Effective Java:考虑用序列化代理代替序列化实例

最新推荐文章于 2020-09-21 23:11:46 发布
VIP文章 最新推荐文章于 2020-09-21 23:11:46 发布
阅读量288 收藏
点赞数
文章标签: effective java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xujiajun945/article/details/84245471
版权

考虑用序列化代理代替序列化实例

前提:使用Serializable接口会增加出错和出现安全问题的可能性(因为他导致实例要利用语言之外的机制来创建,而不是普通的构造器)

解决方案:使用序列化代理模式

  1. 为可序列化的类设计一个私有的静态嵌套类,精确的表示外围类的实例的逻辑状态,这个嵌套类就是序列化代理
  2. 嵌套类具有一个单独的构造器,参数类型就是外围类,这个构造器只从它的参数中复制数据(不进行一致性检查和保护性拷贝)
  3. 序列化的时候使用代理类
  4. 反序列化的时候创建外部类
public final class Period {

	private final Date start;
	
	private final Date end;
	
	public Period(Date start, Date end) {
		if (start.compareTo(end) > 0) {
			throw new IllegalArgumentException(start + "after" + end);
		}
		this.start = start;
		this.end = end;
	}
	
	public Date start() {
		return start;
	}
	
	public Date end() {
		return end;
	}
	
	/**
	 * 这个方法的存在导致序列化系统产生一个代理实例,替代原对象
	 * 序列化系统永远不会产生该类的实例
	 * @return
	 */
	private Object writeReplace() {
		return new SerializationProxy(this);
	}
	
