Java 序列化详解

最新推荐文章于 2024-02-08 09:13:09 发布
最新推荐文章于 2024-02-08 09:13:09 发布
阅读量2.3k 收藏 4
点赞数 2
分类专栏: Java 基础 文章标签: java jvm 开发语言
本文为博主原创文章,未经博主允许不得转载。
本文链接:https://blog.csdn.net/u012581020/article/details/130679892
版权

Java 序列化(Serialization)是指将一个 Java 对象转换成字节序列,以便在网络上传输或存储在本地磁盘中。而反序列化(Deserialization)则是将已经序列化的字节序列恢复为 Java 对象。Java 提供了自带的序列化机制,可以通过实现 Serializable 接口以及使用 ObjectOutputStream 和 ObjectInputStream 类来实现序列化和反序列化。

1. 序列化的基本概念和使用方法

1.1 基本概念

Java 序列化的基本概念包括以下几个方面:

  • 序列化:将一个对象转换为二进制数据流,方便进行网络传输、磁盘存储等操作。
  • 反序列化:将序列化后的二进制数据流还原成原来的对象,重新获取对象的引用。
  • Serializable 接口:Java 提供的标记接口,用于标识一个类可以被序列化。
  • serialVersionUID:用于识别版本之间的兼容性,防止序列化和反序列化的版本不一致导致出错。
  • transient 关键字:标记一个字段不需要进行序列化。

1.2 使用方法

Java 序列化的使用方法如下:

  1. 定义一个需要序列化的类,并实现 Serializable 接口:
public class User implements Serializable {
    private static final long serialVersionUID = 1L;
    
    private String name;
    private int age;
    
    // getters and setters
}
  1. 创建一个 ObjectOutputStream 对象,并将需要序列化的对象写入到输出流中:
User user = new User();
user.setName("Tom");
user.setAge(18);

ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("user.ser"));
oos.writeObject(user);
oos.close();
  1. 创建一个 ObjectInputStream 对象,并从输入流中读取序列化后的对象:
ObjectInputStream ois = new ObjectInputStream(new FileInputStream("user.ser"));
User user = (User) ois.readObject();
ois.close();

2. 序列化的实现原理和注意事项

2.1 实现原理

Java 序列化的实现原理可以简单地概括为:将对象的状态以二进制格式保存在文件中,以便在需要时恢复该对象的状态。

在具体实现中,Java 序列化包括以下几个步骤:

  1. 创建一个 ObjectOutputStream 对象,用于将对象写入输出流中。
  2. ObjectOutputStream 对象首先会检查对象是否为 null,如果是 null,则会直接写入一个 null 标记。
  3. ObjectOutputStream 对象会获取对象的类信息,并将其写入输出流中。
  4. ObjectOutputStream 对象会根据对象的类信息,获取对象的每个字段,并将其写入输出流中,如果某个字段被标记为 transient,则不进行序列化。对于包含其他对象的字段,递归执行序列化操作。
  5. ObjectOutputStream 对象在写入对象的所有字段之后,会写入一个结束标记。

2.2 注意事项

在 Java 序列化过程中,有以下几个注意事项:

  1. 需要序列化的类必须实现 Serializable 接口。
  2. serialVersionUID 用于判断序列化和反序列化的版本是否一致,建议长期保存。
  3. transient 关键字用于标识一个字段不需要进行序列化。
  4. 序列化操作是有代价的,如果需要频繁地进行序列化操作,需要考虑到性能问题。
  5. 序列化后的文件可以在网络中传输,但需要注意安全问题。

3. 反序列化的基本概念和使用方法

3.1 基本概念

Java 反序列化的基本概念包括以下几个方面:

  • 反序列化:将序列化后的二进制数据流还原成原来的对象,重新获取对象的引用。
  • ObjectInputStream 类:用于从输入流中读取序列化后的对象。
  • readObject() 方法:用于从输入流中读取序列化后的对象,返回 Object 类型的对象。

3.2 使用方法

Java 反序列化的使用方法如下:

  1. 创建一个 ObjectInputStream 对象,并从输入流中读取序列化后的对象:
ObjectInputStream ois = new ObjectInputStream(new FileInputStream("user.ser"));
User user = (User) ois.readObject();
ois.close();

4. 反序列化中的安全问题以及如何避免

4.1 安全问题

Java 序列化和反序列化在网络传输等场景中广泛使用,但同时也存在一些安全问题。例如,Java 序列化在反序列化时会自动执行对象中的构造函数,从而可能导致安全漏洞。攻击者可以通过构造恶意数据,使得反序列化操作执行他们所期望的恶意情况,从而实现攻击目的。

比较常见的攻击类型包括:

