【Java+设计模式】通过反射机制/序列化机制破解单例模式,及其解决方法

最新推荐文章于 2021-11-27 19:29:21 发布
最新推荐文章于 2021-11-27 19:29:21 发布
阅读量175 收藏 2
点赞数
分类专栏: bugMaker 文章标签: 单例模式 反射 序列化 设计模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46202073/article/details/119641574
版权

单例模式

关于单例模式,可以戳这篇文章:《【设计模式】单例模式(Singleton Pattern)

下面这是一个经典的懒汉式单例模式实现。

public class Singleton {
	// 1.在类中添加一个私有静态成员变量用于保存唯一实例
    private static Singleton instance;
    // 2.将默认构造方法设置为私有,这样它就不能被new了
    private Singleton() { }
	// 3.写一个公有静态成员方法,暴露给外部用于获取唯一实例
    public static synchronized Singleton getInstance() {
        if (instance == null) {
            instance = new Singleton();
        }
        return instance;
    }
}

public class SingletonTest {
    public static void main(String[] args) throws Exception {
		Singleton instance1 = Singleton.getInstance();
        Singleton instance2 = Singleton.getInstance();
        System.out.println(instance1 == instance2);		// true
    }
}

 
 

反射机制破解单例模式

单例模式的实现中有一个核心步骤,将无参构造方法设置为私有,防止被外部访问到,从而new不出对象。

那么事情就变得非常简单——反射机制可以调用构造方法对象,且可以跳过访问权限检查,进行暴力反射。

public class DestroySingletonByReflect {
    public static void main(String[] args) throws Exception {
		// 加载类
        Class.forName("Singleton");
        // 通过反射获取无参构造方法对象
        Constructor<Singleton> constructor = Singleton.class.getDeclaredConstructor();
        // 跳过权限检查,进行暴力反射
        constructor.setAccessible(true);
        // 通过无参构造方法对象获得实例
        Singleton instance1 = constructor.newInstance();
        Singleton instance2 = constructor.newInstance();
        // 获取的还是同一个实例吗?
        System.out.println(instance1 == instance2);		// false
    }
}

如何避免单例模式被反射机制破解?

也很好理解,反射机制破解单例模式的本质是对无参构造方法(对象)的调用。我们给无参构造方法也加上单例模式的逻辑即可。

public class Singleton {
    private static Singleton instance;
    private Singleton() {
    	// 给无参构造方法也加上单例模式的逻辑
    	if (instance == null) {
            throw new RuntimeException();
        }
    }
    public static synchronized Singleton getInstance() {
        if (instance == null) {
            instance = new Singleton();
        }
        return instance;
    }
}

 
 

序列化机制破解单例模式

序列化/序列化经常帮助我们曲线救国(必须Java对象的深拷贝),但它也有做坏事的时候。

想一想,如果我们把单例对象序列化后存进文件,然后反序列化出来,得到的还是原先的那个单例对象吗?

public class DestroySingletonBySerialize {
    public static void main(String[] args) throws Exception {

        Singleton instance1 = Singleton.getInstance();
        Singleton instance2 = Singleton.getInstance();

        System.out.println(instance1 == instance2);		// true

		// 序列化
        ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream(new File("/Users/samarua/Documents/object.txt")));
        objectOutputStream.writeObject(instance2);

		// 反序列化
        ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream(new File("/Users/samarua/Documents/object.txt")));
        Singleton instance3 = (Singleton) objectInputStream.readObject();

        System.out.println(instance1 == instance3);		// false
    }
}

如何避免单例模式被序列化机制破解?

反序列化时永远不会调用构造方法,所以之前的反制方法失效了。这里,利用了序列化/反序列化机制的一个细节,在反序列化返回对象之前,会先看看有没有 readResolve() 方法,如果有,则返回该方法所返回的对象。

class Singleton implements Serializable {
    private static Singleton instance;
    private Singleton() { }
    public static synchronized Singleton getInstance() {
        if (instance == null) {
            instance = new Singleton();
        }
        return instance;
    }
    // 反序列时通过该方法返回了instance实例
    private Object readResolve() {
        return instance;
    }
}

 
 
 
 
 

 
 
 
 