	private static class SerializationProxy implements Serializable {
		
		priva
最低0.47元/天 解锁文章
木吉他与五和弦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
第90项:考虑序列化代理代替序列化实例
Coloured_Glaze的博客
09-08 310
  正如第85项和第86项中提到以及本章中所讨论的,决定实现Serializable接口,会增加bug和出现安全问题的可能性,因为它导致实例要利用语言之外的机制来创建,而不是用普通的构造器。然而,有一种方法可以极大地减少这些风险。这种方法就是序列化代理模式(serialization proxy pattern)。   序列化代理模式相当简单。首先,为可序列化的类设计一个私有的静态嵌套类,精确地表...
EffectiveJava:有效的 Java 示例
06-02
有效的 Java(第 2 版)示例
Java 序列化代理模式
chenxuanhanhao的专栏
02-06 270
package effectivejava.chapter12.item90; import java.io.*; /** * https://blog.csdn.net/Lirx_Tech/article/details/51303966 * [疯狂Java]I/O:其它自定义序列化的方法(transient、writeReplace、readResolve、Externalizabl...
【笔记90】考虑序列化代理代替序列化实例
u013773608的博客
09-14 223
  决定实现 Serializable 接口,会增加出错和出现安全问题的可能性,因为它允许利用语言之外的机制来创建实例,而不是使用普通的构造器。然而,有一只方法可以极大的减少这些风险。就是序列化代理模式(seralization proxy pattern)。   序列化代理模式相当简单。首先,为可序列化的类设计一个私有的静态嵌套类,精确地表示外围类的逻辑状态。这个嵌套类被称为序列化代理(ser...
序列化代理模式
GoodIdea
04-13 516
Java序列化也带来了一些严重的误区,比如:类的结构无法大量改变,除非中断序列化处理,因此即便我们之后已经不需要某些变量了,我们也需要保留它们,仅仅是为了向后兼容。序列化会导致巨大的安全性危机,一个攻击者可以更改流的顺序,继而对系统造成伤害。举个例子,用户角色被序列化了,攻击者可以更改流的值为admin,再执行恶意代码。序列化代理模式是一种使序列化能达到极高安全性的方式,在这个模式下,一个内部的私...
Effective Java考虑序列化代理代理序列化实例(七十八)
heihei
01-09 421
我们知道,实现了序列化的类。在反序列化时,实例的创建是由readObject方法来完成的。由于这是一个不同于构造函数的创建类实例的通道,因此在构造函数中的状态约束条件在readObjetc中也得一条不落下的实现。这很让人头大。 而且readObject的出现,让伪字节流攻击和内部域的盗用攻击成为可能。伪字节流攻击就是伪造一个字节流,通过readObject读取,内部域的盗用攻击是指用一个
effectiveJava:有效的java se 书中的例子
07-04
有效的Java 有效的java se 书中的例子 建造者模式 第 2 条:当面临许多构造函数参数时考虑构建器 伸缩构造函数模式有效,但是当参数很多时很难编写客户端代码,而且更难阅读 Builder 模式模拟命名的可选参数 Class....
Effective-JavaEffective Java的所有练习程序
02-14
Effective-JavaEffective Java的所有练习程序
Effective-Java:Effective Java中文版第二版示例代码
07-09
Effective-Java Effective Java中文版第二版示例代码
effective-java:Intellij IDEA 的有效 Java 模式重构
07-03
Intellij 的有效 Java 重构 该插件旨在为 Intellij 提供重构操作,以实现 Effective Java,第 2 版中讨论的模式。
Java - 动态代理对象序列化
牧码的博客
05-28 1007
Proxy 对象是不能序列化的,就算能序列化也不能反序列化,因为proxy对象的类是动态生成出来的,序列化后,反序列化时目标JVM肯定没有加载过这个代理类。 有个变通的方法,就是获取到对象本身,序列化;反序列化后获取到原对象,再重新用代理包装即可获得反序列化后的代理对象了。不知道是否贴题。下面有个例子,虽然没有序列化和反序列化,但是基本实现了获取对象本身这个功能,希望能帮到你。 另外Groovy对象也是Java对象,应该仍然保持Groovy对象本身(个人理解,Groovy我也是略懂皮毛),Spring应
Java代理,注解
笔记别偷看
09-21 481
反射
Effective Java笔记-第11章:序列化
u012536353的专栏
07-30 429
概述: 1. 序列化的:将对象编码称为“字节流” 2. 反序列化:将“字节流”变成对象 3. 对象被序列化后:编码可以从一台虚拟机传递到另一台虚拟机,或者被存储在磁盘上[供以后反序列化的时候用][编码可以从一台虚拟机传递到另一台虚拟机?什么鬼?] 4. 序列化:  1. 为远程通信提供了标准的线路级对象表示方法  2. 为JavaBean组件提供了标准的持久化数据格式   [什么鬼?]
Serializable接口基本理解(3)--序列化代理的使用
DrifterJ's Stash
07-30 2410
Effective Java一书一直在强调,你的类实现Serializable接口前,一定要进行价值评估,是否值得这么做,尤其你的类是一个需要进行大量继承扩展的类。因为实现了Serializable接口,就会大大的增加出错和出现安全漏洞的可能性。蓄意攻击者可以通过伪造修改字节码的方式使你的代码出现安全漏洞!从一个角度看, readObject方法是一个参数为“字节流”的构造函数,因此篡改了字节流,
Serializable:序列化代理
BlackCutter的博客
07-08 940
序列化代理简单来说,A有序列化的需求,但是不直接序列化A,而是序列化一个A的代理对象B,我们可以将A的信息保存在B中,在反序列化时,再通过B得到A的信息,实例化一个A对象 为什么这么费劲呢?因为反序列化java机制之外的东西,不通过构造方法生成实例,这样有机会被入侵(具体说不上,就是有可能被黑的意思吧),采用序列化代理可以有效的避免通过反序列化来生成实例,所有的实例都通过构造函数来生成,这样就可
跟我学(Effective Java 2)第78条:考虑序列化代理代替序列化实例
Dullon_jiang的博客
06-21 206
第78条:考虑序列化代理代替序列化实例 正如第74条中提到以及本章中所讨论的,决定实现Serializable,会增加出错和出现安全问题的可能性,因为它导致实例要利用语言之外的机制来创建,而不是用普通的构造器。然而,有一种方法可以极大地减少这些风险。这种方法就是序列化代理模式(serialization proxy pattern)。 序列化代理模式相当简单。首先,为可序列化的类设计一个私有的静...
Effective Java读书笔记——第十一章 序列化
vanpersie_9987的博客
03-24 453
本文关注序列化API,他提供了一个框架,用来将对象编码城字节流,并从字节流编码中重新构建对象。将一个对象编码成一个字节流,成为将该对象序列化;反之称为反序列化。一旦对象被序列化后,它的编码就可以从一台正在运行的虚拟机被传递到另一太虚拟机上,或者被存储到硬盘上,供以后反序列化时用。本文第78条有意向特别提及的特新个,就是序列化代理模式,它可以帮助你避免对象序列化的许多缺陷。 第74条:谨慎
基于随机森林的数据分类预测Matlab程序RF 多特征输入多类别输出
最新发布
05-25
基于随机森林的数据分类预测Matlab程序RF 多特征输入多类别输出 基于随机森林的数据分类预测Matlab程序RF 多特征输入多类别输出 基于随机森林的数据分类预测Matlab程序RF 多特征输入多类别输出 基于随机森林的数据分类预测Matlab程序RF 多特征输入多类别输出 基于随机森林的数据分类预测Matlab程序RF 多特征输入多类别输出 基于随机森林的数据分类预测Matlab程序RF 多特征输入多类别输出 基于随机森林的数据分类预测Matlab程序RF 多特征输入多类别输出 基于随机森林的数据分类预测Matlab程序RF 多特征输入多类别输出 基于随机森林的数据分类预测Matlab程序RF 多特征输入多类别输出
effective java pdf
12-29
Effective Java》是由Joshua Bloch所著,涵盖了Java编程语言的最佳实践和编程技巧。这本书对于那些希望成为高效Java程序员的人来说是一本非常有用的资源。 《Effective Java》PDF版本包含了书中的所有内容,帮助读者在需要的时候方便地查找和阅读书中的内容。这本书提供了大量的实际案例和代码片段,有助于读者理解和掌握最佳的编程实践。 无论是Java初学者还是有一定经验的程序员,都可以从《Effective Java》中受益。书中讨论了很多关于Java编程的重要主题,如类设计、方法、泛型、枚举、异常处理、并发等。这些内容可以帮助读者写出更加可靠、高效和易维护的Java代码。 《Effective Java》PDF版本的便利之处在于可以随时随地进行阅读和查阅。读者可以将它下载到电脑、平板或手机等设备上,方便在需要的时候进行学习和参考。 总之,《Effective Java》PDF版本是一本非常有价值的资源,可以帮助Java程序员提高他们的编程水平和技能,成为更加高效和优秀的程序员。希望更多的读者能够通过这本书的学习,更好地掌握和应用Java编程语言。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值