Java学习(9) -- 序列化

一、 什么是序列化和反序列化

对象序列化是一个用于将对象状态转换为字节流的过程，可以将其保存到磁盘文件中或通过网络发送到任何其他程序；

从字节流创建对象的相反的过程称为反序列化。

而创建的字节流是与平台无关的，在一个平台上序列化的对象可以在不同的平台上反序列化。

二、为什么序列化

（1）永久性保存对象，保存对象的字节序列到本地文件或者数据库中； 
（2）通过序列化以字节流的形式使对象在网络中进行传递和接收； 
（3）通过序列化在进程间传递对象；

三、序列化底层原理

1、JDK类库中序列化和反序列化API

（1）java.io.ObjectOutputStream：表示对象输出流；

它的writeObject(Object obj)方法可以对参数指定的obj对象进行序列化，把得到的字节序列写到一个目标输出流中；

（2）java.io.ObjectInputStream：表示对象输入流；

它的readObject()方法源输入流中读取字节序列，再把它们反序列化成为一个对象，并将其返回；

2、实现序列化的要求

只有实现了Serializable或Externalizable接口的类的对象才能被序列化，否则抛出异常！

3、实现Java对象序列化与反序列化的方法

假定一个User类，它的对象需要序列化，可以有如下三种方法：

（1）若User类仅仅实现了Serializable接口，则可以按照以下方式进行序列化和反序列化

ObjectOutputStream采用默认的序列化方式，对User对象的非transient的实例变量进行序列化。 
ObjcetInputStream采用默认的反序列化方式，对对User对象的非transient的实例变量进行反序列化。

（2）若User类仅仅实现了Serializable接口，并且还定义了readObject(ObjectInputStream in)和writeObject(ObjectOutputSteam out)，则采用以下方式进行序列化与反序列化。

ObjectOutputStream调用User对象的writeObject(ObjectOutputStream out)的方法进行序列化。 
ObjectInputStream会调用User对象的readObject(ObjectInputStream in)的方法进行反序列化。

（3）若User类实现了Externalnalizable接口，且User类必须实现readExternal(ObjectInput in)和writeExternal(ObjectOutput out)方法，则按照以下方式进行序列化与反序列化。

ObjectOutputStream调用User对象的writeExternal(ObjectOutput out))的方法进行序列化。 
ObjectInputStream会调用User对象的readExternal(ObjectInput in)的方法进行反序列化。

四、序列化与单例模式

1. 通过序列化和反序列化能破坏单例模式；

2.序列化会通过反射调用无参数的构造方法创建一个新的对象。

 3. 重写 readResolve 方法能 避免这个问题

private Object readResolve() {
        return singleton;
    }

五、Protobuf

1）Protobuf是什么

Protobuf是一种平台无关、语言无关、可扩展且轻便高效的序列化数据结构的协议，可以用于网络通信和数据存储。

2）为什么要使用Protobuf

六、为什么说序列化并不安全

1. 破坏单例模式