hessian序列化原理分析

已于 2022-06-29 22:47:53 修改
阅读量1w 收藏 19
点赞数 6
文章标签: java 算法 前端
于 2020-07-04 22:58:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhuqiuhui/article/details/107132002
版权

文章目录

1. hessian序列化举例

1.1 hessian协议简介
1.1.1 特点

参考官方文档的描述,下面做一些简要描述,http://hessian.caucho.com/doc/hessian-serialization.html。

  • 它必须自我描述序列化类型,即不需要外部模式或接口定义
  • 它必须是独立于语言的,包括支持脚本语言
  • 它必须是可以通过单一方式进行读写
  • 它必须尽可能紧凑
  • 它必须简单,这样才能有效地测试和实现
  • 必须尽可能地快
  • 它必须支持Unicode字符串
  • 它必须支持8位二进制数据,而不需要转义或使用附件
  • 它必须支持加密、压缩、签名和事务上下文信封
1.1.2 hessian语法简介

以下几种示例,更多参考:http://hessian.caucho.com/doc/hessian-serialization.html。

        #boolean true/false
boolean ::= 'T'
        ::= 'F'
          
        # list/vector
list    ::= 'V' type? length? value* 'z'
        ::= 'v' int int value*          #第一个int表示类型引用, 第二个int表示长度
          

        #32-bit 有符号整型(比如0x90编码为0int     ::= 'I' b3 b2 b1 b0
        ::= [x80-xbf]                   #-x10 to x3f
        ::= [xc0-xcf] b0                #-x800 to x7ff
        ::= [xd0-xd7] b1 b0             #-x40000 to x3ffff
1.2 hessian序列化与反序列化举例
public static void serialize1(Student student){
  FileOutputStream fileOutputStream;
  try {
    fileOutputStream = new FileOutputStream("/Users/zhuqiuhui/Desktop/studentHession.txt");
    // 从对象中获取字节流
    ByteArrayOutputStream os = new ByteArrayOutputStream();
    Hessian2Output output = new Hessian2Output(os);
    output.writeObject(student);
    output.getBytesOutputStream().flush();
    output.completeMessage();
    output.close();

    // 写入到文件中
    fileOutputStream.write(os.toByteArray());
  } catch (Exception e) {
    e.printStackTrace();
  }
}

public static Student deserialize1(){
  FileInputStream fileInputStream;
  Object result = null;
  try {
    fileInputStream = new FileInputStream("/Users/zhuqiuhui/Desktop/studentHession.txt");
    byte[] data = new byte[1024];
    int len = fileInputStream.read(data);
    System.out.println("read byte length:" + len);

    // 从流中读出对象
    ByteArrayInputStream is = new ByteArrayInputStream(data);
    Hessian2Input input = new Hessian2Input(is);
    result = input.readObject();
  } catch (Exception e) {
    e.printStackTrace();
  }
  return (Student)result;
}

public static void main(String[] args) {

  Student student = new Student();
  student.setId("123");
  student.setName("方辰");

  // 序列化
  // serialize1(student);

  // 反序列化
  Student serializestudent = deserialize1();
  System.out.println("deserialize result entity id is "+serializestudent.getId());
  System.out.println("deserialize result entity name is "+serializestudent.getName());
}
1.3 hessian协议与jdk区别
  • 区别一:java序列化无法跨语言
  • 区别二:新旧对象的版本Java通过一个serialVersionUID来关联,需要开发者关注序列化的语义
  • 区别三:java序列化不支持加密
  • 区别四:Java序列化的内容比hessian大

2. hessian序列化分析

2.1 hessian序列化必须 serialVersionUID 吗?

