Java-ObjectInputStream 反序列化 源码解析

最新推荐文章于 2023-11-22 17:05:51 发布
最新推荐文章于 2023-11-22 17:05:51 发布
阅读量321 收藏
点赞数
分类专栏: Java 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010374412/article/details/103769103
版权

Java-ObjectInputStream 反序列化 源码解析

ObjectInputStream

构造方法:

//需要传入一个 输入流,因为反序列化的来源的是一个 输入流
public ObjectInputStream(InputStream in) throws IOException {
        verifySubclass();//验证 此类是不是 ObjectInputStream
        bin = new BlockDataInputStream(in);
        handles = new HandleTable(10);
        vlist = new ValidationList();
        serialFilter = ObjectInputFilter.Config.getSerialFilter();
        enableOverride = false;
        readStreamHeader(); //验证魔数和版本号 
        bin.setBlockDataMode(true); //blkMode = true pos = 0 end = 0
    }

方法:

//验证序列化header
protected void readStreamHeader()
        throws IOException, StreamCorruptedException
    {
        short s0 = bin.readShort();//魔数 pos = 2
        short s1 = bin.readShort();//版本号 pos = 4
        if (s0 != STREAM_MAGIC || s1 != STREAM_VERSION) {
            throw new StreamCorruptedException(
                String.format("invalid stream header: %04X%04X", s0, s1));
        }
    }

//反序列化方法的入口
public final Object readObject()
        throws IOException, ClassNotFoundException
    {
        if (enableOverride) {
            return readObjectOverride();
        }

        // if nested read, passHandle contains handle of enclosing object
        int outerHandle = passHandle;
        try {//方法转移
            Object obj = readObject0(false);
            handles.markDependency(outerHandle, passHandle);
            ClassNotFoundException ex = handles.lookupException(passHandle);
            if (ex != null) {
                throw ex;
            }
            if (depth == 0) {
                vlist.doCallbacks();
            }
            return obj;
        } finally {
            passHandle = outerHandle;
            if (closed && depth == 0) {
                clear();
            }
        }
    }



//真正开始反序列化的方法
private Object readObject0(boolean unshared) throws IOException {
        boolean oldMode = bin.getBlockDataMode(); //oldBlkMode is true
        if (oldMode) {//判断
            int remain = bin.currentBlockRemaining(); //返回 0
            if (remain > 0) {
                throw new OptionalDataException(remain);
            } else if (defaultDataEnd) { //false
                /*
                 * Fix for 4360508: stream is currently at the end of a field
                 * value block written via default serialization; since there
                 * is no terminating TC_ENDBLOCKDATA tag, simulate
                 * end-of-custom-data behavior explicitly.
                 */
                throw new OptionalDataException(true);
            }
            bin.setBlockDataMode(false); //blkMode is false
        }

        byte tc;
        while ((tc = bin.peekByte()) == TC_RESET) {//peek 一下下一个 byte,直到不是TC_RESET
            bin.readByte();
            handleReset();
        }

        depth++;
        totalObjectRefs++;
        try {
            switch (tc) {
                case TC_NULL:
                    return readNull();

                case TC_REFERENCE:
                    return readHandle(unshared);

                case TC_CLASS:
                    return readClass(unshared);

                case TC_CLASSDESC:
                case TC_PROXYCLASSDESC:
                    return readClassDesc(unshared);

                case TC_STRING:
                case TC_LONGSTRING:
                    return checkResolve(readString(unshared));

                case TC_ARRAY:
                    return checkResolve(readArray(unshared));

                case TC_ENUM:
                    return checkResolve(readEnum(unshared));

                case TC_OBJECT: //如果是序列化的对象,则会是这个分支
                //checkResolve 的没有什么大用处 主要在 用户继承ObjectInputStream实现自己的 业务
                    return checkResolve(readOrdinaryObject(unshared));

                case TC_EXCEPTION:
                    IOException ex = readFatalException();
                    throw new WriteAbortedException("writing aborted", ex);

                case TC_BLOCKDATA:
                case TC_BLOCKDATALONG:
                    if (oldMode) {
                        bin.setBlockDataMode(true);
                        bin.peek();             // force header read
                        throw new OptionalDataException(
                            bin.currentBlockRemaining());
                    } else {
                        throw new StreamCorruptedException(
                            "unexpected block data");
                    }

                case TC_ENDBLOCKDATA:
                    if (oldMode) {
                        throw new OptionalDataException(true);
                    } else {
                        throw new StreamCorruptedException(
                            "unexpected end of block data");
                    }

                default:
                    throw new StreamCorruptedException(
                        String.format("invalid type code: %02X", tc));
            }
        } finally {
            depth--;
            bin.setBlockDataMode(oldMode);
        }
    }

