java对象序列化并加密_JAVA系列之对象的序列化与反序列化

1 简介

对象序列化(Serializable)是指将对象转换为字节序列的过程，而反序列化则是根据字节序列恢复对象的过程。

序列化一般用于以下场景：

1.永久性保存对象，保存对象的字节序列到本地文件中；

2.通过序列化对象在网络中传递对象；

3.通过序列化在进程间传递对象。

对象所属的类必须实现Serializable或是Externalizable接口才能被序列化。对实现了Serializable接口的类，其序列化与反序列化采用默认的序列化方式，Externalizable接口是继承了Serializable接口的接口，是对Serializable的扩展，实现了Externalizable接口的类完全自己控制序列化与反序列化行为。

Java.io.ObjectOutputStream代表对象输出流，其方法writeObject(Object

obj)可以实现对象的序列化，将得到的字节序列写到目标输出流中。Java.io.ObjectInputStream代表对象输入流，其readObject()方法能从源输入流中读取字节序列，将其反序列化为对象，并将其返回。

2 序列化的几种方式

假设定义了一个Customer类，根据Customer实现序列化方式的不同，可能有以下几种序列化方式：

2.1实现Serializable,未定义readObject和writeObject方法

ObjectOutputStream使用JDK默认方式对Customer对象的非transient的实例变量进行序列化；

ObjectInputStream使用JDK默认方式对Customer对象的非transient的实例变量进行反序列化。

2.2 实现Serializable,并定义了readObject和writeObject方法

ObjectOutputStream调用Customer类的writeObject(ObjectOutputStream

out)方法对Customer对象的非transient的实例变量进行序列化；

ObjectInputStream调用Customer类的readObject(ObjectInputStream

in)方法对Customer对象的非transient的实例变量进行反序列化。

2.3 实现Externalizable,定义readExternal和writeExternal方法

ObjectOutputStream调用Customer类的writeExternal方法对Customer对象的非transient实例变量进行序列化；

ObjectInputStream首先通过Customer类的无参数构造函数实例化一个对象，再用readExternal方法对Customer对象的非transient实例变量进行反序列化。

3 Serializable接口

类通过实现 java.io.Serializable

接口以启用其序列化功能。未实现此接口的类将无法使其任何状态序列化或反序列化。可序列化类的所有子类型本身都是可序列化的。序列化接口没有方法或字段，仅用于标识可序列化的语义。

在反序列化过程中，将使用该类的公用或受保护的无参数构造方法初始化不可序列化类的字段。可序列化的子类必须能够访问无参数构造方法。可序列化子类的字段将从该流中恢复。

当遍历一个类视图时，可能会遇到不支持 Serializable 接口的对象。在此情况下，将抛出

NotSerializableException，并将标识不可序列化对象的类。

3.1 准确签名

在序列化和反序列化过程中需要特殊处理的类必须使用下列准确签名来实现特殊方法：

private void writeObject(java.io.ObjectOutputStream out) throws

IOException

private void readObject(java.io.ObjectInputStream in) throws

IOException, ClassNotFoundException;

private void readObjectNoData() throws ObjectStreamException;

writeObject 方法负责写入特定类的对象的状态，以便相应的 readObject 方法可以恢复它。通过调用

out.defaultWriteObject 可以调用保存 Object

的字段的默认机制。该方法本身不需要涉及属于其超类或子类的状态。通过使用 writeObject 方法或使用 DataOutput

支持的用于基本数据类型的方法将各个字段写入 ObjectOutputStream，状态可以被保存。

readObject 方法负责从流中读取并恢复类字段。它可以调用 in.defaultReadObject

来调用默认机制，以恢复对象的非静态和非瞬态字段。defaultReadObject

方法使用流中的信息来分配流中通过当前对象中相应指定字段保存的对象的字段。这用于处理类演化后需要添加新字段的情形。该方法本身不需要涉及属于其超类或子类的状态。通过使用

writeObject 方法或使用 DataOutput 支持的用于基本数据类型的方法将各个字段写入

ObjectOutputStream，状态可以被保存。

在序列化流不列出给定类作为将被反序列化对象的超类的情况下，readObjectNoData

方法负责初始化特定类的对象状态。这在接收方使用的反序列化实例类的版本不同于发送方，并且接收者版本扩展的类不是发送者版本扩展的类时发生。在序列化流已经被篡改时也将发生；因此，不管源流是“敌意的”还是不完整的，readObjectNoData