hessian序列化对象不用增加serialVersionUID,hessian序列化时把类的描述信息写入到byte[]中

2.2 hessian序列化与反序列化源码分析
2.2.1 (反)序列化器的对应关系
类型序列化器反序列化器
CollectionCollectionSerializerCollectionDeserializer
MapMapSerializerMapDeserializer
IteratorIteratorSerializerIteratorDeserializer
AnnotationAnnotationSerializerAnnotationDeserializer
InterfaceObjectSerializerObjectDeserializer
ArrayArraySerializerArrayDeserializer
EnumerationEnumerationSerializerEnumerationDeserializer
EnumEnumSerializerEnumDeserializer
ClassClassSerializerClassDeserializer
默认JavaSerializerJavaDeserializer
ThrowableThrowableSerializer
InputStreamInputStreamSerializerInputStreamDeserializer
InetAddressInetAddressSerializer
2.2.2 为什么序列化对象要 implements Serializable 接口?
// com.caucho.hessian.io.SerializerFactory 序列化时会获取默认序列化器
protected Serializer getDefaultSerializer(Class cl) {
  if (_defaultSerializer != null)
    return _defaultSerializer;

  // 若序列化对象没有实现 Serializable 接口,则会抛出IllegalStateException
  if (! Serializable.class.isAssignableFrom(cl)
      && ! _isAllowNonSerializable) {
    throw new IllegalStateException("Serialized class " + cl.getName() + " must implement java.io.Serializable");
  }