//反序列化 object
private Object readOrdinaryObject(boolean unshared)
        throws IOException
    {
        if (bin.readByte() != TC_OBJECT) {//读取一个 byte,判断是否为 object 类型
            throw new InternalError();
        }

        ObjectStreamClass desc = readClassDesc(false);//读取 classDesc
        desc.checkDeserialize();

        Class<?> cl = desc.forClass();//获取拿到的 需要反序列化 的类的class对象
        if (cl == String.class || cl == Class.class
                || cl == ObjectStreamClass.class) {
            throw new InvalidClassException("invalid class descriptor");
        }

        Object obj;
        try {//反射产生对象
            obj = desc.isInstantiable() ? desc.newInstance() : null;
        } catch (Exception ex) {
            throw (IOException) new InvalidClassException(
                desc.forClass().getName(),
                "unable to create instance").initCause(ex);
        }

        passHandle = handles.assign(unshared ? unsharedMarker : obj);
        ClassNotFoundException resolveEx = desc.getResolveException();
        if (resolveEx != null) {
            handles.markException(passHandle, resolveEx);
        }

        if (desc.isExternalizable()) {
            readExternalData((Externalizable) obj, desc);
        } else {//给对象赋值
            readSerialData(obj, desc);
        }

        handles.finish(passHandle);

        if (obj != null &&
            handles.lookupException(passHandle) == null &&
            desc.hasReadResolveMethod())
        {
            Object rep = desc.invokeReadResolve(obj);
            if (unshared && rep.getClass().isArray()) {
                rep = cloneArray(rep);
            }
            if (rep != obj) {
                // Filter the replacement object
                if (rep != null) {
                    if (rep.getClass().isArray()) {
                        filterCheck(rep.getClass(), Array.getLength(rep));
                    } else {
                        filterCheck(rep.getClass(), -1);
                    }
                }
                handles.setObject(passHandle, obj = rep);
            }
        }

        return obj;
    }

//读取输入流中的 classDesc
private ObjectStreamClass readClassDesc(boolean unshared)
        throws IOException
    {
        byte tc = bin.peekByte(); //peek 一个 byte
        ObjectStreamClass descriptor;
        switch (tc) {
            case TC_NULL:
                descriptor = (ObjectStreamClass) readNull();
                break;
            case TC_REFERENCE:
                descriptor = (ObjectStreamClass) readHandle(unshared);
                break;
            case TC_PROXYCLASSDESC:
                descriptor = readProxyDesc(unshared);
                break;
            case TC_CLASSDESC: //class 序列化 走这个分支
                descriptor = readNonProxyDesc(unshared);//真正处理的方法
                break;
            default:
                throw new StreamCorruptedException(
                    String.format("invalid type code: %02X", tc));
        }
        if (descriptor != null) {
            validateDescriptor(descriptor);
        }
        return descriptor;
    }
//没有代理的对象Desc read 方法
private ObjectStreamClass readNonProxyDesc(boolean unshared)
        throws IOException
    {
        if (bin.readByte() != TC_CLASSDESC) {//获取这个 byte
            throw new InternalError();
        }
		//new 一个 ObjectStreamClass
        ObjectStreamClass desc = new ObjectStreamClass();
        int descHandle = handles.assign(unshared ? unsharedMarker : desc);
        passHandle = NULL_HANDLE;

        ObjectStreamClass readDesc = null;
        try {
            readDesc = readClassDescriptor();//调用这个方法 获取 类描述对象
        } catch (ClassNotFoundException ex) {
            throw (IOException) new InvalidClassException(
                "failed to read class descriptor").initCause(ex);
        }

        Class<?> cl = null;
        ClassNotFoundException resolveEx = null;
        bin.setBlockDataMode(true);
        final boolean checksRequired = isCustomSubclass();
        try {
            if ((cl = resolveClass(readDesc)) == null) {
                resolveEx = new ClassNotFoundException("null class");
            } else if (checksRequired) {
                ReflectUtil.checkPackageAccess(cl);
            }
        } catch (ClassNotFoundException ex) {
            resolveEx = ex;
        }

