序列化
序列化是将一个对象转换成可存储或可传输的状态。序列化后的对象可以在网络上进行传输,也可以存储到本地。
怎么通过序列化传输对象
- 方式一:Serializable,要传递的类实现Serializable接口传递对象
- 方式二 : Parcelable,要传递的类实现Parcelable接口传递对象。
两种序列化方式的区别:
- Serializable 是Java中的序列化接口,使用起来简单;(转换成二进制占用的存储空间比Parcelable要小一些);当一个父类实现序列化,子类自动实现序列化,不需要再显示实现Serializable接口。
- Parcelable 是Android中的序列化方式,使用起来稍微复杂一些;实现原理是将一个完整的对象进行分解,而分解后的每一部分都是Intent所支持的数据类型,这样也就实现传递对象的功能
Parcelable接口方法介绍
方法 | 功能 | 标识符 |
---|---|---|
createFromParcel(Parcel source) | 从序列化后的对象中创建原始对象 | |
newArray(int size) | 创建指定长度的原始对象数组 | |
Pen(Parcel in) | 从序列化后的对象中创建原始对象 | |
writeToParcel(Parcel out,int flags) | 将当前对象写入序列化结构中 | PARCALABLE_WRITE_RETURN_VALUE |
describeContents | 返回当前对象的内容描述,几乎所有情况都返回0,仅在当前对象中存在文件描述符时返回1 | CONTENTS_FILE_DESCRIPTOR |
原理与性能比较:
- Serializable 使用了反射机制,序列化的过程较慢,在序列化操作的时候会产生大量的临时变量,从而导致GC的频繁调用;Seralizable无法序列化静态变量,使用transient修饰的对象也无法序列化。
- Parcelable 将一个完整的对象进行分解,而分解后的每一部分都是Intent所支持的数据类型,这样也就实现传递对象的功能;是以Ibinder作为信息载体的,在内存上的开销比较小;(其定位就是轻量级的高效的对象序列化机制与反序列化机制。如果读一下Android的底层代码,会发现Parcel是使用C++实现的,底层直接通过Parcel指针操作内存实现,所以它的才更高效) (快10多倍)
选择:
- 在内存之间进行数据传递的时候,Android推荐使用Parcelable。(Intent,Bundle传递数据)
- 将对象序列化到存储设备上或者序列化后通过网络传输,建议使用Serializable,通用。
java序列化图解
为什么说序列化并不安全
- 因为序列化的对象数据转换为二进制,并且完全可逆。但是在RMI调用时
- 所有private字段的数据都以明文二进制的形式出现在网络的套接字上,这显然是不安全的
解决方案
- 1、 序列化Hook化(移位和复位)
- 2、 序列数据加密和签名
- 3、 利用transient的特性解决
- 4、 打包和解包代理
序列化对单例有破坏
1、通过对某个对象的序列化与反序列化得到的对象是一个新的对象,这就破坏了单例模式的单例性。
2、我们知道readObject()的时候,底层运用了反射的技术,序列化会通过反射调用无参数的构造方法创建一个新的对象。
这破坏了对象的单例性。
解决方案:
在需要的单例的对象类中添加readResolve方法,这样当JVM从内存中反序列化地"组装"一个新对象时,就会自动调用这个 方法来返回我们指定好的对象了, 单例规则也就得到了保证。
private Object readResolve throws ObjectStreamException() {
return singleton;
}
readResolve方法原理:当我们通过反序列化readObject()方法获取对象时会去寻找readResolve()方法,如果该方法不存在则直接返回新对象,如果该方法存在则通过invokeReadResolve(Object obj)方法调用readResolve()方法获取单例对象instance,以确保如果我们之前实例化了单例对象,就返回该对象。如果我们之前没有实例化单例对象,则会返回null。
java序列化的存储规则
Java序列化机制为了节省磁盘空间,具有特定的存储规则,当写入文件的为同一对象时,并不会再将对象的内容进行存储,而只是再次存储一份引用。
transient使用小结
1)一旦变量被transient修饰,变量将不再是对象持久化的一部分,该变量内容在序列化后transient 字段的值被设为初始值,比如 int 型的初始值为 0,对象型的初始值为 null。
2)transient关键字只能修饰变量,而不能修饰方法和类。注意,本地变量是不能被transient关键字修饰的。变量如果是用户自定义类变量,则该类需要实现Serializable接口。
3)被transient关键字修饰的变量不再能被序列化,一个静态变量不管是否被transient修饰,均不能被序列化。(反序列化后类中static型变量的值为当前JVM中对应static变量的值,这个值是JVM中的不是反序列化得出的)