序列化对单例模式的破坏

最新推荐文章于 2023-02-16 15:54:49 发布
最新推荐文章于 2023-02-16 15:54:49 发布
阅读量608 收藏 1
点赞数
分类专栏: 设计模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38844728/article/details/88902081
版权

一.破坏单例模式

  • 单例模式,是一种常见的软件设计模式。在它的核心结构中包含一个被称为单例的特殊类。通过单例模式可以保证系统中,应用该模式的一个类只有一个实例。
  • 但是可以使用序列化对其进行破坏。
public class LazyDoubleCheckSingleton implements Serializable {
    private volatile static LazyDoubleCheckSingleton lazyDoubleCheckSingleton = null;
    private LazyDoubleCheckSingleton(){}
    public static LazyDoubleCheckSingleton getInstance(){
        if(lazyDoubleCheckSingleton == null){
            synchronized (LazyDoubleCheckSingleton.class){
                if(lazyDoubleCheckSingleton == null)
                lazyDoubleCheckSingleton = new LazyDoubleCheckSingleton();
            }
        }
        return lazyDoubleCheckSingleton;
    }
}

 LazyDoubleCheckSingleton instance1 = LazyDoubleCheckSingleton.getInstance();
 LazyDoubleCheckSingleton instance2 = null;
        try {
            ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("singleton_file"));
            oos.writeObject(instance1);
        } catch (IOException e) {
            e.printStackTrace();
        }
        try {
            ObjectInputStream ois = new ObjectInputStream(new FileInputStream("singleton_file"));
            try {
                instance2 = (LazyDoubleCheckSingleton) ois.readObject();
            } catch (ClassNotFoundException e) {
                e.printStackTrace();
            }
        } catch (IOException e) {
            e.printStackTrace();
        }
        System.out.println(instance1 == instance2);
  • 如果对对象进行保存,必须首先对其进行序列化。其打印结果为false,这说明经过I/O操作后,对象的状态发生了变化。也就是说对象在序列化与反序列化时出现了问题。

二.跟踪源码

  • 进入 ois.readObject()方法。找到readObject0方法
private Object readOrdinaryObject(boolean unshared)
        throws IOException
    {
        if (bin.readByte() != TC_OBJECT) {
            throw new InternalError();
        }

        ObjectStreamClass desc = readClassDesc(false);
        desc.checkDeserialize();

        Class<?> cl = desc.forClass();
        if (cl == String.class || cl == Class.class
                || cl == ObjectStreamClass.class) {
            throw new InvalidClassException("invalid class descriptor");
        }

        Object obj;
        try {
        	//序列化会通过反射调用无参的构造方法创建一个新的对象
            obj = desc.isInstantiable() ? desc.newInstance() : null;
        } catch (Exception ex) {
            throw (IOException) new InvalidClassException(
                desc.forClass().getName(),
                "unable to create instance").initCause(ex);
        }

        passHandle = handles.assign(unshared ? unsharedMarker : obj);
        ClassNotFoundException resolveEx = desc.getResolveException();
        if (resolveEx != null) {
            handles.markException(passHandle, resolveEx);
        }

        if (desc.isExternalizable()) {
            readExternalData((Externalizable) obj, desc);
        } else {
            readSerialData(obj, desc);
        }

        handles.finish(passHandle);

