第二个问题的解决思路有两个,一个是覆写readObject 并且在方法里校验我们的约束信息,如果有问题就抛出异常。代码如下:

// 利用readObject 来防攻击
public class Range implements Serializable{
// 此出省略若干字
private void readObject(ObjectInputStream s) throws IOException, ClassNotFoundException{
s.defaultReadObject();
int max = this.max;
int min = this.min;
if(max < min){
throw new IllegalArgumentException("max must bigger than min");
}
}
// ….
}

 

   另一个解决思路是让对象实现ObjectInputValidation中的public void validateObject() throws InvalidObjectException 方法。在该方法中校验反序列化之后得实例必须满足的某些特性。如不满足则抛出相应的异常。代码如下:

 

     序列化类的代码如下:

 

package zheyuan.experiment4.com;

import java.io.IOException;
import java.io.InvalidObjectException;
import java.io.ObjectInputStream;
import java.io.ObjectInputValidation;
import java.io.Serializable;
import java.util.ArrayList;
import java.util.List;

public class ValidationPerson implements Serializable,ObjectInputValidation {
	
	private static final long serialVersionUID = 5497993111607600169L;
	private String firstName;
	private String lastName;
	
	private List<String> lis=new ArrayList<String>();
	
	public ValidationPerson(){
		lis.add("validationPerson");
	}

	public String getFirstName() {
		return firstName;
	}

	public void setFirstName(String firstName) {
		this.firstName = firstName;
	}

	public String getLastName() {
		return lastName;
	}

	public void setLastName(String lastName) {
		this.lastName = lastName;
	}

	public List<String> getLis() {
		return lis;
	}

	public void setLis(List<String> lis) {
		this.lis = lis;
	}

	public void validateObject() throws InvalidObjectException {
		//这里的这个异常是肯定会抛出来的,只是为了演示该方法的使用
		if(this.lis.contains("validationPerson")){
			throw new InvalidObjectException("validationPerson缺失!");
		}
	}
	
	//注册验证对象
	private void readObject(ObjectInputStream in)
	   throws IOException, ClassNotFoundException {
	    in.registerValidation(this, 1);
	    in.defaultReadObject();
	  }
}

 

   测试类的代码如下:

 

package zheyuan.experiment4.com;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.InputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.io.OutputStream;

public class ValidationSerializableTest {

	/**
	 * 反序列化的时候通过继承实现接口ObjectInputValidation中的方法校验反序列化之后类的某些特性
	 * @param args
	 */
	public static void main(String[] args) throws Throwable{

		ValidationPerson vp=new ValidationPerson();
		//序列化
		OutputStream out=new FileOutputStream("validation_sec");
		ObjectOutputStream oos=new ObjectOutputStream(out);
        oos.writeObject(vp);
		
        //反序列化
        InputStream ins=new FileInputStream("validation_sec");
        ObjectInputStream ois=new ObjectInputStream(ins);
        ValidationPerson vpNew=(ValidationPerson)ois.readObject();
        System.out.println(vpNew.getLis().get(0));
	}

}

 

   运行结果如下:

 

 

Exception in thread "main" java.io.InvalidObjectException: validationPerson缺失!
	at zheyuan.experiment4.com.ValidationPerson.validateObject(ValidationPerson.java:50)
	at java.io.ObjectInputStream$ValidationList$1.run(ObjectInputStream.java:2207)
	at java.security.AccessController.doPrivileged(Native Method)
	at java.io.ObjectInputStream$ValidationList.doCallbacks(ObjectInputStream.java:2203)
	at java.io.ObjectInputStream.readObject(ObjectInputStream.java:358)
	at zheyuan.experiment4.com.ValidationSerializableTest.main(ValidationSerializableTest.java:27)
 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