  • 远程执行代码(Remote Code Execution,RCE):使用序列化和反序列化机制,向另一个 Java 程序发送一个“恶意”对象,使得对方程序以攻击者的意愿执行代码。
  • 反序列化注入(Deserialization Injection):攻击者通过在序列化文件中插入特定的序列化对象来引发反序列化操作,并实现对目标应用系统的攻击。

4.2 避免安全问题

避免 Java 序列化和反序列化中的安全问题可以采取以下一些措施:

  1. 不要信任远程传输的数据:在反序列化前,应该验证序列化数据的源头,确保其来源可靠。
  2. 使用白名单来限制反序列化的类:在反序列化时使用白名单来限制可反序列化的类,只允许反序列化特定的类。
  3. 尽量避免序列化敏感数据:尽量避免将敏感数据序列化到文件或网络中,而是采用加密等方式来保护数据的安全性。
  4. 升级 JDK 版本:从 JDK8 开始,Java 系统已经默认禁止使用无效的 serialVersionUID 来验证序列化版本号,而是自动生成一个新的 serialVersionUID。

综上所述,Java 序列化和反序列化是 Java 编程中重要的一个部分,在需要进行对象的跨进程、跨网络传输等场景中,会带来很大的便利。但是在使用过程中,需要注意安全问题,并对可能的安全漏洞进行防范。

