Java中的序列化和反序列化:深入剖析背后的技术奥秘

最新推荐文章于 2024-09-14 18:46:05 发布
最新推荐文章于 2024-09-14 18:46:05 发布
阅读量292 收藏 9
点赞数 4
分类专栏: 后端 java 文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46372265/article/details/140286965
版权
java 同时被 2 个专栏收录
17 篇文章 0 订阅
订阅专栏
后端
16 篇文章 0 订阅
订阅专栏

Java中的序列化和反序列化:深入剖析背后的技术奥秘

大家好,我是城南。

在我们的日常开发工作中,经常会遇到需要将对象从内存中持久化到存储介质,或者从存储介质重新加载到内存中的情况。这种需求在分布式系统、持久化存储、网络传输等场景中尤为常见。而实现这种需求的核心技术,就是序列化和反序列化。那么,今天我们来深入探讨一下Java中的序列化和反序列化技术,以及它背后的实现原理和应用场景。

序列化和反序列化的概念

序列化(Serialization)是指将一个Java对象转换为二进制流的过程,这样对象就可以被存储到文件、数据库,或者通过网络传输。反序列化(Deserialization)则是将二进制流重新转换为Java对象的过程。

简单来说,序列化和反序列化就像是将对象打包和解包的过程。打包后的对象可以存储和传输,而解包后的对象则可以重新使用。

Java中的序列化机制

在Java中,序列化是通过java.io.Serializable接口来实现的。任何实现了Serializable接口的类都可以被序列化。这个接口是一个标记接口(Marker Interface),也就是说,它没有任何方法,仅仅是表明实现这个接口的类具有序列化的能力。

实现Serializable接口

让我们看一个简单的例子,如何使一个类实现Serializable接口:

import java.io.Serializable;

public class Person implements Serializable {
    private static final long serialVersionUID = 1L;
    private String name;
    private int age;

    public Person(String name, int age) {
        this.name = name;
        this.age = age;
    }

    // Getter和Setter方法
}

在这个例子中,Person类实现了Serializable接口,这样它的实例就可以被序列化和反序列化。

序列化对象

要将一个对象序列化,我们需要使用ObjectOutputStream类。下面是一个简单的例子:

import java.io.FileOutputStream;
import java.io.ObjectOutputStream;

public class SerializeDemo {
    public static void main(String[] args) {
        Person person = new Person("John Doe", 30);

        try (FileOutputStream fileOut = new FileOutputStream("person.ser");
             ObjectOutputStream out = new ObjectOutputStream(fileOut)) {
            out.writeObject(person);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

在这个例子中,我们将一个Person对象序列化到文件person.ser中。

反序列化对象

反序列化对象需要使用ObjectInputStream类。下面是一个简单的例子:

import java.io.FileInputStream;
import java.io.ObjectInputStream;

public class DeserializeDemo {
    public static void main(String[] args) {
        try (FileInputStream fileIn = new FileInputStream("person.ser");
             ObjectInputStream in = new ObjectInputStream(fileIn)) {
            Person person = (Person) in.readObject();
            System.out.println("Name: " + person.getName());
            System.out.println("Age: " + person.getAge());
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

在这个例子中,我们从文件person.ser中反序列化了一个Person对象,并输出了它的属性。

序列化的细节

在Java的序列化机制中,有一些细节需要特别注意。

serialVersionUID

serialVersionUID是一个唯一的版本标识符。它用于验证在反序列化时,发送者和接收者的序列化对象是否兼容。如果类的serialVersionUID不一致,会导致InvalidClassException。因此,建议在序列化的类中显式地定义serialVersionUID

private static final long serialVersionUID = 1L;

transient关键字

有些字段不需要被序列化,比如敏感数据或者临时计算的数据。这时候,可以使用transient关键字来标识这些字段。

private transient String password;

被标记为transient的字段在序列化时会被忽略。

Externalizable接口

除了Serializable接口,Java还提供了Externalizable接口,这个接口继承自Serializable,但需要实现writeExternalreadExternal方法。它提供了更大的控制权,可以自定义序列化和反序列化的过程。

import java.io.Externalizable;
import java.io.IOException;
import java.io.ObjectInput;
import java.io.ObjectOutput;

public class Employee implements Externalizable {
    private String name;
    private int age;

    public Employee() {
    }

    public Employee(String name, int age) {
        this.name = name;
        this.age = age;
    }

    @Override
    public void writeExternal(ObjectOutput out) throws IOException {
        out.writeObject(name);
        out.writeInt(age);
    }

    @Override
    public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {
        name = (String) in.readObject();
        age = in.readInt();
    }
}

