什么是序列化? 如何实现(反)序列化 序列化的应用

最新推荐文章于 2023-10-30 14:56:46 发布
置顶 最新推荐文章于 2023-10-30 14:56:46 发布
阅读量1.8w 收藏 126
点赞数 26
分类专栏: java 文章标签: java 序列化 反序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43564410/article/details/119864981
版权

1. 什么是序列化与反序列化,什么情况需要序列化

1.1 序列化

序列化是什么

从百度百科中可以得知,序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。

所以说,序列化是一种技术,Java只是以某种形式实现了序列化

序列化的目的

  • 序列化最终的目的是为了对象可以跨平台存储,和进行网络传输 (也可以在分布式应用系统中传递数据)
  • 也可以是将对象以二进制字节序列的方式存储在硬盘上。

当两个进程在进行远程通信时,彼此可以发送各种类型的数据。无论是何种类型的数据,都会以二进制序列的形式在网络上传送
发送方需要把这个类型数据(对象)转换为二进制字节序列,才能在网络上传送;接收方则需要把字节序列再恢复为对象。

而我们进行跨平台存储和网络传输的方式就是IO,而我们的IO支持的数据格式就是字节数组。

什么情况需要序列化

经过上面的分析,已经很明确的知道凡是需要进行“跨平台存储”和”网络传输”的数据,都需要进行序列化。

本质上存储和网络传输 都需要经过 把一个对象状态保存成一种跨平台识别的字节格式,然后其他的平台才可以通过字节信息解析还原对象信息。

1.2 反序列化

反序列化是什么

经过上面的知识点,我们已经知道,序列化是将对象的状态信息转换为可以存储或传输的形式的过程;把对象转换为字节序列的过程称为对象的序列化。
那么把字节序列恢复为对象的过程称为对象的反序列化。

反序列化的目的

  • 将字符序列方式存储的数据转换成能够识别的对象信息

2. Java中的序列化与反序列化

在Java中,一切皆对象,当我们需要实现对象的序列化时,也就需要将Java对象转换成一种对应的字节形式存储;

在Java的OutputStream类下面的子类ObjectOutputStream类就有对应的WriteObject(Object object) 方法来实现序列化,其中的参数object就要求实现了java的序列化的接口。

2.1 如何实现序列化

Java序列化的规定

Java只能将支持 java.io.Serializable 接口的对象写入流中;每个 serializable 对象的类都被编码,编码内容包括类名和类签名、对象的字段值和数组值,以及从初始对象中引用的其他所有对象的闭包

如果一个对象没有实现Serializable序列化接口,而就去使用了ObejctOutputStream去序列化对象,运行时则会报错

还有一个注意点:如果类的属性包含其他的类,那么那些类也需要实现序列化接口,否则也会报错。

序列化的API

java.io.ObjectOutputStream代表对象输出流,它的writeObject(Object obj)方法可对参数指定的obj对象进行序列化,把得到的字节序列写到一个目标输出流中。

java.io.ObjectInputStream代表对象输入流,它的readObject()方法从一个源输入流中读取字节序列,再把它们反序列化为一个对象,并将其返回。

实现(反)序列化的示例

在Java中,我们可以使用ObjectOutputStream(对象输出流)和FileOutputStream(文件输入流)搭配使用,将对象转换成字节序列后以文件的形式存储在硬盘上;这个过程也被称为Java对象的持久化;

在这里插入图片描述

上述序列化的规定中已有提到,如果一个类需要序列化,那么一定要实现序列化接口(Serializable),如果不实现序列化接口,那么运行时就会报错,下面是示例
在这里插入图片描述

对象在硬盘上的存储方式

通过上述例子,我们可以看出,Student的一个实例化对象,被序列化后以文件的形式存储在了硬盘上
当我们以文本打开这个objectFile.obj文件,会发现里面都是乱码
在这里插入图片描述
这是因为对象会被转换为二进制字节序列存储在硬盘上,这个文件是以二进制的形式编写的,当用文本编辑器将它打开时,这些二进制代码与某个字符集映射之后,显示出来的东西就成了乱码。
即使输出的是一个String的对象,也是以该String对象的二进制编码的形式输出,而不是输出String对象的内容。

