序列化相关-这一篇全了解

什么是序列化？有哪些应用场景。

解：

序列化是将对象转换为可传输格式的过程。 是一种数据的持久化手段。

一般广泛应用于网络传输，RMI和RPC等场景中。

什么是反序列化？

解：

反序列化是序列化的逆操作。序列化是将对象的状态信息转换为可存储或传输的形式的过程。一般是以字节码或XML格式传输。而字节码或XML编码格式可以还原为完全相等的对象。这个相反的过程称为反序列化。

Java中如何实现序列化和反序列化。

解：

参考我之前博客中文章：链接：Java对象的序列化与反序列化-HollisChuang's Blog

Serializable 和 Externalizable 接口有何不同？

解：

类通过实现 java.io.Serializable 接口以启用其序列化功能。未实现此接口的类将无法使其任何状态序列化或反序列化。可序列化类的所有子类型本身都是可序列化的。序列化接口没有方法或字段，仅用于标识可序列化的语义。

当试图对一个对象进行序列化的时候，如果遇到不支持 Serializable 接口的对象。在此情况下，将抛出 NotSerializableException。

如果要序列化的类有父类，要想同时将在父类中定义过的变量持久化下来，那么父类也应该集成java.io.Serializable接口。

Externalizable继承了Serializable，该接口中定义了两个抽象方法：writeExternal()与readExternal()。当使用Externalizable接口来进行序列化与反序列化的时候需要开发人员重写writeExternal()与readExternal()方法。如果没有在这两个方法中定义序列化实现细节，那么序列化之后，对象内容为空。实现Externalizable接口的类必须要提供一个public的无参的构造器。

所以，实现Externalizable，并实现writeExternal()和readExternal()方法可以指定序列化哪些属性。

Serializable 接口有几个方法? 如果没有方法，那么为什么要定义这样的接口？Java又是如何保证必须实现了Serializable才可以被序列化的呢？

解：

如果一个类想被序列化，需要实现Serializable接口。否则将抛出NotSerializableException异常。Serializable接口没有方法或字段，仅用于标识可序列化的语义。

这是因为，在序列化操作过程中会对类型进行检查，要求被序列化的类必须属于Enum、Array和Serializable类型其中的任何一种。

详情参考：链接：深入分析Java的序列化与反序列化-HollisChuang's Blog

serialVersionUID 有何用途? 如果没定义会有什么问题？

解：

序列化是将对象的状态信息转换为可存储或传输的形式的过程。我们都知道，Java对象是保存在JVM的堆内存中的，也就是说，如果JVM堆不存在了，那么对象也就跟着消失了。而序列化提供了一种方案，可以让你在即使JVM停机的情况下也能把对象保存下来的方案。就像我们平时用的U盘一样。把Java对象序列化成可存储或传输的形式（如二进制流），比如保存在文件中。这样，当再次需要这个对象的时候，从文件中读取出二进制流，再从二进制流中反序列化出对象。

但是，虚拟机是否允许反序列化，不仅取决于类路径和功能代码是否一致，一个非常重要的一点是两个类的序列化 ID 是否一致，即serialVersionUID要求一致。

在进行反序列化时，JVM会把传来的字节流中的serialVersionUID与本地相应实体类的serialVersionUID进行比较，如果相同就认为是一致的，可以进行反序列化，否则就会出现序列化版本不一致的异常，即是InvalidCastException。这样做是为了保证安全，因为文件存储中的内容可能被篡改。

当实现java.io.Serializable接口的类没有显式地定义一个serialVersionUID变量时候，Java序列化机制会根据编译的Class自动生成一个serialVersionUID作序列化版本比较用，这种情况下，如果Class文件没有发生变化，就算再编译多次，serialVersionUID也不会变化的。但是，如果发生了变化，那么这个文件对应的serialVersionUID也就会发生变化。

基于以上原理，如果我们一个类实现了Serializable接口，但是没有定义serialVersionUID，然后序列化。在序列化之后，由于某些原因，我们对该类做了变更，重新启动应用后，我们相对之前序列化过的对象进行反序列化的话就会报错。

通过生么方式可以让一个类中的某些成员变量不被序列化？

解：

transient 关键字的作用是控制变量的序列化，在变量声明前加上该关键字，可以阻止该变量被序列化到文件中，在被反序列化后，transient 变量的值被设为初始值，如 int 型的是 0，对象型的是 null。

如何自定义序列化策略？

解：

可以通过在被序列化的类中增加writeObject 和 readObject方法来自定义序列化策略。

如果你已经将某个类的实例序列化到磁盘，这时候再往这个类添加新的属性，那么反序列化该对象的时候会发生什么？

解：

只要在类中定义了serialVersionUID，在类中新增属性不会导致序列化失败，新增的字段在反序列化后会为默认值，如null。

在Java中，有哪些好的序列化框架，有什么好处。

解：Java中常用的序列化框架：

java、kryo、hessian、protostuff、gson、fastjson等。

Kryo：速度快，序列化后体积小；跨语言支持较复杂

Hessian：默认支持跨语言；效率不高

Protostuff：速度快，基于

protobuf；需静态编译

Protostuff-Runtime：无需静态编译，但序列化前需预先传入schema；不支持无默认构造函数的类，反序列化时需用户自己初始化序列化后的对象，其只负责将该对象进行赋值

Java：使用方便，可序列化所有类；速度慢，占空间性能比较

参考：链接：Java序列化框架性能比较 | 鸟窝

序列化是如何破坏单例模式的？

解：

参考：链接：单例与序列化的那些事儿-HollisChuang's Blog

谈谈你理解的序列化的安全性问题。

链接：【技术分享】Java 序列化与反序列化安全分析 - SecPulse.COM | 安全脉搏