Java安全基础——序列化/反序列化

原创 已于 2025-11-30 16:17:19 修改 · 1.2k 阅读 · 11 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #开发语言

于 2025-11-30 16:16:30 首次发布

前言:在Java中实现对象反序列化非常简单,实现java.io.Serializable(内部序列化)java.io.Externalizable(外部序列化)接口即可被序列化,其中java.io.Externalizable接口只是实现了java.io.Serializable接口

1:序列化对象和反序列化对象(两种方式)

(1)使用java.io.Serializable进行序列化

1:将类实现Serializable这个接口

2:设置serialVersionUID

3:使用ObjectOutputStream进行序列化

4:使用ObjectInputStream进行反序列化

Text类:

public class Text1 implements Serializable {
    @Serial
    private static final long serialVersionUID = 3842394723984792L;
    public String text="111";
    public int number;

    public Text1(){
    }

    public void text1(){
        System.out.println("我是text1中的方法");
    }

    @Override
    public String toString() {
        return "Text1{" +
                "text='" + text + '\'' +
                ", number=" + number +
                '}';
    }
}

Main类:

 //先字节流建立连接
 FileOutputStream out = new FileOutputStream("1.txt");
 //转换成序列化流
 ObjectOutputStream oos = new ObjectOutputStream(out);
 //写入对象
 oos.writeObject(new Text1());
 //关流
 oos.close();

 //先字节流建立连接
 FileInputStream fis = new FileInputStream("1.txt");
 //转换成序列化流
 ObjectInputStream ois = new ObjectInputStream(fis);
 //读取对象
 Text1 o = (Text1)ois.readObject();
 //关流
 ois.close();

 //打印对象
System.out.println(o);

(2)使用java.io.Externalizable进行序列化

1:将类实现Serializable这个接口

2:重写里面的两个方法

3:设置serialVersionUID

4:使用ObjectOutputStream进行序列化

5:使用ObjectInputStream进行反序列化

Text类:

public class Text1 implements Externalizable {
    @Serial
    private static final long serialVersionUID = 3842394723984792L;
    public String name="张三";
    public int number=888888;

    public Text1(){
    }

    public void text1(){
        System.out.println("我是text1中的方法");
    }

    @Override
    public String toString() {
        return "Text1{" +
                "name='" + name + '\'' +
                ", number=" + number +
                '}';
    }

    @Override
    public void writeExternal(ObjectOutput out) throws IOException {
            out.writeObject(name);
            out.writeInt(number);

    }

    @Override
    public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {
          name = (String) in.readObject();
          number = in.readInt();
    }
}

Main类:

 //先字节流建立连接
 FileOutputStream out = new FileOutputStream("1.txt");
 //转换成序列化流
 ObjectOutputStream oos = new ObjectOutputStream(out);
 //写入对象
 oos.writeObject(new Text1());
 //关流
 oos.close();

 //先字节流建立连接
 FileInputStream fis = new FileInputStream("1.txt");
 //转换成序列化流
 ObjectInputStream ois = new ObjectInputStream(fis);
 //读取对象
 Text1 o = (Text1)ois.readObject();
 //关流
 ois.close();

 //打印对象
System.out.println(o);

2:自定义序列化(writeObject)和反序列化(readObject)

当我们对DeserializationTest类进行序列化操作时,会自动调用(反射调用)该类的writeObject(ObjectOutputStream oos)方法,对其进行反序列化操作时也会自动调用该类的readObject(ObjectInputStream)方法,也就是说我们可以通过在待序列化或反序列化的类中定义readObjectwriteObject方法,来实现自定义的序列化和反序列化操作,当然前提是,被序列化的类必须有此方法,并且方法的修饰符必须是private,如果该类没有重写,默认调用默认的序列化方法