在这个例子中,我们自定义了Employee类的序列化和反序列化过程。

序列化的应用场景

持久化存储

序列化可以用于将对象的状态持久化到存储介质中,比如文件或者数据库。这样,当系统重启时,可以从存储介质中重新加载对象的状态。

网络传输

在分布式系统中,对象需要在不同的系统之间传输。序列化可以将对象转换为二进制流,通过网络进行传输,然后在接收端反序列化为对象。

深拷贝

序列化还可以用于实现对象的深拷贝。通过将对象序列化,然后再反序列化,可以创建一个对象的深拷贝。

import java.io.*;

public class DeepCopyDemo {
    public static Object deepCopy(Object object) {
        try {
            ByteArrayOutputStream bos = new ByteArrayOutputStream();
            ObjectOutputStream oos = new ObjectOutputStream(bos);
            oos.writeObject(object);
            oos.flush();
            ByteArrayInputStream bis = new ByteArrayInputStream(bos.toByteArray());
            ObjectInputStream ois = new ObjectInputStream(bis);
            return ois.readObject();
        } catch (IOException | ClassNotFoundException e) {
            e.printStackTrace();
            return null;
        }
    }
}

在这个例子中,通过序列化和反序列化,我们实现了对象的深拷贝。

序列化的安全性

序列化存在一些安全问题,因为二进制流可以被篡改,导致反序列化时执行任意代码。为了防止这种情况,可以采取一些安全措施,比如:

  • 不要反序列化不受信任的数据。
  • 使用ObjectInputStream的子类,重写resolveClass方法,限制可反序列化的类。
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectStreamClass;

public class SecureObjectInputStream extends ObjectInputStream {
    public SecureObjectInputStream(InputStream in) throws IOException {
        super(in);
    }

    @Override
    protected Class<?> resolveClass(ObjectStreamClass desc) throws IOException, ClassNotFoundException {
        if (!allowedClass(desc.getName())) {
            throw new ClassNotFoundException("Unauthorized deserialization attempt");
        }
        return super.resolveClass(desc);
    }

    private boolean allowedClass(String className) {
        // 仅允许反序列化特定的类
        return "com.example.Person".equals(className);
    }
}

在这个例子中,我们自定义了ObjectInputStream,限制了可反序列化的类。

结束

通过这篇文章,大家应该对Java中的序列化和反序列化有了更深入的了解。序列化和反序列化是Java中非常重要的技术,广泛应用于持久化存储、网络传输和深拷贝等场景。在使用这些技术时,我们需要注意一些细节,比如serialVersionUIDtransient关键字和安全性问题。

希望这篇文章对大家有所帮助。如果你觉得这篇文章对你有所启发,欢迎关注我的博客。我会持续分享更多关于Java技术的干货。让我们一起在技术的道路上不断探索,勇往直前!