        if (obj != null &&
            handles.lookupException(passHandle) == null &&
            desc.hasReadResolveMethod())   //注意这个方法
        {
            Object rep = desc.invokeReadResolve(obj);
            if (unshared && rep.getClass().isArray()) {
                rep = cloneArray(rep);
            }
            if (rep != obj) {
                // Filter the replacement object
                if (rep != null) {
                    if (rep.getClass().isArray()) {
                        filterCheck(rep.getClass(), Array.getLength(rep));
                    } else {
                        filterCheck(rep.getClass(), -1);
                    }
                }
                handles.setObject(passHandle, obj = rep);
            }
        }
        return obj;
    }
  • 为了防止序列化对单例模式的破坏,可以在类中添加readResolve方法
public class LazyDoubleCheckSingleton implements Serializable {
    private volatile static LazyDoubleCheckSingleton lazyDoubleCheckSingleton = null;
    private LazyDoubleCheckSingleton(){}
    public static LazyDoubleCheckSingleton getInstance(){
        if(lazyDoubleCheckSingleton == null){
            synchronized (LazyDoubleCheckSingleton.class){
                if(lazyDoubleCheckSingleton == null)
                lazyDoubleCheckSingleton = new LazyDoubleCheckSingleton();
            }
        }
        return lazyDoubleCheckSingleton;
    }
    private Object readResolve(){
        return lazyDoubleCheckSingleton;
    }
}
宏志有缘再见
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java设计模式——单例模式序列化破坏单例模式及解决方案
小志的博客
05-24 876
一、序列化饿汉式单例模式的示例 1、定义一个饿汉式单例模式并实现序列化接口 package com.rf.designPatterns.singleton.serializeHungrySingleton; import java.io.Serializable; /** * @description: 饿汉式单例模式实现序列化接口 * @author: xiaozhi * @create: 2020-05-24 15:24 */ public class SerializeHungrySingle
序列化破坏单例模式以及如何防御
小灰狼与大白兔的博客
12-07 6521
序列化介绍 Serializable介绍 如果单例类实现了序列化接口Serializable,那么就可能被序列化攻击来破坏单例模式。 public class Singleton implements Serializable { private static final long serialVersionUID = 1L; private static Singleton singleton = new Singleton(); private Singleton(){
2021-10-29学习记录
weixin_48680790的博客
10-29 172
Mybatis缓存机制 当两次或多次的查询语句相同时,mybatis可以将查询的结果存放在一个map中,当遇到相同的sql语句时会直接从这个map中取出存放的value而不是去查询数据库,大大节省了时间。这个map就叫做缓存。mybatis有两种缓存:一级缓存与二级缓存。 1.一级缓存 一级缓存存在于每个sqlSession对象中,且只能为该sqlSession对象所使用。每当sqlSession向数据库发起查询时,会把结果封装进一个map中,当再次调用这个查询时会直接从这个map中获得。 实例:
MyBatis 学习(1)—MyBatis 二级缓存简单使用步骤
龚小帅的博客
02-16 1105
在中默认二级缓存是不开启的,如果要使用需手动开启。在配置文件中设置
为什么序列化破坏单例
李昊轩的博客
04-07 1024
转自 HollisChuang’s Blog: http://www.hollischuang.com/archives/1144 本文将通过实例+阅读Java源码的方式介绍序列化是如何破坏单例模式的,以及如何避免序列化单例破坏。 但是,单例模式真的能够实现实例的唯一性吗? 答案是否定的,很多人都知道使用反射可以破坏单例模式,除了反射以外,使用序列化与反序列化也同样会破坏单例序列化对单...
JAVA破坏单例模式的方式以及避免方法
08-19
破坏单例模式的方式有多种,包括反射对单例模式破坏、clone()对单例模式破坏序列化单例模式破坏等。下面我们将逐一介绍这些破坏单例模式的方式,并提供相应的避免方法。 1. 反射对单例模式破坏 反射是...
java单例模式代码实例
最新发布
12-14
2. 避免序列化破坏单例:如果单例类实现了Serializable接口,应重写readResolve()方法以保持单例。 总结,Java单例模式在软件设计中有着广泛应用,理解并合理运用不同的实现方式,可以帮助我们更好地控制对象的生命...