大家都说我身材好
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
java 序列化与反序列化的实例详解
08-29
主要介绍了java 序列化与反序列化的实例详解的相关资料,需要的朋友可以参考下
JAVA序列化Serializable及Externalizable区别详解
08-18
主要介绍了JAVA序列化Serializable及Externalizable区别详解,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Java序列化详解
最新发布
码灵的博客
02-08 1150
序列化是指将对象转化为字节流的过程,以便于存储或传输。在序列化过程中,对象的状态被保存为一连串的字节,可以将这些字节保存到文件中或通过网络传输。序列化后的字节流可以在需要时进行反序列化,将字节流重新转化为对象,并恢复对象的状态。在Java中,对象的序列化是通过实现接口来实现的。Serializable接口是一个标记接口,没有任何方法,只是用于标识一个类可以被序列化。当一个类实现了Serializable接口,它的对象就可以被序列化为字节流。
Java中对象序列化与反序列化详解
09-03
主要介绍了Java中对象序列化与反序列化,较为详细的分析了java中对象序列化的概念、原理、实现方法及相关注意事项,具有一定参考借鉴价值,需要的朋友可以参考下
Java对象序列化操作详解
08-27
主要介绍了Java对象序列化操作,简单描述了Java序列化相关概念、原理并结合实例形式总结分析了常见序列化操作相关定于与使用技巧,需要的朋友可以参考下
JAVA序列化
jx的博客
11-26 1377
java序列化就是将java对象转换为二进制编码的过程。反序列化就是将二进制编码转换为java对象的过程。
详解JAVA序列化
Joker_ZJN的博客
06-27 6168
进来,一文给你讲明白“序列化”。
Java中什么是序列化
重心开始,重新开始
08-16 3730
序列化,又称为“串化”,可以形象的把它理解为把Java对象内存中的数据采编成一串二进制的数据,然后把这些数据存放在可以可以持久化的数据设备上,如磁盘。当需要还原这些数据的时候,在通过反序列化的过程,把对象又重新还原到内存中。    java.io.Serializable接口是可以进行序列化的类的标志性接口,该接口本身没有任何需要实现的抽象方法,它仅仅是用来告诉JVM该类的对象可以进行反序列化
什么是 java 序列化?什么情况下需要序列化
2301_77899321的博客
05-31 2235
什么是 java 序列化?什么情况下需要序列化
Java序列化和反序列化(详解)
热门推荐
qq_62414755的博客
07-20 3万+
java序列化及可序列化讲解,代码清晰易懂。
JAVA序列化
m0_71563599的博客
06-04 1万+
Java序列化其实这个用的多不多,我觉得看公司的技术栈吧,如果用的是cloud那套,估计接触的会少点,但是也不是说没有,如果是dubbo那套的话,就多点,上次我们说Netty的编码解码的时候说到了谷歌的protoBuf,今天的话我们就来好好看看Java序列化,详细的聊聊从上面这张图我们可以看到,两个进程进行通信时候,想要发送数据,要先要把数据发送到TCP缓冲区,然后形成报文再发送出去,同样的道理,接收端也是一样。我们可以相互发送各种类型的数据,包括文本、图片、音频、视频等, 而这些数据都会以二进制序列的形式
Java 序列化详解及简单实现实例
08-31
主要介绍了 Java 序列化详解及简单实现实例的相关资料,使用序列化目的:以某种存储形式使自定义对象持久化,将对象从一个地方传递到另一个地方,需要的朋友可以参考下
Java序列化的相关内容(二)
大雄号的博客
08-22 365
一.Java序列化的作用 有的时候我们想要把一个Java对象变成字节流的形式传出去,有的时候我们想要从一个字节流中恢复一个Java对象。例如,有的时候我们想要 把一个Java对象写入到硬盘或者传输到网路上面的其它计算机,这时我们就需要自己去通过java把相应的对象写成转换成字节流。对于这种通用 的操作,我们为什么不使用统一的格式呢?没错,这里就出现了java序列化的概念。在Java的...
java序列化
程序三两行
07-22 698
java序列化
[Java] 序列化(Serialization)的本质是什么?在Java中怎么实现?为什么要了解序列化技术?序列化技术选型要点是什么?
ToraNe的博客
12-11 1195
序列化技术本身与业务代码关系并不大,反而更多与企业系统架构关系更大一点。越是趋向于分布式架构的系统,对于好的序列化技术的需求越大,而业务压力小甚至不需要做分布式架构的系统则对于序列化技术的需求没有那么大。目前来看,大部分企业都在往分布式架构系统靠的大环境下,理解序列化技术的本质也变得越发重要。
Java序列化
weixin_42352733的博客
03-22 447
一、什么是序列化?为什么要序列化Java 序列化就是指将对象转换为字节序列的过程,而反序列化则是只将字节序列转换成目标对象的过程。 我们都知道,在进行浏览器访问的时候,我们看到的文本、图片、音频、视频等都是通过二进制序列进行传输的,那么如果我们需要将Java对象进行传输的时候,是不是也应该先将对象进行序列化?答案是肯定的,我们需要先将Java对象进行序列化,然后通过网络,IO进行传输,当到达目的地之后,再进行反序列化获取到我们想要的对象,最后完成通信。 二、实现序列化 搭建项目 ①User文
看懂java序列化,这篇就够了
AmazDreamer的博客
06-18 799
对于 Java 这种面向对象编程语言来说,我们序列化的都是对象(Object)也就是实例化后的类(Class),但是在 C++这种半面向对象的语言中,struct(结构体)定义的是数据结构类型,而 class 对应的是对象类型。但当输入的反序列化的数据可被用户控制,那么攻击者即可通过构造恶意输入,让反序列化产生非预期的对象,在此过程中执行构造的任意代码。因为,OSI 七层协议模型中的应用层、表示层和会话层对应的都是 TCP/IP 四层模型中的应用层,所以序列化协议属于 TCP/IP 协议应用层的一部分。
Java基础:对象序列化详解
weixin_39885962的博客
06-27 4041
在我们平日开发中,经常让PO类去实现Serializable接口,然后让其可序列化。不过有时我们并不是特别清楚为什么要序列化,特别是对于纯Web项目开发的同学来说,需求环境不一定能用上。下面我简单和大家分享下自己对序列化的认知。......
java 对象序列化与反序列使用详解
08-31
Java 对象的序列化是将对象的状态转换为字节流,以便将其存储在文件中或通过网络进行传输。而反序列化则是将字节流重新转换为对象,以便在程序中重新使用。 对象的序列化主要涉及到两个接口,即 Serializable 和 Externalizable。Serializable 接口是 Java 标准序列化机制的简单版本,所有需要序列化的类都需要实现这个接口。而 Externalizable 接口则需要自己实现序列化和反序列化的方法。 在进行对象序列化时,可以使用 ObjectOutputStream 类来实现。通过这个类的 writeObject() 方法,可以将对象写入到输出流中。而在进行反序列化时,可以使用 ObjectInputStream 类来实现。通过这个类的 readObject() 方法,可以将字节流重新转换为对象。 对象序列化的主要用途包括: 1. 对象的持久化:通过将对象序列化后存储在文件中,可以实现对象的持久化,当程序再次启动时,可以反序列化读取文件并重新获取对象的状态。 2. 对象的传输:通过将对象序列化后通过网络传输,可以实现在不同计算机之间的对象传递。 在进行对象序列化时,需要注意以下几点: 1. 需要被序列化的对象和其引用的对象,都需要实现 Serializable 接口。 2. 对于不希望被序列化的属性,可以使用 transient 关键字进行标记。 3. 如果序列化的是一个对象的成员变量,而不是整个对象,那么成员变量对应的类也需要实现 Serializable 接口。 总之,Java 对象序列化和反序列化是一种非常有用的机制,它可以将对象的状态转换为字节流进行存储或传输,以便在需要时重新获取对象。通过使用序列化机制,我们可以实现对象的持久化和传输,使得编程更加灵活和便捷。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大家都说我身材好

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值