Java--序列化和反序列化

1.什么是序列化和反序列化?

• 需要将本地已经实例化的某个对象，通过网络传递到其他机器当中。为了满足这种需求，就有了所谓的序列化和反序列化。
• 所谓序列化，就是指将内存中的某个对象压缩成字节流的形式，而反序列化，则是将字节流转化成内存中的对象。

2.“额外的操作”

• 对于Java而言，反序列化不安全最核心的点在于它执行了“额外的操作”
• 反序列化本身是为了还原对象本身，本质上如果能无害的还原对象，比如我们直接将对象从内存A拷贝到内存B，是不会造成安全问题的。之所以会造成安全问题，是因为很多时候不可控的在还原对象时候产生了“额外的操作”

3.1.编写一个可以序列化的类

• 在Java当中，如果一个类需要被序列化和反序列化，需要实现java.io.Serializable接口
• 我们跟进java.io.Serializable接口，发现是一个空接口，说明其作用只是为了在序列化和反序列化中做一个类型判断。因为为了遵循非必要原则，不需要序列化的类就可以不用序列化

3.2.如何序列化类

• Java原生实现了一套序列化的机制，让我们不需要额外编写代码，只需要实现java.io.Serializable接口，并调用ObjectOutputStream类的writeObject方法即可
• 在序列化的过程当中，是针对对象本身，而非针对类的，因此静态属性是不参与序列化和反序列化的过程的。另外，如果属性本身声明了transient关键字，也会被忽略。但是如果某对象继承了A类，那么A类当中的对象的对象属性也是会被序列化和反序列化的(前提是A类也实现了java.io.Serializable接口)
• 序列化使用ObjectOutputStream类，反序列化使用的则是ObijectlnputStream类的readObject方法,readObject函数返回的是Object类型的对象，因此需要做强制的类型转换
• 实际的实现，其实就是序列化的逆过程，会根据序列化读出数据的类型，进行相应的处理，比如是Class，则会调用Class.forName反射获取对应的类信息

4.1.什么是serialVersionUID?

• 比方说打电话的过程是需要对信息进行压缩和解压缩。压缩之所以能够被解压缩的前提，是因为他俩的协议是一样的。如果压缩是以四个字节为一个单位，而解压缩以八个字节为一个单位，就乱套了。同样的道理对应到Java当中，协议的概念相对的指的则是serialVersionUID
• 当serialVersionUID不一致时，反序列化会直接抛出异常

5.1.HashMap

• HashMap类重载了readObject函数。在重载的逻辑中，它重新计算了key的Hash
• hash函数调用了key的hashcode函数，因此，如果要构造一条反序列化链条，我们需要找到实现了hashcode函数且传参可控可被我们利用的类

5.2.URLDNS

• 找到URLStreamHandler这个抽象类，查看它的hashcode实现，调用了getHostAddress函数，传参可控
• 查看getHostAddress函数，可以发现它进行了DNS查询，将域名转换为实际的IP地址

5.2.组合HashMap和URLDNS

• 如果需要将两个类衔接起来，构成一条完整的反序列化链，首先实例化一个URL类(初始化参数填入我们的dnslog域名)，然后再实例化一个HashMap，将实例化的URL类放入HashMap当中
• 将ht这个实例反序列化，跟进触发链，可以看到走到了URLStreamHandler的hashcode