自定义序列化的使用场景:
1:需要手动处理使用transient关键字不能自动序列化字段

2:字段需要加密后序列化

3:还用更复杂的一些场景

Text类:

public class Text1 implements Serializable {
    @Serial
    private static final long serialVersionUID = 3842394723984792L;
    transient public String name="张三";
    public int number=888888;

    public Text1(){
    }

    private void writeObject(ObjectOutputStream out) throws IOException {
            out.defaultWriteObject();
            out.writeObject(name);
    }
    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
           in.defaultReadObject();
           name = (String) in.readObject();
    }

    @Override
    public String toString() {
        return "Text1{" +
                "name='" + name + '\'' +
                ", number=" + number +
                '}';
    }

}

Main类:

 //先字节流建立连接
 FileOutputStream out = new FileOutputStream("1.txt");
 //转换成序列化流
 ObjectOutputStream oos = new ObjectOutputStream(out);
 //写入对象
 oos.writeObject(new Text1());
 //关流
 oos.close();

 //先字节流建立连接
 FileInputStream fis = new FileInputStream("1.txt");
 //转换成序列化流
 ObjectInputStream ois = new ObjectInputStream(fis);
 //读取对象
 Text1 o = (Text1)ois.readObject();
 //关流
 ois.close();

 //打印对象
System.out.println(o);

3:使用反序列化绕过构造方法创建对象

除此之外,反序列化类对象是不会调用该类构造方法的,因为在反序列化创建类实例时使用了sun.reflect.ReflectionFactory.newConstructorForSerialization创建了一个反序列化专用的Constructor(反射构造方法对象),使用这个特殊的Constructor可以绕过构造方法创建类实例(前面章节讲sun.misc.Unsafe 的时候我们提到了使用allocateInstance方法也可以实现绕过构造方法创建类实例)

步骤:

1:获取sun.reflect.ReflectionFactory对象

2:使用反序列化方式获取某类的构造方法

3:实例化某类的对象

// 获取sun.reflect.ReflectionFactory对象
ReflectionFactory reflectionFactory = ReflectionFactory.getReflectionFactory();
// 使用反序列化方式获取Text1类的构造方法
Constructor<?> constructor = reflectionFactory.newConstructorForSerialization(Text1.class, Object.class.getConstructor());
//实例化Text1的对象
Text1 o = (Text1)constructor.newInstance();
System.out.println(o);