方法都可以用来正确地初始化反序列化的对象。

将对象写入流时需要指定要使用的替代对象的可序列化类，应使用准确的签名来实现此特殊方法：

ANY-ACCESS-MODIFIER Object writeReplace() throws

ObjectStreamException;

此 writeReplace

方法将由序列化调用，前提是如果此方法存在，而且它可以通过被序列化对象的类中定义的一个方法访问。因此，该方法可以拥有私有

(private)、受保护的(protected) 和包私有 (package-private) 访问。子类对此方法的访问遵循

java 访问规则。

在从流中读取类的一个实例时需要指定替代的类应使用的准确签名来实现此特殊方法。

ANY-ACCESS-MODIFIER Object readResolve() throws

ObjectStreamException;

此 readResolve 方法遵循与 writeReplace 相同的调用规则和访问规则。

如果一个类定义了readResolve方法，那么在反序列化的最后将调用readResolve方法，该方法返回的对象为反序列化的最终结果。

3.2 serialVersionUID

序列化运行时使用一个称为 serialVersionUID

的版本号与每个可序列化类相关联，该序列号在反序列化过程中用于验证序列化对象的发送者和接收者是否为该对象加载了与序列化兼容的类。如果接收者加载的该对象的类的

serialVersionUID 与对应的发送者的类的版本号不同，则反序列化将会导致

InvalidClassException。可序列化类可以通过声明名为 "serialVersionUID" 的字段(该字段必须是静态

(static)、最终 (final) 的 long 型字段)显式声明其自己的 serialVersionUID：

ANY-ACCESS-MODIFIER static final long serialVersionUID = 42L;

如果可序列化类未显式声明 serialVersionUID，则序列化运行时将基于该类的各个方面计算该类的默认

serialVersionUID 值，如“Java(TM) 对象序列化规范”中所述。不过，强烈建议 所有可序列化类都显式声明

serialVersionUID 值，原因是计算默认的 serialVersionUID

对类的详细信息具有较高的敏感性，根据编译器实现的不同可能千差万别，这样在反序列化过程中可能会导致意外的

InvalidClassException。因此，为保证 serialVersionUID 值跨不同 java

编译器实现的一致性，序列化类必须声明一个明确的 serialVersionUID 值。还强烈建议使用 private 修饰符显示声明

serialVersionUID(如果可能)，原因是这种声明仅应用于直接声明类 -- serialVersionUID

字段作为继承成员没有用处。数组类不能声明一个明确的 serialVersionUID，因此它们总是具有默认的计算值，但是数组类没有匹配

serialVersionUID 值的要求。

4 Externalizable接口

Externalizable是Serailizable的扩展，实现Externalizable接口的类其序列化有以下特点：

序列化时调用类的方法writeExternal，反序列化调用readExternal方法；

在执行反序列化时先调用类的无参数构造函数，这一点与默认的反序列化是不同的，因此对实现Externalizable接口来实现序列化的类而言，必须提供一个public的无参数构造函数，否则在反序列化时将出现异常。

5 总结

如果采用默认的序列化方式，只要让一个类实现Serializable接口，其实例就可以被序列化。通常，专门为继承而设计的类应该尽量不要实现Serializable接口，因为一旦父类实现了Serializable接口，其所有子类也都是可序列化的了。