 

samarua
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JAVA反射机制单例模式
06-09
Java反射机制Java编程语言中的一个强大特性,它允许程序在运行时检查和操作类、接口、对象等的内部信息,包括但不限于类名、方法名、参数类型等。这一机制的核心在于`java.lang.reflect`包中的类,如`Class`, `...
反射技术破解单例模式
瑞文のBlog
01-17 2456
反射破解 我们先看一段代码 /** * @Description: * @ClassName design_pattern * @Author: 王瑞文 * @Date: 2021/1/16 21:08 */ public class Test { //如何去破解单例 public static void main(String[] args) throws NoSuchMethodException, IllegalAccessException, InvocationTarge
反射的方式破解单例模式
iteye_66的博客
02-20 323
上篇文章中前两种单例实现方式可以通过反射来进行破解 package com.zkn.newlearn.test.gof; import static org.junit.Assert.*; import java.lang.reflect.Constructor; import org.junit.Test; import com.zkn.newlearn.gof.si...
设计模式 创建者模式 -- 单例模式存在的问题和解决办法(序列化序列化破坏单例模式 & 反射破坏单例模式
天行健 君子以自强不息,地势坤 君子以厚德载物。
09-28 347
1. 单例模式存在的问题和解决办法 破坏单例模式: 上诉单例模式定义的单例类(Singleton)可以创建多个对象,枚举方式除外。有两种方式,分别是序列化反射。 1.1 序列化序列化破坏单例模式 1.1.1 单例类 Singleton.java package singleton.demo1; import java.io.Serializable; /** * @Description: 静态内部类方式实现单例模式 */ public class Singleton implements
反射序列化破解单例模式解决方法
脚踏实地
08-28 1008
class Singleton { //饿汉式,立即加载,类加载线程安全 private Singleton(){} private static Singleton instance=new Singleton(); public static Singleton getInstance(){ return instance; } } ...
java 单例模式 反射破解单例模式(不包含枚举式)实现方式
u014248032的博客
06-26 387
package singleton; /** *@author Danbro *@version 创建时间:2019年6月26日下午3:42:51 *@funcition 懒汉式单例模式 **/ public class SingTonDemo06 { private static SingTonDemo06 instance; private SingTonDemo06() { ...
单例模式反射漏洞和反序列化漏洞代码实例
08-26
序列化漏洞是指通过Java序列化机制,读取已经序列化的对象,然后将其反序列化为新的对象实例。例如,在上面的代码中,我们使用ObjectOutputStream将对象序列化到文件中,然后使用ObjectInputStream从文件中读取...
java单例模式代码实例
最新发布
12-14
Java单例模式是一种常用的设计模式,它用于保证一个类只有一个实例,并提供全局访问点。这种模式在系统资源有限或者需要共享昂贵对象时尤其有用,比如数据库连接池、线程池等。下面我们将深入探讨Java单例模式的实现...
23种设计模式(1) java单例模式
08-28
单例模式是软件设计模式中的一种基础且常用的方法,它旨在确保一个...使用单例模式时需要注意,尽量避免通过反射序列化等方式破坏单例的唯一性,同时,如果需要在测试中替换单例,可以考虑使用`Mock`对象或依赖注入。
单例设计模式实现总结
12-22
单例设计模式是一种常用的设计模式,其主要目的是确保一个类只有一个实例,并且提供全局访问点。这在处理一些需要共享的资源或者全局状态时非常有用,比如日志服务、配置管理或者缓存服务等。单例模式有以下关键点:...
java 防止反射_Java设计模式(一):单例模式,防止反射和反序列化漏洞
weixin_35879989的博客
02-13 615
一、懒汉式单例模式解决反射和反序列化漏洞package com.iter.devbox.singleton;import java.io.ObjectStreamException;import java.io.Serializable;/*** 懒汉式(如何防止反射和反序列化漏洞)* @author Shearer**/public class SingletonDemo6 implement...
java 反射 单例类_利用反射机制破坏单例模式
