关于序列化

什么叫对象序列化，什么是反序列化，实现对象序列化需要做哪些工作？

对象序列化，将对象中的数据编码为字节序列的过程。
反序列化；将对象的编码字节重新反向解码为对象的过程。
JAVA提供了API实现了对象的序列化和反序列化的功能，使用这些API时需要遵守如下约定：
被序列化的对象类型需要实现序列化接口，此接口是标志接口，没有声明任何的抽象方法，JAVA编译器识别这个接口，自动的为这个类添加序列化和反序列化方法。
为了保持序列化过程的稳定，建议在类中添加序列化版本号。
不想让字段放在硬盘上就加transient
以下情况需要使用 Java 序列化：
想把的内存中的对象状态保存到一个文件中或者数据库中时候；
想用套接字在网络上传送对象的时候；
想通过RMI（远程方法调用）传输对象的时候。

序列化的作用

序列化就是把java对象转化成一种格式的过程，把java对象序列化，变成一种可以存储的形式。

1：对象随着程序的运行而被创建，然后在不可达时被回收，生命周期是短暂的。但是如果我们想长久地把对象的内容保存起来怎么办呢？把它转化为字节序列保存在存储介质上即可。那就需要序列化。

2：所有可在网络上传输的对象都必须是可序列化的，比如RMI（remote method invoke,即远程方法调用），传入的参数或返回的对象都是可序列化的，否则会出错；所有需要保存到磁盘的java对象都必须是可序列化的。通常建议：程序创建的每个JavaBean类都实现Serializeable接口

3：进程间传递对象，Android是基于Linux系统，不同进程之间的java对象是无法传输，所以我们此处要对对象进行序列化，从而实现对象在 应用程序进程 和 ActivityManagerService进程 之间传输。

序列化的缺点：

1.无法跨语言

2.易被攻击

3.序列化后的流太大，影响系统的吞吐量

4.序列化性能太差

避免序列化的方法：

重写readObject()方法实现

替换Java序列化 FastJson、Kryo、Protobuf、Hessian

所以有一系列的规范来最大化避免：

1）对序列化对象执行完整性检查或加密，以防止恶意对象创建或数据篡改；最常见的例子之一就是JWT:JWT由3部分组成：Header，Payload，Verify Signature，最后的签名部分其实就是对数据进行完整性校验的关键部分，用secret对数据部分进行哈希计算，随后检查计算出来的哈希值是否和请求中的JWT签名部分的哈希值相同。若两者一致则认为数据完整性没有被破坏，若两者有差异则说明数据被修改过。

2）在创建对象之前强制执行严格的类型约束；

3）隔离反序列化的代码，使其在非常低的特权环境中运行；

4）记录反序列化的例外情况和失败信息，如：传入的类型不是预期的类型，或者反序列处理引发的例外情况；

5）限制或监视来自于容器或服务器传入和传出的反序列化网络连接；

6）监视反序列化，当用户持续进行反序列化时，对用户进行警告。