那我们想以二进制的形式打开这个文件,可以使用UltraEdit工具,不过该工具会自动将2进制转换为16进制进行展示
在这里插入图片描述

2.2 利用序列化,实现深拷贝

在Java中,clone()默认实现是浅拷贝,若想实现深拷贝,则需实现Cloneable接口并重写clone()方法

重写clone()方法,我们一般有两种方式去实现深拷贝。

  • new对象后返回,通过get与set构造器给新创建的类属性赋值
  • 通过序列化,直接从硬盘上读取文件转换成新的对象返回

方式1
在这里插入图片描述
方式2 序列化
我们可以通过字节数组(ByteArray)输入输出流作为中间介质,来对对象进行读入和写出;
这里的字节数组,本质也就是对象序列化后在硬盘上的存储方式;

在这里插入图片描述

什么时候不要序列化

在Java进行应用开发的时候,用户的个人信息,包括密码、电话号码、具体住址这些隐私信息的时候,就需要防止对象被序列化,如果被序列化用于网络传输,则很有可能会造成安全问题。

Java中如何防止序列化

在Java中,声明为static和transient类型的成员数据不能被序列化。因为static代表类的状态,transient代表对象的临时数据。

所以在字段的前面,加上transient关键字,就可以防止该字段被用于序列化;
在这里插入图片描述

若曦`
关注
  • 26
    点赞
  • 126
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
支付宝面试:什么是序列化,怎么序列化,为什么序列化反序列化会遇到什么问题,如何解决?
weixin_49114080的博客
10-23 1845
遇到这个 Java Serializable 序列化这个接口,我们可能会有如下的问题 什么叫序列化反序列化 作用。为啥要实现这个 Serializable 接口,也就是为啥要序列化 serialVersionUID 这个的值到底是在怎么设置的,有什么用。有的是1L,有的是一长串数字,迷惑ing。 我刚刚见到这个关键字 Serializable 的时候,就有如上的这么些问题。 在处理这个问题之前,你要先知道一个问题,这个比较重要。这个Serializable接口,以及相关的东西,全部都在 Java io
关于如何序列化反序列化
weixin_50125130的博客
04-17 265
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代.
序列化反序列化
热门推荐
lei_gentle的博客
12-11 5万+
我以前确实对序列化,乃至现在也是不是很熟悉,有时候查找资料,但依旧懵懵懂懂,不过还好遇到一个博主,确定写的挺好的,链接会放再底部 废话不多说,先看官网定义: 序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。 序列化主要有两个用途 把对象的字节序列永久保存到硬盘上,通常存放在一个文件中(序列化对象) 在网络上传送对象的字节序列(网络传输对象)
反序列化(Unserialize)漏洞详解
qq_49422880的博客
09-28 1万+
序列化反序列化漏洞分析   序列化(serialize) 就将对象的状态信息转换为可以存储或传输的形式的过程 在序列化期间,对象将当前的状态写入到临时或持久性的存储区 【将状态信息保存为字符串】。   反序列化(unserialize) 就是把序列化之后的字符串在转化为对象。 其实在序列化的过程中是没有任何的漏洞的,产生漏洞的主要的原因就是在反序列化的过程中,通过我们的恶意篡改会产生魔法函数绕过,字符逃逸,远程命令执行等漏洞,最早发现这些漏洞的大佬是真的牛。 一、简单的魔法函数 魔法函数 调用
一文带你了解序列化反序列化基本原理与操作
m0_68987535的博客
07-06 1万+
序列化是指将对象转换为字节序列的过程,以便于存储或传输。在序列化过程中,对象的状态信息将被转换为字节流,可以保存到文件中或通过网络传输给其他计算机。反序列化则是将字节序列恢复为对象的过程。通过反序列化操作,可以从存储的字节流中还原对象的状态。这使得可以在程序重启后,读取保存的字节流并重新构造对象,从而快速恢复对象的状态。在分布式系统中,可以将对象进行序列化,并在不同的计算机之间进行传输。接收方可以通过反序列化操作将字节序列转换为可操作的对象。某些远程通信框架使用序列化反序列化实现远程方法调用。
序列化反序列化介绍
shsh1234567890的博客
01-23 1万+
序列化反序列化介绍
SpringBoot Redis配置Fastjson进行序列化反序列化实现
10-16
主要介绍了SpringBoot Redis配置Fastjson进行序列化反序列化实现,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
深入理解Java对象的序列化反序列化应用
09-05
如果一个类实现了`Externalizable`,那么序列化反序列化的逻辑需要由类自身提供,而不是依赖Java默认的实现。这允许开发者自定义对象如何被转换为字节流以及如何从字节流中重建对象。 总的来说,Java对象的序列化...