weixin_34788662的博客
02-16 179
简介利用反射机制破坏了单例模式,这里以懒汉单例模式为例子进行操作。之前利用反射也是改变了类中的private变量。类中的private变量真的private么?正常的单例模式的实现这里采用了懒汉的单例模式,顺带说一句我自己对懒汉饿汉的理解:懒汉就是在类加载的时候并不创建对象的实例,在你用到的时候才去创建一个实例。饿汉就是不管你用不用到,这个类加载的时候就创建了一个实例。用到的时候就返回那个已经创建...
Java单例模式解决反射攻击,反序列化攻击)
weixin_45679480的博客
11-27 629
单例模式 什么是单例模式 单例模式就是确保类的实例对象只能有一个,类本身要实例化好这个对象提供给其他所有的类访问。单例模式就是为了避免状态不一致。 单例模式特定 单例类只能有一个实例。 单例类必须自己创建自己的唯一实例。 单例类必须给所有其他对象提供这一实例。 单例模式四大原则 1、构造私有 2、以静态方法或者枚举返回实例 3、确保实例只有一个,尤其是多线程环境 4、确保反序列换时不会重新构建对象 实现单例模式的方式 饿汉式(立即加载) 就是在类加载是就创建一个静态对象私有的对象实例,来提供给外部使用,除非
JAVA反射单例模式_java反射技术破坏单例模式
weixin_30040925的博客
03-02 131
一、 Java中的反射技术可以获取类的所有方法成员变量、还能访问private的构造方法,这样一来,单例模式中用的私有构造函数被调用就会产生多个实例,编写代码测试一下。package test;import java.lang.reflect.Constructor;public class SingetonTest {private static SingetonTest singleton ...
禁止反射创建实例、 禁止修改破坏单例模式
叶新东老师的博客
03-26 1063
一般情况下, 单例模式都是禁止修改的,为了防止反射创建单例模式,从而变成多例,那我们就需要把实例提前创建好,用静态(static)方法实现,在加载class文件的时候就创建好,并且把构造函数设为私有(private)的, 并且在构造方法内添加判断,关键代码如下: /** * 私有构造方法 */ private App_one(){ // 如果单例不为空,抛出异常 if(null != thisObj){ t...
JAVA反射单例模式_单例模式和破坏单例模式的两种方式
weixin_35519039的博客
03-02 240
1、什么是单例模式目的确保系统中一个类只产生一个实例。好处1.对于频繁使用的对象,可以省略创建对象所花费的时间,这对于那些重量级对象而言,是非常可观的一笔系统开销。2.由于new操作的次数减少,因而对系统内存的使用频率也会降低,减轻GC压力,缩短GC的停顿时间。单例模式的角色角色作用单例类提供单例的工厂,返回单例使用者获取病使用单例类饿汉式单例public class Singleton {pri...
【数据库连接失败】IDEA中数据库连接报错 [08S01] Communications link failure...the server was 0 milliseconds ago解决方案
热门推荐
丧心病狂Loli控的博客
03-09 4万+
最近在用原生spring测试连接池时出现报错,便想着退一步直接使用经典的jdbc(只使用mysql-connector-java),没想到依旧报错——接着在IDEA中进行测试,最终将bug定位在数据库连接问题。   长话短说,我认为是macBigSur以及mysql8.0的更新,导致了众多root用户权限、参数默认值问题。因为这些问题在最近才暴露出来,网上很少有可行解决方案,走了不少弯路。   耗费两天时间我才后知后觉,Navicat和IDEA中的数据库连接失败是两个独立的错误,本篇解.
JavaScript】JS引用本地文件CORS跨域问题
丧心病狂Loli控的博客
12-03 4266
场景 Three.js搭建3D场景时,模型贴图加载失败,报错: THREE.TextureLoader() Origin null is not allowed by Access-Control-Allow-Origin     分析 很显然,此时在浏览器上方可以看到file:///——标准的File协议(本地文件传输协议) File协议静态请求本地资源出现跨域,这个请求被禁止。即File协议无法实现跨域。   通俗的说(⭐️): file协议只能在本地访问,且这个访问只是
【Ubuntu】虚拟机和主机可以相互ping通,但在主机访问虚拟机网址失败
丧心病狂Loli控的博客
04-21 2738
情景 在Ubuntu上开启了RabbitMQ消息队列服务。为了方便,想在本机(localhost)上访问RabbitMQ的图形化管理界面。 首先在Ubuntu查看一下虚拟机IP: ifconfig -a # 10.211.55.4 接着在本机浏览器上访问: http://10.211.55.4:15672 显示无法连接到服务器。     排查 ❶ ping!ping!ping! 在主机上ping一下虚拟机 ping 10.211.55.4 在虚拟机上ping一下主机 pin
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值