        // Call filterCheck on the class before reading anything else
        filterCheck(cl, -1);

        skipCustomData();

        try {
            totalObjectRefs++;
            depth++;
            desc.initNonProxy(readDesc, cl, resolveEx, readClassDesc(false));//init 目标的 desc
        } finally {
            depth--;
        }

        handles.finish(descHandle);
        passHandle = descHandle;

        return desc;
    }

BlockDataInputStream

这个类是辅助读取 输入流的内容
方法:

//当模式 由false 变为true的时候,会pos=0,end=0
boolean setBlockDataMode(boolean newmode) throws IOException {
            if (blkmode == newmode) {
                return blkmode;
            }
            if (newmode) {
                pos = 0;
                end = 0;
                unread = 0;
            } else if (pos < end) {
                throw new IllegalStateException("unread block data");
            }
            blkmode = newmode;
            return !blkmode;
        }
姜上清风
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
JDK 1.7 java.io 源码学习之ObjectInputStream和ObjectOutputStream
给自己一个前行的动力
02-24 1937
ObjectInputStream和ObjectOutputStream
Java ObjectInputStream\ObjectOutputStream序列化与反序列化数据
m0_59586434的博客
04-20 394
Java ObjectInputStream\ObjectOutputStream序列化与反序列化数据。 韩顺平JAVA课程学习笔记。
Java序列化 ObjectInputStream源码解析
weixin_33743703的博客
09-28 672
上一篇讲了类的序列化,今天要讲类的反序列化ObjectInputStream。 从内部变量中我们可以看出,内部包含一个块输入流,因为有handle机制所以也有一个内部缓存表但不是hash表 /** 处理数据块转换的过滤流 */ private final BlockDataInputStream bin; /** 确认调用返回列...
对象的反序列化 ObjectInputstream
qq_20564455的博客
08-01 168
创建反序列化对象 调用里面的readObject()方法 import java.io.*; public class FuXi3 { public static void main(String[] args) throws IOException, ClassNotFoundException { demo02(); demo01(); } private static void demo02() t.
97. ObjectOutputStream对象操作流-序列化
qq_31426093的博客
04-25 94
package com.itheima.convertedio; import java.io.Serializable; //Serializable标记接口 public class User implements Serializable { private String username; private String password; public User() { } public User(String username, String pas.
ObjectInputStream序列化反序列化
綠竹清水之福荫的博客
05-20 1680
反序列化可移植性
对象流ObjectInputStream和ObjectOutputStream的序列化与反序列化
pipizhen_的博客
07-23 460
关于对象流:ObjectInputStream和ObjectOutputStream 先来了解一下序列化与反序列化的概念: 序列化:将内存中的java对象分解成数小块,并按照顺序一块一块存储到硬盘文件中,成为对象的序列化。 反序列化:将硬盘中的对象文件,按照顺序还原到内存中,称为对象的反序列化。 对象能够序列化,必须实现可序列接口Serializable。 这个接口中没有任何代码,只是起到一个标志的作用。 java中的接口分两种:普通接口 和 标志接口,期中标志接口中没有任何代码。 Serializabl
java linkedlist 序列化_Java集合002 --- LinkedList源码解析
weixin_42310231的博客
02-19 243
前言LinkedList内部实现是一个双链表,linkedList除了实现了list相关的接口外,还实现了Queue、Dequeue接口,所以它有着双端队列、list、栈的功能注意LinkedList没有实现RandomAccess接口,这意味着LinkedList没有提供快速随机访问功能属性//链表数据长度transient int size = 0;//链表首指针transient Nodef...