lixiang_2011
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jdk1.8 安全包 security
12-03
win64 jdk1.8安全包 下载文件后解压,替换jdk目录下的jre/lib/security
C#数据结构与算法揭秘 线性结构
09-05
线性表的形式化定义由数据元素集合D和它们之间的关系集合R组成,即L = (D, R)。 在C#中,线性结构常见的实现有数组和泛型列表等。数组是一种固定大小的线性数据结构,它的元素在内存中是连续存储的,可以通过索引...
SpringSecurity版本不一致导致序列化失败
王大发的博客
01-29 8298
问题 今天将springcloud.sr2升级到g版后发现zuul去auth验证信息时失败,auth报以下错误 Handling error: SerializationException, Cannot deserialize; nested exception is org.springframework.core.serializer.support.SerializationFailedE...
1、Java安全之秘密密钥-对称加密
jingqiang521的专栏
09-28 2886
Java中,秘密密钥的抽象接口为javax.crypto.SecretKey,其算法类型为对称加密算法,对称加密算法的主要特点就是加密与解密用的是同一把密钥,对称加密算法主要有:DES,DESede,AES,Blowfish,RC2,RC4等。下面看一个使用例子: [java] view plaincopy package com.xtayfj
jre/lib/security/java.security
随心的专栏
12-17 6351
jre/lib/security/java.security 可在该文件中对jre进行安全配置,如配置支持的加密算法、tls不支持忽略的算法等
java序列化算法揭秘
LZN的博客
02-14 1160
序列化是将对象保存为字节序列的过程,反序列化是将字节序列转换为对象的过程。Java Serialization API为开发者提供了一套标准机制来处理对象序列化。本文你将看到如何序列化一个对象以及为什么对象的序列化在有的情况下是必须的。你将会学习到java序列化算法以及一个揭示序列化对象格式的例子。阅读完本篇内容后,你讲会对java序列化算法如何工作以及一个实体对象在底层如何被序列化有一个深入
Protocol Buffer 序列化原理大揭秘
xupeng1644的博客
03-13 1590
前言 习惯用 Json、XML 数据存储格式的你们,相信大多都没听过Protocol Buffer Protocol Buffer 其实 是 Google出品的一种轻量 & 高效的结构化数据存储格式,性能比 Json、XML 真的强!太!多! 由于 Google出品,我相信Protocol Buffer已经具备足够的吸引力 今天,我将讲解为什么Protocol Buffer的性能如此...
Protobuf序列化原理
钟离默的个人博客
06-24 8422
一、Protobuf序列化原理简介 1.1序列化 序列化是将数据结构或对象转换成进制字节流的过程。 Protobuf对于不同的字段类型采用不同的编码方式和数据存储方式对消息字段进行序列化,以确保得到高效紧凑的数据压缩。 Protobuf序列化过程如下: (1)判断每个字段是否有设置值,有值才进行编码。 (2)根据字段标识号与数据类型将字段值通过不同的编码方式进行编码。 (3)将编码后的数据块按照...
Dubbo的几个序列化方式
终身做学习,并予以实践
01-18 654
Dubbo的几个序列化方式
深入了解Protocol Buffer 序列化原理大揭秘
ydm东方旭日的专栏
06-23 761
转载于:https://blog.csdn.net/carson_ho/article/details/70568606前言习惯用 Json、XML 数据存储格式的你们,相信大多都没听过Protocol BufferProtocol Buffer 其实 是 Google出品的一种轻量 &amp; 高效的结构化数据存储格式,性能比 Json、XML 真的强!太!多!由于 Google出品,我相信Pr...
SpringBoot揭秘 快速构建微服务体系_SpringSprintBoot揭秘_
10-02
开发者将学习如何利用Spring MVC,结合@Controller、@RequestMapping等注解定义HTTP端点,以及如何使用Jackson库进行JSON序列化和反序列化。此外,还会介绍Spring Data JPA和Hibernate,用于简化数据库操作,实现ORM...
MATLAB揭秘.zip
11-16
- 读写文件:MATLAB可以通过fread、fwrite、textscan等函数读取进制或文本文件,save和load函数用于序列化和反序列化MATLAB变量。 - 数据导入导出:可以将数据导入到MATLAB工作空间,或者导出为其他格式(如CSV...
android应用开发揭秘
04-12
- JSON解析:介绍如何使用Gson、Jackson或org.json库解析和序列化JSON数据。 通过以上章节的学习,开发者可以掌握Android应用开发的基础和进阶技巧,包括界面设计、程序流程控制、数据管理和网络通信等关键领域。...
ASP.NET Web API 2 框架揭秘 目录、源码版
01-30
2. **数据传输**:讲述如何处理HTTP请求和响应,包括JSON和XML序列化,以及如何自定义内容协商。 3. **路由和筛选器**:讲解ASP.NET Web API的路由系统,如何配置和使用路由模板,以及筛选器(如授权、异常处理)的...
Java巧遇MessagePack:揭秘跨语言、高性能进制序列化的魅力之旅
最新发布
java专栏
04-20 827
MessagePack是一种高效的进制序列化格式,以其小巧、快速、跨语言的特点,在Java开发中广泛应用,用于在网络传输、数据持久化等场景下高效地序列化和反序列化对象。库、与现有JSON库(如Jackson)集成、利用Kotlin扩展函数,以及启用压缩等功能,可以灵活应对各种应用场景,提高数据交换的效率和性能。首先,通过Maven或Gradle将MessagePack库添加到项目依赖中。总之,Java中使用MessagePack能实现高效、轻量级的对象序列化和反序列化。库实现与Kotlin的互操作。
java序列化与反序列化系列问题
马万明的专栏
07-20 6169
很多商业项目用到数据库、内存映射文件和普通文件来完成项目中的序列化处理的需求,但是这些方法很少会依靠于Java序列化。本文也不是用来解释序列化的,而是一起来看看面试中有关序列化的问题,这些问题你很有可能不了解。“Java序列化指的是将对象转换程字节格式并将对象状态保存在文件中,通常是.ser扩展名的文件。然后可以通过.ser文件重新创建Java对象,这个过程为返序列化Java序列化的API中
解析Excel文件转换科学计数法字符串为正常数字
liyebing
06-14 942
问题出现的情形是这样的:   excel文件中某个字段,既可以是数字也可以是字符串,比如既可以是手机号也可以是email邮箱。但是excel解析工具自动将数字解析成了科学计数法表示的字符串。现在需要将科学计数法表示的字符串恢复成正常的数字字符串。解决办法如下:   1、用正则表达式判断解析出来的字符串是否为科学计数法表达式:       String account="解析出来的结果";...
藏经阁-PySpark for Time Series Analysis.pdf
08-27
4. **统计分析与可视化**:介绍如何运用Spark的统计功能和数据可视化库(如matplotlib或seaborn)来探索和理解时间序列数据中的趋势和周期性。 5. **时间序列建模**:讨论使用ARIMA、季节性分解、指数平滑等经典...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值