JAVA: 序列化

最新推荐文章于 2021-10-12 15:45:00 发布
最新推荐文章于 2021-10-12 15:45:00 发布
阅读量97 收藏
点赞数
文章标签: java
原文链接:http://www.cnblogs.com/dodocie/p/7462956.html
版权

对象序列化 - 一个对象可以被表示为一个字节序列,保存对象的类型信息、对象的数据,还有对象中的数据类型,以便存储或传输。

反序列化 - 将序列化对象写入文件之后,可以从文件中读取出来,并且对它进行反序列化,也就是说,对象的类型信息、对象的数据,还有对象中的数据类型可以用来在内存中新建对象。

对象序列化带来了方便,也带来了风险:敏感数据的泄露,被劫持后被反序列化进行修改,无法保证数据来源的安全性。

应对策略:

1. 关键字transient - 修饰敏感数据的变量,该变量就不会被序列化。

2. 对数据先签名后加密。

如何序列化?

查看该类的文档确认一个 Java 标准类是否是可序列化。

一个类的实例是否能序列化,取决于该类有没有实现 java.io.Serializable接口

 

转载于:https://www.cnblogs.com/dodocie/p/7462956.html

weixin_30577801
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
java华为编码规范要求
12-09
适合初学者,提高自己的编码规范 适合初学者,提高自己的编码规范
Java安全编程需要考虑的问题
尘世中迷途小码农的专栏
12-08 4885
这篇文章简要讨论了Java安全编程需要考虑的若干问题,通过对这些问题的深入理解,能够帮助我们在实际编码过程中避免出现安全相关的问题,从而提高代码质量。 由于时间关系,没有给出每个场景的示例代码,仅说明了该场景可能出现的安全问题以及对应的解决办法。 概述 一般而言,安全编程的目标有以下三点: 机密性 完整性 可用性 机密性要求数据不被他人轻易获取,需要进行数据加密。 完整性要求数据不被他人随意修改,需要进行指纹计算。 可用性要求服务不被他人恶意攻击,需要进行数据校验。 在Java中,安全.
签名加密
u014551778的博客
04-14 3942
什么数据需要加密 密码、用户不公开数据比如个人隐私、个人可见数据。 区分加密与编码 1. aes加密:用于对密钥、敏感数据进行加密 2. base64编码:文本中的emoji,如果直接存进数据库很有可能有乱码问题,用base64编码后存储可解决。 密钥管理 Root key : 根密钥 相当于KEK Working key : 随机生成,使用root key加密为密文存放在配置中,相当于DEK // 随机生成working key (也叫kek) // 生成root key(也叫maste
基于HTTP在互联网传输敏感数据的消息摘要、签名加密方案
iteye_707的博客
06-10 1052
一、关键词 HTTP,HTTPS,AES,SHA-1,MD5,消息摘要,数字签名,数字加密Java,Servlet,Bouncy Castle   二、名词解释    数字摘要:是将任意长度的消息变成固定长度的短消息,它类似于一个自变量是消息的函数,也就是Hash函数。数字摘要就是采用单项Hash函数将需要加密的明文“摘要”成一串固定长度(128位)的密文这一串密文又称为数字指纹,它...
java基础每日学习20131029--序列化
dianyi1343的博客
10-29 1220
原则4.1 敏感对象发送出信任区域前进行签名加密 说明:敏感数据传输过程中要防止窃取和非法篡改。使用安全的加密算法给数据加密可以防止数据被窃取。而对数据加上数字签名则可以防止数据被非法篡改。在以下场景中,需要加密和数字签名的机制保证数据安全: 1)序列化或传输敏感数据;2)无SSL传输通道或者代价太高;3)敏感数据需要长久保存;应该要避免使用私有加密算法,以免引入更多的漏洞。应用程序...
3分钟读阿里Java手册: 序列化
12-21
前言 下面这句代码,相信大家可能跟我一样都非常熟悉,但是真正了解的人又有多少呢? private static final long serialVersionUID = 1L;...Java序列化保留了对象类的元数据(类、继承类等),以及对象数据,兼容性好
java序列化工具
11-21
Java序列化是一种将已序列化的对象状态转换回对象的过程,它是Java平台中持久化数据的一种常见方式。在Java应用程序中,序列化用于保存对象的状态以便稍后恢复,或者在网络间传输对象。然而,这个过程也可能引入...