Java 入门指南:Java IO流 —— 序列化反序列化
热带鱼的技术博客
08-27 1783
序列化是指将对象转换为字节流的过程,以便能够将其存储到文件、内存、网络传输等介质中,或者在不同的进程、网络或机器之间进行数据交换。 序列化的逆过程称为反序列化,即将字节流转换为对象。过反序列化,可以从存储介质或网络传输中读取数据,并重新构建对象。
Java基础——序列化反序列化
weixin_64451672的博客
01-20 363
Java基础——序列化反序列化
Java笔记 IO —— 序列化反序列化(local class incompatible异常解决)
一纸春秋的博客
10-22 3941
序列化是指把一个Java对象变成二进制内容,本质上是一个byte[]数组。序列化的作用是把java对象按照byte[]数组的形式存储到文件里(也就是持久化到硬盘中,通常是保存在某一个文件中),或者通过网络传输出去(比如服务器之间的数据通信) 反序列化就是把一串二进制数据(也就是byte[]数组)再转换回java对象 序列化流:把对象按照流一样的方式存到文本文件或者数据库或者网络中传输等 对象 – 流数据 :ObjectOutputStream 反序列化:把文本文件中的流对象数据或者网络中的流数据给还
java 序列化快捷键_JAVA基础之——序列化反序列化
weixin_34820916的博客
02-16 833
1 概念序列化,将java对象转换成字节序列的过程。反序列化,将字节序列恢复成java对象的过程。2 为什么要序列化?2.1 实现数据持久化,当对象创建后,它就会一直在,但是在程序终止时,这个对象就被销毁了。如果序列化对象进行持久化了,那么该对象可以被程序加载后被重建。2.2 网络传输,不同的环境上传输能够保证数据不变。3 序列化几种方式3.1 实现接口SerializableObjectOutp...
Java中对象的转移——序列化反序列化
m0_53926113的博客
11-02 1575
序列化反序列化是现代软件开发中用于数据传输、存储的基本技术,尤其在分布式系统、缓存系统和跨语言数据交换中应用广泛。综上所述,序列化反序列化技术的发展,为现代软件提供了多样化的数据传输和持久化方案。通过合理选择合适的序列化工具,可以优化系统的性能、安全性和兼容性,从而满足不同应用的需求。序列化的技术不仅限于Java,在很多语言和框架中都有类似实现,适用于不同的应用需求。Protobuf的二进制格式占用空间小,解析速度快,版本控制友好,是数据高效传输的理想选择,尤其在微服务和多语言系统中应用广泛。
Java技术栈 —— 序列化反序列化
键盘国治理专家的博客
01-11 1181
实际上这样去思考对象的序列化,你会发现一些共通之处。下面说下共通之处,共有三点,血肉苦弱,机械飞升,借助外在的设备,将人的信息持久的保存起来,等到以后有了合适的科学条件,再把个人的信息下载到新的皮囊里,那么很显然,你能上传的只有思维,你怎么知道上传的思维经过数百年数千年的变化后,与你上传前的东西一致,而不是与之相似的另一个双胞胎的思维呢?将字节流转换为对象,以便将持久存储的对象信息加载为真正的对象。变量不会被初始化的道理,因为下一幅皮囊还有,关键字所做的,不想要被序列化的东西不要,
Java基础汇总(十二)——序列化反序列化
weixin_45864705的博客
09-26 1664
Java基础汇总(十二)——序列化反序列化
Java面试指南——当对象开启“变形记”:序列化反序列化
qq_49729896的博客
09-12 1404
本文系统解析Java序列化技术,涵盖基础原理、常见问题及高阶应用。通过三要素(接口标记、版本控制、字段管理)阐明实现机制,针对字段丢失、安全风险等典型问题提供解决方案,并对比JDK序列化与Kryo/Protobuf等替代方案的性能差异。特别强调serialVersionUID的版本兼容性作用及反序列化攻击防御策略,结合面试场景总结核心知识点与实际应用技巧。
Java——》序列化反序列化
小仙~
09-08 271
Java——》序列化反序列化
Java基础夯实——1.7 序列化
m0_60235638的博客
11-14 1326
java序列化序列化
hessian学习基础篇——序列化反序列化
05-26
本文将深入探讨Hessian框架的基础知识,它是一个高效的二进制序列化协议,广泛应用于Java和.NET之间跨语言通信。通过学习Hessian,我们可以更有效地处理数据传输,提高应用性能。 首先,让我们理解什么是序列化。...
JSON语法、序列化/反序列化、(JS、JSON、Java对象间转换)、fastjson库、JS内置对象JSON
岁岁岁平安的博客
12-11 1974
本篇博客的内容:JSON基础的介绍、JSON对象语法(数据结构和数据格式)、序列化反序列化、使用JS内置对象JSON提供的方法(JS对象与JSON对象间转换)、使用fastjson库处理(JSON对象与Java对象间转换)...