常见设计模式-单例模式
07-06
4. 如何通过反射或序列化破坏单例模式的唯一性,以及如何防御? 5. 如何在保证单例模式的同时,增加可配置性或者实现不同实例的切换? 理解并熟练掌握单例模式的实现方式和应用场景,对于编写高效、可维护的代码至...
【Java设计模式】你对单例模式了解多少,一文深入探究
01-20
目录单例模式懒汉式单例模式未初始化问题解决Double Check 双重检查方案一:不让第二步和第三步重排序-DoubleCheck方案二:基于类初始化-静态内部类饿汉式饿汉式与懒汉式最大区别序列化破坏单例模式原理枚举单例基于...
序列化序列化导致单例模式破坏原因及解决方法
这就是快乐嘛
07-15 1207
首先看一下序列化序列化导致单例模式破坏的例子: double-check单例 class Singleton implements Serializable { private volatile static Singleton singleton; private Singleton() { } public static Singleton getInstance() { if (singleton == null) {
单例的获取and序列化和反序列化破坏单例的原因及解决方法
chy6575的博客
04-05 2374
单例模式就是在整个全局中(无论是单线程还是多线程),该对象只存在一个实例,而且只应该存在一个实例,没有副本(副本的制作需要花时间和空间资源)。在它的核心结构中只包含一个被称为单例的特殊类。通过单例模式可以保证系统中一个类只有一个实例而且该实例易于外界访问,从而方便对实例个数的控制并节约系统资源。如果希望在系统中某个类的对象只能存在一个,同时该对象需要协调系统整体的行为,单例模式是最好的解决方案。单
序列化单例破坏
Franco的博客
09-12 335
单例模式,是设计模式中最简单的一种。通过单例模式可以保证系统中一个类只有一个实例而且该实例易于外界访问,从而方便对实例个数的控制并节约系统资源。如果希望在系统中某个类的对象只能存在一个,单例模式是最好的解决方案。关于单例模式的使用方式,可以阅读单例模式的七种写法 但是,单例模式真的能够实现实例的唯一性吗? 答案是否定的,很多人都知道使用反射可以破坏单例模式,除了反射以外,使用序列化与反序列
1.4序列化与反序列化单例模式破坏
qq_33605294的博客
04-20 197
在文件写入Object实例时,导致了序列和反序列化,并且使得写入和独读出的对象不为同一个对象,因为在序列化过程中,会新创建对象,测试代码如下 package Singleton; import java.io.File; import java.io.FileInputStream; import java.io.FileNotFoundException; import java.io.F...
单例模式序列化破坏了怎么办
simple的博客
04-15 464
转载自深度解析单例序列化之间的爱恨情仇 本文将通过实例+阅读Java源码的方式介绍序列化是如何破坏单例模式的,以及如何避免序列化单例破坏单例模式,是设计模式中最简单的一种。通过单例模式可以保证系统中一个类只有一个实例而且该实例易于外界访问,从而方便对实例个数的控制并节约系统资源。如果希望在系统中某个类的对象只能存在一个,单例模式是最好的解决方案。关于单例模式的使用方式,可以...
Java中序列化是如何破坏单例模式
qq_36403693的博客
12-06 329
单例设计模式 单例设计模式的核心思想是,程序运行中只允许某个类只有一个实例 单例设计模式 序列化破坏单例模式 首先写一个单例的类 public class Student implements Serializable { private static Student student; private Student() { } public st...
单例模式再讨论(有关序列化单例问题)
wowo09的博客
04-05 549
单例代码   class Dog implements Serializable{        public static final Dog INSTANCE = new Dog();        private Dog(){}       }    上面能控制只生成一个单实例吗?   如果对实现了Serializable的对象进行序列化后,
Java单例模式-反射和反序列化漏洞和解决方案
Roc_Li
06-16 697
问题: 反射可以破解单例模式的实现(不包含枚举单例模式) (可以在构造方法中手动抛出异常控制) 反序列也可以破解单例模式的实现(不包含枚举单例模式) (可以通过定义readResolve()防止获得不同对象 -反序列化时,如果对象所在类定义了readResolve(),实际时一种回调,定义返回哪个对象) 反射破解单例-懒汉式为例 public static void main(String[]...
单例设计模式 序列化破坏单例模式原理解析及解决方案?
炫的博客
09-18 326
单例设计模式 序列化破坏单例模式原理解析及解决方案?
序列化和反序列化破坏单例设计模式
09-02
序列化和反序列化可以破坏单例设计模式的安全性。当一个单例类被序列化后,然后再进行反序列化,会创建出一个新的实例,从而破坏单例的特性。这是因为序列化和反序列化过程中会创建一个新的对象,并不会调用类的构造函数来初始化新对象。因此,即使单例类被序列化和反序列化,也不能保证只有一个实例存在。 为了解决这个问题,可以在单例类中添加一个readResolve方法,并在该方法中返回单例实例。这样,在反序列化时,就可以通过readResolve方法返回已存在的单例实例,而不是创建一个新的实例。通过这种方式,可以确保单例模式的安全性,避免了序列化和反序列化破坏单例的问题。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [深入浅出单例模式与反射与序列化单例破坏](https://blog.csdn.net/weixin_43975523/article/details/103140654)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [设计模式|序列化、反序列化单例破坏、原因分析、解决方案及解析](https://blog.csdn.net/leo187/article/details/104332138)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值