Java序列化_Java序列化结构_
09-29
Java序列化Java平台中的一种持久化机制,它允许对象的状态被转换成字节流,以便存储、网络传输或在不同时间点恢复。这个过程被称为序列化,而反向操作称为反序列化序列化在许多场景下都非常有用,比如在分布式...
Java中对象序列化与反序列化详解
09-03
Java编程中,对象序列化是一个重要的概念,它允许将Java对象转换为字节序列,便于存储或在网络中传输。这个过程被称为序列化,而将字节序列恢复为原来的对象则称为反序列化。本文将深入探讨Java中的对象序列化与反...
Java对象序列化操作详解
08-27
* 序列化:把 Java 对象转换为字节序列的过程。 * 反序列化:把字节序列恢复为 Java 对象的过程。 序列化 API: * java.io.ObjectOutputStream 代表对象输出流,它的 writeObject(Object obj) 方法可对参数指定的 ...
Java语言编程规范--华为技术有限公司
11-25
Java语言编程规范,来自——华为技术有限公司企业技术规范亲测可用, 谢谢支持。
华为java安全编码规范考试3.1.md
07-27
华为java安全编码规范考试3.1 血与泪整理除的答案,当前时间保证是最新的,基本所有题都能找到。有几题答案没写出来,但是写了所有的错误答案…………排除法
Java序列化敏感字段加密
God_Mood的博客
01-03 3654
     在序列化过程中,虚拟机会试图调用对象类里的 writeObject 和 readObject 方法,进行用户自定义的序列化和反序列化,如果没有这样的方法,则默认调用是 ObjectOutputStream 的 defaultWriteObject 方法以及 ObjectInputStream 的 defaultReadObject 方法。用户自定义的 writeObject 和 read...
序列化和反序列化(五)——敏感字段加密
gaohuanjie的专栏
04-24 3837
情景:服务器端给客户端发送序列化对象数据,对象中有一些数据是敏感的,比如密码字符串等,希望对该密码字段在序列化时,进行加密,而客户端如果拥有解密的密钥,只有在客户端进行反序列化时,才可以对密码进行读取,这样可以一定程度保证序列化对象的数据安全。 解决:在序列化过程中,虚拟机会试图调用对象类里的 writeObject 和 readObject 方法,进行用户自定义的序...
加密签名”是不是安全?看完这篇就秒懂!
热门推荐
华为云官方博客
11-13 1万+
很多安全规范及安全文章中都提到一条规则:加密签名是不安全的,应当签名加密。这条规则背后的原理是什么?加密签名一定不安全吗?本文为您一一解答。
java代码审计之反序列化(敏感信息泄露)
糖小喵
05-07 4735
前言 在 Java 环境中,允许处于不同受信域的组件进行数据通信,从而出现跨受信边界的数据传输。不要序列 化未加密敏感数据;不要允许序列化绕过安全管理器。 public class GPSLocation implements Serializable { private double x; // sensitive field private double y; // sensitive...
java序列化
halizzc的博客
11-14 315
前言: 序列化通俗点说就是对象------>字节流的过程,为什么要序列化呢?在分布式环境下,无论是何种数据,都会以二进制序列的形式在网络上传输。序列化是一种将对象以一连串的字节描述的过程,用于解决在对象流进行读写操作时所引发的问题。序列化可以将对象的状态写在流里进行网络传输,或保存在文件、数据库里,并在需要时把该流读取出来重新构造一个相同的对象。 java序列化原理: java序列化对象的信
加密签名是否安全
TrustNature
10-12 702
签名加密是指对消息进行签名,然后对消息的签名值和消息一起进行加密。如果采用加密签名的方式,接收方只能知道该消息是由签名者发送过来的,但并不能确定签名者是否是该消息的创建者。比如在发送一个认证凭据时采用加密签名的方式,消息在发送过程中就有可能被第三方截获并将认证凭据密文的签名值修改为自己的签名,然后发送给接收方。第三方就有可能在不需知道认证凭据的情况下通过这种方式来通过认证获取权限。...
Java编程规范学习笔记》
u011073057的博客
07-11 8266
java编程代码规范

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值