SE API第五天:Java IO流————字节/字符流、文件流、文件操作问题、缓冲流、对象流(序列化/反序列化)、转换流、缓冲字符流
weixin_59404863的博客
01-27 746
一、File类 1、删除目录 2、访问一个目录中的所有子项 3、获取目录中符合特定条件的子项 4、使用递归操作删除一个目录 5、Lambda表达式 二、JAVA IO 1)Java定义了两个超类(抽象类): 2)java将流分为两类:节点流与处理流: 1、文件流 (1)文件输出流:java.io.FileOutputStream (2)文件输入流 2、文件复制 一、File类 1、删除目录 delete()方法可以删除一个目录,但是只能删除空目录。 package IV
XML Schema 日期/时间 数据类型
csbysj2020的博客
12-11 496
datedateTimetimegYeargYearMonthgDaygMonthgMonthDayduration这些数据类型分别表示不同的日期和时间范围,适用于不同的应用场景。本文介绍了 XML Schema 中日期/时间数据类型的相关概念、类型、格式以及注意事项。通过了解这些知识,有助于我们在 XML 文档中正确地表示日期和时间数据,提高数据的一致性和准确性。
javascript 性能优化实战:异步和延迟加载
小伙伴们全都Lucky!
12-11 932
本文探讨JavaScript性能优化中的异步加载与延迟加载技术。异步加载通过async/defer属性或动态创建script元素避免阻塞渲染;延迟加载则利用IntersectionObserver API按需加载非关键资源。二者结合可显著提升性能:异步加载核心脚本确保交互流畅,延迟加载减少初始请求量。实践表明,该方案能降低DOMContentLoaded时间30%以上,减少初始加载量90%,但需注意async脚本的执行顺序问题和延迟加载的回退处理。文中提供了完整的代码实现示例。
命令执行漏洞 (RCE) 渗透测试实战指南
weixin_45631123的博客
12-15 243
Burp Suite 或 OWASP ZAP 抓包工具、授权测试环境。:Burp Collaborator 或公网DNS服务器。:Java Web应用,可注入Java代码。:安装ysoserial工具、Java环境。:安装Commix、Python3环境。:识别表单输入点(如登录框):无回显但命令执行成功时。:确认RCE漏洞存在。
基于Java+SpringBoot+Vue的美甲店管理系统【附源码+文档+部署视频+讲解)
小熊的博客
12-11 1229
基于SpringBoot的美甲店管理系统开发案例,涵盖用户、美甲师和管理员三大角色功能模块,采用Vue+SpringBoot+MySQL技术栈实现。系统包含服务预约、订单管理、耗材采购等全流程数字化功能,采用MVC设计模式和B/S架构。包含用户、美甲师、管理员三类角色的功能模块,该系统聚焦美甲店的日常运营场景,通过用户端浏览服务与套餐、美甲师端处理预约与评价、管理员端统筹人员、业务与资源的模式,实现美甲店从服务展示、预约调度到耗材管理的全流程数字化,提升门店运营效率与服务体验。
【QML】C++访问QML控件
weixin_53161762的博客
12-10 324
这些就可以使用obj->findChild<QObject *>(“rect”);根据对象的名字找到对应的对象,然后使用QQmlProperty修改对的应的属性了。如上图可知,在qml文件里面的qml控件的属性已经被cpp文件的中c++修改了。如上图,触发了qml中的信号后,就打印出c++中的槽函数。如上图,信号和函数和返回值都触发成功了。先创建一个c++类,然后写一个槽函数。main.cpp中加入以下代码。main.cpp文件。
LinkedHashMap:有序HashMap
最新发布
weixin_43076660的博客
12-15 540
LinkedHashMap是HashMap的子类,通过双向链表维护元素顺序,支持插入顺序和访问顺序两种模式。其核心结构是哈希表+双向链表,节点类扩展了前驱和后继指针。默认按插入顺序维护链表,设置accessOrder=true可改为访问顺序,适合实现LRU缓存。重写removeEldestEntry方法可自动移除最老元素,get/put操作会触发链表调整。LinkedHashMap通过回调方法(afterNodeAccess/Insertion/Removal)在哈希表操作时同步维护链表顺序,既保留Hash
Java序列化反序列化机制深度解析及应用
JVM在序列化/反序列化时会优先调用这些方法,允许开发者插入额外的逻辑,比如执行数据校验、加密解密、版本迁移等操作。更进一步地,还可以通过 `readObjectNoData()` 方法处理反序列化时遇到的版本不匹配问题,增强...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值