JAVA序列化反序列化的底层实现原理解析
08-25
JAVA序列化反序列化的底层实现原理解析 一、基本概念 JAVA序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程。序列化是把对象转换成有序字节流,以便在网络上传输...
C#实现的json序列化反序列化代码实例
09-03
在C#中,有多种方式来实现JSON序列化反序列化,本文将介绍两种主要的方法。 首先,我们来看第一种方法,使用`System.Web.Script.Serialization`命名空间中的`JavaScriptSerializer`类。这个类提供了序列化...
浅谈java中为什么实体类需要实现序列化
08-30
首先,为什么需要序列化?在web应用程序中,服务器需要保存某些对象的状态,以便在下一次会话中继续使用这些对象。这些对象称为会话对象(Session),它们占用服务器的内存资源。如果服务器上的会话对象太多,可能会...
序列化_原理与应用
阿巴阿巴
05-28 1609
序列化 (Serialization)是将对象的状态信息转换为可以存储或传输的形式的过程。如在内存中的java对象(本是方便JVM使用的格式)序列化为硬盘或是网络传输中的二进制文件、或是序列化为json字符串,再通过http/https协议进行传输。通常是转换为字节序列,以在网络通信、IO流等中传输,也常见序列化为json字符串通过序列化,对象将其当前状态(可理解为数据)写入到临时或持久性存储区。以后,可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。什么时候序列化
反序列化漏洞详解
LJH1999ZN的博客
03-07 3万+
目录 一、什么是序列化反序列化 二、什么是反序列化漏洞 三、序列化函数(serialize) 四、反序列化(unserialize) ​五、什么是PHP魔术方法 六、一些常见的魔术方法 七、魔术方法的利用 八、反序列化漏洞的利用 1.__destruct()函数 2.__wakeup() 3.toString() ​九、反序列化漏洞的防御 一、什么是序列化反序列化 序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串.
java序列化反序列化
weixin_43167662的博客
09-19 1782
一、基本概念 1、序列化反序列化的定义: (1)Java序列化就是指把Java对象转换为字节序列的过程 Java反序列化就是指把字节序列恢复为Java对象的过程。 (2)序列化最重要的作用:在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。 反序列化的最重要的作用:根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。 总结:核心作用就是对象状态的保存和重建。(整个过程核心点就是字节流中所保存的对象状态及描述信息) 2、j
我把序列化玩成了这样,吊锤了一波面试官
Java极客技术
06-26 698
我们都知道,新建一个对象的时候实现Serializeable接口,但为什么要这么做?什么时候这样子做?这样子做会不会出现幺蛾子?阿粉一个三连差点把自己都问懵逼了……那接下来,大家就和...
反序列化
最新发布
qq_63527808的博客
10-30 301
反序列化是指将序列化后的数据进行解码和还原,恢复为原始的数据结构或对象的过程。(PHP 中使用 unserialize() 函数对序列化后的字符串进行反序列化,将其还原为原始的数据)序列化是指将数据结构或对象转换为一串字节流的过程,使其可以存储、传输或缓存时进行持久化。(PHP 中使用 serialize() 函数可以将数据结构或对象进行序列化,得到一个表示序列化后数据的字符串)反序列化的数据本质上来说是没有危害的,用户可控数据进行反序列化是存在危害的,反序列化的危害, 关键还是在于可控或不可控。
面试|什么是序列化?怎么实现?有哪些方式?
星空下的程序猿
06-24 3955
1 为什么要序列化(背景)以及什么是序列化? 对于Java初学者来说,序列化这个概念很难接触到,因为这个阶段还没有接触到系统和框架,没有系统的交互和消息的传递,Java对象以及类的基本信息在JVM内存中随着JVM停止而消失,JVM下次启动又会重新加载字节码。但是假如系统下次启动后,某对象A需要依赖系统本次对象A的值的时候,就需要考虑对象A“持久化”的问题。相信大家看到“持久化”都会想到数据库或者缓...
什么是序列化?如何实现序列化
03-31
实现序列化的方式有多种,其中常用的包括: 1. Java 序列化:使用 Java 序列化 API 将对象写入到 ObjectOutputStream 中,然后将 ObjectOutputStream 中的字节流写入文件或通过网络传输。反序列化时,从文件或网络...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值