day3-java反序列化&php反序列化靶场&之前漏洞复习
最新发布
m0_70099896的博客
11-22 962
查看服务器操作系统版本,web中间件,看看是否存在已知的漏洞,比如IIS,APACHE,NGINX的解析漏洞。查看旁站有没有通用性的cms或者其他漏洞,如果存在cms,则可以针对CMS的版本进行相关的漏洞利用。对于一些特殊的网站,还可以尝试社会工程学攻击,比如伪造邮箱链接钓鱼,伪造短信或者电话骗取验证码等等。查看IP,进行IP地址端口扫描,对响应的端口进行漏洞探测,比如:ftp,ssh,弱口令等等。如果确实找到了一些安全的问题则向相关的负责人反馈,提出修复的建议。首先获取网站的域名,查看是否有子域名。
java byte序列化,java对象序列化byte[] and byte[]反序列化对象--转
weixin_36218209的博客
03-19 1134
import java.io.ByteArrayInputStream;import java.io.ByteArrayOutputStream;import java.io.IOException;import java.io.ObjectInputStream;import java.io.ObjectOutputStream;public class ObjectAndByte {/*** ...
JAVA_ObjectInputStream
09-13
拿点积分啊,不然不给下东西. Java Object的一个学习源码.
JDK反序列化时修改类的全限定性名解析
08-28
Java开发中,序列化和反序列化是常见的数据处理技术,用于将对象的状态转换为字节流,以便存储或在网络上传输。JDK提供了内置的序列化支持,但有时在特定场景下,如文中提到的SpringSecurityOAuth2的实现,可能会...
java安全 反序列化(二)
sechelper的博客
12-07 610
java反射,CC6链源码分析,LazyMap利用连,ysoserial工具
对象流ObjectInputStream类【反序列化】和ObjectOutputStream类【序列化】
weixin_47267628的博客
03-07 1009
对象流ObjectInputStream和ObjectOutputStream 看一个需求: 1.将int num = 100 这个int数据保存到文件中,注意不是100数字,而是 int 100,并且,能够从文件中直接恢复 int 100 2.将 Dog dog = new Dog("小黄",3);这个 dog对象保存到文件中,并且能够从文件中恢复 3.上面的要求,就是能够将基本数据类型或者对象进行序列化和反序列化操作 序列化和反序列化 序列化就是在保存数据时,保存数据的值和数据类型 反序列化
对象的输入输出流 Objectoutputstream()和Objectinputstream(),序列化和反序列化
LYhani82475的博客
03-21 425
Objectoutputstream和Objectinputstream,序列化和反序列化欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文...
Java中对象流(ObjectOutputStream提供序列化功能,ObjectInputStream提供反序列化功能),标准输入(System.in)和输出流(System.out)
m0_72014660的博客
08-31 498
Java中对象流(ObjectOutputStream提供序列化功能,ObjectInputStream提供反序列化功能),标准输入(System.in)和输出流(System.out)
Java---序列化与反序列化(ObjectOutputStream/ObjectInputStream
sophia__yu的博客
12-08 737
一:什么是序列化与反序列化 序列化: 将内存中的对象变为二进制字节流的形式进行传输或保存在文本中; 并不是所有对象都要被序列化, 一般对象要进行传输需要被序列化; 对象若要被序列化输出,该类需要实现Serializable接口。即只有实现Serializable接口的类才有序列化能力。 反序列化:把文本中二进制字节流反序列化为一个对象。 import java.io.Serializable;...
ObjectOutputStream序列化和ObjectInputStream反序列化
rolic_的博客
05-20 424
/* java对象本来是存储在堆中的,若是采取保护措施,则保存到硬盘中,这个过程叫序列化 相应的有反序列化 java也有编译和反编译,不过反编译产生的java源文件和本来的java源文件存在一定区别 java.io.ObjectOutputStream;序列化java对象到硬盘(Serial) java.io.ObjectInputStream;将硬盘中的数据反序列化到jvm内存(DeSeri...
Java笔记】IO流-对象流(序列化与反序列化,ObjectOutputStream与ObjectInputStream
lijibai_的博客
04-24 693
对象流用于存储和读取基本数据类型数据或对象。它的强大之处在于可以把 Java 中的对象写入到数据源中,也能把对象从数据源中还原回来 目录 对象的序列化 实现序列化的两个接口 序列化与反序列化 序列化与反序列化字符串 序列化与反序列化对象 对象的序列化 对象的序列化机制允许把内存中的 Java 对象转换成平台无关的二进制流,从而允许把这种二进制流持久地保存在磁盘上,或通过网络将这种二进制流传输到另一个网络节点。当其他程序获取了这种二进制流,就可以恢复成原来的 Java 对象 序列化的好处
Java对象序列化与反序列化深度解析
本文将深入探讨Java对象序列化和反序列化的核心概念及其在实际开发中的应用。首先,我们回顾了Java中数据流处理的背景,特别提到使用DataOutputStream对对象属性逐个写入和读取的繁琐过程。为了简化这种操作,Java...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值