默认的序列化方式的不足之处：

1.直接对对象的不宜对外公开的敏感数据进行序列化，这是不安全的；

2.不会检查对象的成员变量是否符合正确的约束条件，有可能被传改数据而导致运行异常；

3.需要对对象图做递归遍历，如果对象图很复杂，会消耗很多资源，设置引起Java虚拟机的堆栈溢出；

4.使类的接口被类的内部实现约束，制约类的升级与维护。

通过实现Serializable接口的private类型的writeObject()和readObject()，或是实现Externalizable接口，并实现writeExternal()与readExternal()方法，并提供public类型的无参数构造函数两种方式来控制序列化过程可以有效规避默认序列化方式的不足之处。

当两个进程在进行远程通信时，彼此可以发送各种类型的数据。无论是何种类型的数据，都会以二进制序列的形式在网络上传送。发送方需要把这个Java对象转换为字节序列，才能在网络上传送；接收方则需要把字节序列再恢复为Java对象。

把Java对象转换为字节序列的过程称为对象的序列化。

把字节序列恢复为Java对象的过程称为对象的反序列化。

－－－－－－－－－－－以下内容节选自《Thinking in java 3rd Edition》－－－－－－－－－－－－－

利用对象序列化可以实现“轻量级持久化”(lightweight

persistence)。“持久化”意味着一个对象的生存周期并不取决于程序是否正在执行；它可以生存于程序的调用之间。通过将一个序列化对象写入磁盘，然后在重新调用时恢复该对象，就能够实现持久化的效果。之所以称其为“轻量级”，是因为不能用某种“persistent”(持久)关键字来简单地定义一个对象，并让系统自动维护其他细节问题(尽管将来有可能实现)。相反，对象必须在程序中显式地序列化和重组。如果需要一个更严格的持久化机制，可以考虑使用Java数据对象(JDO)或者像Hibernate之类的工具

对象序列化的概念加入到语言中是为了提供对两种主要特性的支持：

·Java的“远程方法调用”(RMI，Remote

Method

Invocation)使存活于其他计算机上的对象使用起来就像是存活于本机上一样。当向远程对象发送消息时，需要通过对象序列化来传输参数和返回值。

·对Java

Beans来说对象序列化也是必需的。使用一个Bean时，一般情况下是在设计阶段对它的状态信息进行配置。这种状态信息必须保存下来，并在程序启动以后，进行恢复；具体工作由对象序列化完成。

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

对象的序列化主要有两种用途：

1) 把对象的字节序列永久地保存到硬盘上，通常存放在一个文件中；

2) 在网络上传送对象的字节序列。

一．

JDK类库中的序列化APIjava.io.ObjectOutputStream代表对象输出流，它的writeObject(Object

obj)方法可对参数指定的obj对象进行序列化，把得到的字节序列写到一个目标输出流中。

java.io.ObjectInputStream代表对象输入流，它的readObject()方法从一个源输入流中读取字节序列，再把它们反序列化为一个对象，并将其返回。

只有实现了Serializable和Externalizable接口的类的对象才能被序列化。Externalizable接口继承自Serializable接口，实现Externalizable接口的类完全由自身来控制序列化的行为，而仅实现Serializable接口的类可以采用默认的序列化方式

。

对象序列化包括如下步骤：

1) 创建一个对象输出流，它可以包装一个其他类型的目标输出流，如文件输出流；

2) 通过对象输出流的writeObject()方法写对象。

对象反序列化的步骤如下：

1) 创建一个对象输入流，它可以包装一个其他类型的源输入流，如文件输入流；

2) 通过对象输入流的readObject()方法读取对象。

下面让我们来看一个对应的例子，类的内容如下：

import java.io.*;

import java.util.Date;

public class ObjectSaver {

public static void main(String[] args) throws Exception {

ObjectOutputStream out = new ObjectOutputStream

(new FileOutputStream("D:""objectFile.obj"));

//序列化对象

Customer customer = new Customer("阿蜜果", 24);

out.writeObject("你好!");

out.writeObject(new Date());

out.writeObject(customer);

out.writeInt(123); //写入基本类型数据

out.close();

//反序列化对象

ObjectInputStream in = new ObjectInputStream

(new FileInputStream("D:""objectFile.obj"));

System.out.println("obj1=" + (String) in.readObject());