序列化
第11章
序列化:将对象编成字节流
反序列化:将字节流重写构建成对象,通过反射的getInstance方法。
序列化与反序列化作用:
1、网络间通信
2、转存为持久化信息
3、进程间通信
第74条
谨慎地实现Serializable接口
代价:
- 一旦被正式发布,大大降低“改变这个类的实现”的灵活性。
- 增加出现BUG和安全漏洞的可能性,“隐藏的构造器”
- 测试负担增加
注意:
- 父类实现了Serializable接口,子类就必须实现序列化
- 内部类不能序列化,由于内部类需要引入外围类的引用以及外围类的局部变量名称。静态内部类可以。
第75条
考虑使用自定义的序列化形势
1、物理表示法必须等同于逻辑内容(生成的序列化形式能很好的表达这个类)。
2、默认序列化形式中,物理表示法会有冗余,当对象作为成员变量时,对象也会被序列化。当作为对象图形式存在时,则会有很大的冗余,比如一个链表。
3、当读取对象的状态的方法上同步,则序列化也必须同步。
4、UID表示序列化版本,只有序列化后的生成的字节流的UID与对象UID对应,才能被反序列化。用来表示可否兼容。
transient:瞬时的。不会被默认序列化,当反序列化时会被赋予默认值(0,false,null)。
第76条
保护性地编写readObject方法
1、可通过伪造字节流来创建不符合实际意义的对象,比如(出生日期晚于死亡日期),
通过在readObject中增加语义的判断。
2、攻击者可通过字节流获取序列化对象中成员变量的对象引用,来修改成员变量。可通过在readObject中进行保护性拷贝避免。
第77条
对于实例控制(比如Singleton),枚举类优先于readResolve
readObject不管是显示的还是默认的,都会返回一个新建的实例。
1、可通过readResolve进行实例控制,会将自己的返回对象替代readObject新建的对象作为引用赋值,导致新建消亡。但若对象带有非transient实例,则仍然会被攻击。
2、而枚举类型则不存在上述问题,JVM提供了保障,不会有第二个常量。
第78条
考虑用序列化代理代替序列化实例
通过创建一个静态内部类,将外围类作为该内部类的构造函数的唯一变量。序列化是生成静态内部类的字节流,反序列化通过readResolve生成外围类的实例。相当于将被序列化的类与序列化这种模式分离,仍然是通过外围类的构造函数来创建类。
优点:该方法可以避免第76条中伪字节流以及内部域的盗用攻击。、
缺点:该类不能被客户端扩展、不能与对象图中包含循环的类兼容