  if (_isEnableUnsafeSerializer
      && JavaSerializer.getWriteReplace(cl) == null) {
    return UnsafeSerializer.create(cl);
  }
  else
    return JavaSerializer.create(cl);
}
2.2.3 序列化过程与反序列化过程
  • 序列化过程:Hessian2Output -> SerializerFactory -> Serializer
  • 反序列化过程:Hessian2Input -> SerializerFactory -> Deserializer
2.3 总结
  • 序列化对象要实现 Serializable 接口,否则序列化时会报“must implement java.io.Serializable”异常
  • 若序列化对象经hessian序列化后,序列化对象中不加serialVersionUID时,再改变(增加对象属性、删除对象属性)都不会产生反序列化异常,即hessian序列化对象不再需要serialVersionUID
  • hessian会把复杂对象所有属性存储在一个 Map 中进行序列化。所以在父类、子类存在同名成员变量的情况下, Hessian 序列化时,先序列化子类,然后序列化父类,因此反序列化结果会导致子类同名成员变量被父类的值覆盖。
  • hessian中的writeReplace方法与readResolve方法的作用一样,如果序列化的对象具有此方法,会利用此方法返回的实例来代替序列化后实例,用以保证对象的单例性
bboyzqh
关注
  • 6
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
【Web】浅聊Java序列化之玩转Hessian序列化的前置知识
uuzeray的博客
03-11 1404
当其Hessian序列化Map类型的对象的时候,会自动调用其put方法,而put方法又会牵引出各种相关利用链打法。
hessian学习基础篇——序列化和反序列化
05-26
NULL 博文链接:https://qinghua0208.iteye.com/blog/493516
java基础学习:序列化之 - hessian2
最新发布
玉汝于成
07-16 581
Hessian2是Hessian协议的一个更新版本,由Caucho Technology公司开发。Hessian是一种基于二进制的轻量级、高效的跨语言序列化协议。Hessian2相较于原始Hessian协议,在多个方面进行了改进和优化。Hessian2作为一种基于二进制的跨语言序列化协议,在分布式系统和微服务架构中具有广泛的应用前景。其高效的序列化算法、紧凑的协议设计以及支持复杂数据类型等特点,使得Hessian2成为处理大量数据传输和共享的理想选择。
hessian序列化
hzllblzjily的专栏
02-11 1322
1、概念介绍    把Java对象转换为字节序列的过程称为对象的序列化。    把字节序列恢复为Java对象的过程称为对象的反序列化。    对象的序列化主要有两种用途:   1) 数据介质存储   2) 数据网络传输 2、对象序列化实例      为了更好的理解hessian序列化机制,所以把javahessian的对象序列化实例都一一列出。      
Hessian序列化详解
懒虫一个V
12-19 6132
hessian序列化
Hessian 的字段序列化小记
04-06
- 首先,Hessian序列化器会遍历Java对象的所有字段,对每个字段进行处理。 - 对于基本类型,如int、boolean、double等,Hessian有专门的编码方式,直接将其转换为字节。 - 对于复杂类型如对象和数组,Hessian会...
Nacos JRaft Hessian序列化 RCE 分析.pdf
04-22
### Nacos JRaft Hessian序列化 RCE 分析 #### 一、背景介绍 Nacos 是阿里巴巴开源的一款易于构建云原生应用的动态服务发现、配置管理和服务管理平台。JRafT 是 SOFAStack 微服务平台中的一个分布式一致性组件...
Hessian应用
12-28
- **二进制序列化**:Hessian的二进制序列化机制将Java对象转换为紧凑的二进制形式,这种方式不仅比XML等文本格式更节省空间,而且提高了序列化的速度。 - **远程调用模型**:Hessian提供了客户端和服务端两部分组件...
Hessian
05-27
2. **简单类型支持**:Hessian支持基本的Java数据类型,如整型、浮点型、字符串、日期等,并且可以序列化和反序列化复杂对象。 3. **流式传输**:Hessian协议允许数据分块传输,这意味着服务端可以立即响应部分结果...
hessian序列化规范
04-11
NULL 博文链接:https://san-yun.iteye.com/blog/1688510
hessian-demo示例
04-20
它支持基本类型、对象、数组以及XML和JSON等数据格式的序列化和反序列化。在Java中,Hessian服务通常由一个实现了特定接口的类来提供,客户端通过调用这个远程接口,就能执行服务端的方法。 接下来,我们来看Spring...
hessian原理解析三(序列化协议)
weixin_30456039的博客
02-04 169
1、序列化概念   将数据结构或对象转换成二进制串的过程就是序列化,将序列化过程中所生成的二进制串转换成数据结构或者对象的过程就是反序列化序列化的目的是为了保存对象状态或用于网络传输 2、hessian 序列化协议 1.0 参考官方文档:http://hessian.caucho.com/doc/hessian-1.0-spec.xtp 9 primitivetypes boolea...
Hessian 序列化、反序列化
字节跳动技术团队官方博客
08-05 4970
动手点关注干货不迷路????背景问题和思考:序列化参数有枚举属性,序列化端增加一个枚举,能否正常反序列化序列化子类,它和父类有同名参数,反序列化时,同名参数能否能正常赋值?序列化对象增加参数,反序列化类不增加参数,能否正常反序列化?用于序列化传输的属性,用包装器比较好,还是基本类型比较好?为什么要使用序列化和反序列化程序在运行过程中,产生的数据,不能一直保存在内存中,需要暂...
hessian原理
liao0801_123的博客
01-24 904
一.Hessian原理与协议简析:     http的协议约定了数据传输的方式,hessian也无法改变太多:     1) hessian中client与server的交互,基于http-post方式。     2) hessian将辅助信息,封装在http header中,比如“授权token”等,我们可以基于http-header来封装关于“安全校验”“meta数据”等。hessian...
dubbo 序列化机制之 hessian2序列化实现原理分析
weixin_30593261的博客
03-07 618
  对于远程通信,往往都会涉及到数据持久化传输问题。往大了说,就是,从A发出的信息,怎样能被B接收到相同信息内容!小点说就是,编码与解码问题!   而在dubbo或者说是java的远程通信中,编解码则往往伴随着序列化与反序列化! 普通java对象要想实现序列化,一般有几个步骤:   1. 实现 Serializable 接口;   2. 生成一个序列号: serialVersionUID,...
使用Hessian进行序列化
iteye_7017的博客
12-13 1005
    无论是何种类型的数据,最终都需要转换成二进制流在网络上进行传输,那么在面向对象程序设计中,如何将一个定义好的对象传输到远端呢?数据的发送方需要将对象转换成为二进制流,才能在网络上进行传输,而数据的接收方则需要把二进制流再恢复为对象。     将对象转换为二进制流的过程称为对象的序列化。     将二进制流恢复为对象的过程称为对象的反序列化Hessian的效率比Java本身内置的...
Nacos Hessian RCE:漏洞分析与修复
在Nacos 2.2.2版本中,分析显示,默认情况下会使用Hessian进行序列化和反序列化操作。由于缺乏对反序列化对象的白名单限制,攻击者可以通过构造恶意的Hessian请求包来触发RCE漏洞,进而执行任意代码。 《JRaft用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

bboyzqh

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值