Java安全加固秘籍:10大漏洞如何变身编程小确幸? Coding无忧
java专栏
06-26 221
接下来的每一站,我们将逐一深入探讨如跨站脚本(XSS)、不安全的反序列化、权限提升等更多Java安全领域的“怪兽”,每一步都伴以生动的实例与详尽的代码剖析,确保你不仅仅是读过,而是彻底掌握并能立即上手实战!这趟旅程,不仅长,而且满载着知识的宝藏,保证让你一次学到饱!在这个充满挑战又不失趣味的编程旅途上,让我们手牵手,化身为勇敢的安全小卫士,一起揭开Java世界里那些狡猾漏洞的神秘面纱吧!想象一下,你正漫步在郁郁葱葱的“漏洞森林”,这里住着各种各样的“漏洞怪兽”。🔥关注墨瑾轩,带你探索编程的奥秘
探秘高效序列比较:一行行代码背后奥秘
gitblog_00774的博客
08-28 269
探秘高效序列比较:一行行代码背后奥秘 onpThe implementations of "An O(NP) Sequence Comparison Algorithm" 项目地址:https://gitcode.com/gh_mirrors/on/onp 在数据处理和生物信息学的广阔天地里,算法效率常常是决定项目成败的关键。今天,我们有幸向大家推介一个基于经典论文《An O(NP) Sequ...
推荐项目:JavaCore —— 深入探索Java核心技术的宝典
gitblog_00818的博客
08-23 316
推荐项目:JavaCore —— 深入探索Java核心技术的宝典 javacore:coffee: JavaCore 是对 Java 核心技术的经验总结。项目地址:https://gitcode.com/gh_mirrors/ja/javacore 在浩瀚的技术海洋Java作为一门经典且经久不衰的语言,其地位不可撼动。对于每一位Java开发者而言,掌握其核心技术是进阶的必由之路。今天,我们隆...
深度剖析Java String的奥秘
持之以恒,方得始终
01-16 2294
1.String的基本特性 1.1String概述 (1)String:字符串,使用一对""引起来表示 String s1 = "lalala" ; // 字面量的定义方式 String s2 = new String("lala"); // new 对象的方式 (2)String声明为final的,不可被继承 (3)String实现了Serializable接口,表示字符串是支持序列化;实现了Comparable接口,表示Strin...
开启Java新时代:ActiveJ,打造极致性能与灵活架构的现代化平台
gitblog_00620的博客
08-15 840
开启Java新时代:ActiveJ,打造极致性能与灵活架构的现代化平台 activejactivej/activej: 是 ActiveJ 的官方仓库,一个轻量级的 Java Web 框架,支持 RESTful API 开发。适合对 Java Web 开发、RESTful API 和想要使用轻量级框架的开发者。项目地址:https://gitcode.com/gh_mirrors/ac/acti...
Java学习专栏!全网最牛!
weixin_70730532的博客
08-12 2617
00254:《SpringCloud Alibaba微服务实战十四 - SpringCloud Gateway集成Oauth2.0》00242:《SpringCloud Alibaba微服务实战二十四 - SpringCloud Gateway的全局异常处理》00251:《SpringCloud Alibaba微服务实战十五 - SpringCloud 容器化部署》00248:《SpringCloud Alibaba微服务实战十八 - Oauth2.0 自定义授权模式》00184:《TCP网络那点破事!..
JSON parse error: Cannot deserialize instance of ‘java.util.ArrayList‘ out of START_OBJECT token
赵KK的博客
03-29 2139
Java架构师的旅程,对JSON数据处理的深入理解是必不可少的。通过掌握异常的运行原理和应用场景,我们可以更加自信地构建健壮、高效的Web应用程序。亲爱的读者,如果你有关于JSON处理的经验和故事,或者对本文有任何疑问和建议,欢迎在评论区留言。让我们一起在编程的世界里不断探索和成长!🚀🌟。
深入解析Java虚拟机(JVM)内存模型-全面掌握JVM内存管理
一个8年大数据开发工程师的碎碎念
08-04 1105
JVM内存模型是Java虚拟机管理内存的方式,它定义了Java程序在运行时如何存储和访问数据。理解JVM内存模型对于编写高效的Java代码、诊断内存相关问题以及优化应用性能至关重要。堆(Heap)方法区(Method Area)程序计数器(Program Counter Register)本地方法栈(Native Method Stack)虚拟机栈(VM Stack)接下来,我们将详细介绍每个区域的特点和作用。
推荐:TLS-Attacker——深度剖析和测试TLS库的强大工具
gitblog_00343的博客
08-12 329
推荐:TLS-Attacker——深度剖析和测试TLS库的强大工具 TLS-AttackerTLS-Attacker is a Java-based framework for analyzing TLS libraries. It can be used to manually test TLS clients and servers or as as a software library f...
深入剖析Kafka消息队列:揭开分布式消息传递的奥秘
![深入剖析Kafka消息队列:揭开分布式消息传递的奥秘]...# 1. Kafka消息队列概述** Kafka是一个分布式流处理平台,用于处理大规模实时数据流。它提供高吞吐量、低延迟和容错性,使其成为各种应用程序的理想
Java集合框架深入剖析】:LinkedList源码与性能分析
[【Java集合框架深入剖析】:LinkedList源码与性能分析](https://img-blog.csdnimg.cn/20181206213142429.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV...
【递归原理深度剖析】:阶乘算法的数学之美与性能优化
递归算法是计算机科学一种强大的编程技术,其原理是将问题分解为更小的子问题,直至达到一个简单到可以直接解决的程度。数学上,递归可以看作是在定义函数或序列时,该函数或序列的每一个值都是通过函数或序列的...
Java-网络
最新发布
2301_81543552的博客
09-14 452
Java的网络编程主要涉及使用Socket类进行网络通信,以及理解各种网络协议。以下是一些关键概念和示例代码,帮助您入门。
上传文件到钉盘流程详解
jspyth的博客
09-14 486
本文详解如何通过钉钉的API实现上传文件到钉盘目录,代码通过JAVA实现。
Java集合:Stack详解
yang_brother的博客
09-10 600
Java 的Stack类是一个后进先出(LIFO, Last In First Out)的数据结构,它继承自Vector类。尽管Stack是一个可用的类,但它被认为是遗留的,并且在新代码不推荐使用。通常建议使用Deque或ArrayDeque作为替代。
Java wrapperr打包springboot项目到linux和Windows
欢迎查阅
09-14 804
测试启动就是点击App.bat 就会有信息的输出 installApp就是注册为一个windows上的一个服务。上图文件复制的地方 全部复制过去 保留自己需要的 然后去掉后缀.in。下载:linux的目前免费的 windows 64位的好像收费的。前提: 一定要有Java环境(我使用的是jdk1.8)解压的目录,然后我们新建自己的项目目录java-jsw。前面是你解压的原文件 后边是你自己建的目录路径。步骤和上面的一样 不过复制的文件不一样。下载一个社区版本的应该就够用了。需要注意的点 有Java环境。
C#基础(11)函数重载
a6s686的博客
09-12 819
我们通过这些例子的学习,想毕你一定已经掌握了函数重载的相关内容,我相信你只要稍加练习,便能达到很熟练的程度。不过不管知识点难或者简单,还是那句话,学习路上,戒骄戒躁,脚踏实地。请期待我的下一篇博客!
Spring AMQP给消息添加头信息
yong472727322的博客
09-10 281
【代码】Spring AMQP给消息添加头信息。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值