Serializable:writeReplace

最新推荐文章于 2024-05-22 09:27:25 发布
最新推荐文章于 2024-05-22 09:27:25 发布
阅读量2.2k 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: java 文章标签: 序列化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/blackcutter/article/details/46802989
本文探讨了在序列化类中使用writeReplace方法的机制,通过自定义People类并实现writeReplace方法,使得实际序列化的是Kong对象而非People对象。详细解释了序列化过程的变化以及writeObject/readObject方法在此过程中的作用,展示了如何通过writeReplace方法改变序列化的对象。

如果一个序列化类中含有Object writeReplace()方法,那么实际序列化的对象将是作为writeReplace方法返回值的对象,而且序列化过程的依据是实际被序列化对象的序列化实现。

People定义了writeReplace方法,并且自定义了writeObject/readObject方法。

public class People implements Serializable
{
    /**
     * 
     */
    private static final long serialVersionUID = 2659082826995480601L;
    private int age;
    private String name;

    People(int age,String name)
    {
        this.age = age;
        this.name = name;
    }

    private void writeObject(ObjectOutputStream out)
    {
        System.out.println("是否调用了我?");
    }
    private void readObject(ObjectInputStream in)
    {
        System.out.println("是否调用了我?");
    }   

    private Object writeReplace()
    {
        return new Kong("路人");
    }

}

作为People类writeReplace返回值的Kong对象

public class Kong implements Serializable
{
    /**
     * 
     */
    private static final long serialVersionUID = -7144694309484327560L;

    public String s;

    Kong(String s)
    {
        this.s = s;
    }

    private void writeObject(ObjectOutputStream out) throws IOException
    {
        out.defaultWriteObject();
        System.out.println("出");
    }
    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException
    {
        in.defaultReadObject();
        System.out.println("入");
    }
}

测试程序:

@Test
    public void testOut03() throws FileNotFoundException, IOException
    {
        People p = new People(2,"小白");
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("D:\\temp01.txt"));
        out.writeObject(p);
        out.flush();
        out.close();
    }

    @Test
    public void testIn03() throws FileNotFoundException, IOException, ClassNotFoundException
    {
        ObjectInputStream in = new ObjectInputStream(new FileInputStream("D:\\temp01.txt"));
        Kong k = (Kong)in.readObject();
        in.close();
        System.out.println(k.s);
    }

可以看到out.writeObject(p);试图序列化一个People对象,但是由于writeReplace方法的存在,实际上序列化了一个Kong 对象,在这个过程中调用了Kong定义的writeObject方法,并且在反序列化过程中,得到了一个Kong对象,并且调用了Kong定义的readObject方法。整个过程与People的writeObject/readObject无关。

这也就是说Kong k = (Kong)in.readObject();这个过程会依赖in中的实际对象,而不是依赖out.writeObject(p);

不知道为什么,就是这么个实现。

Serializable详解(1):代码验证Java序列化与反序列化
gao2175的博客
03-11 876
说明:本文为Serializable详解(1),最后两段内容在翻译上出现歧义(暂时未翻译),将在后续的Serializable(2)文中补充。 介绍:本文根据JDK英文文档翻译而成,本译文并非完全按照原文档字面文字直译,而是结合文档内容及个人经验翻译成更为清晰和易于理解的文字,并附加代码验证,帮助大家更好地理解Serializable。 性质:接口类 package java.io publi...
Serializable序列化工作原理/代码实现
m0_71524094的博客
03-11 562
通常我们使用Java的序列化与反序列化时,只需要将类实现Serializable接口即可,剩下的事情就交给了jdk。今天我们就来探究一下,Java序列化是怎么实现的,然后探讨一下几个常见的集合类,他们是如何处理序列化带来的问题的。
序列化writeReplace方法应用
08-23
对于初学者学习java序列化所碰到的问题一一讲解,充分结合API讲解序列化过程中需要注意的=地方,已经序列化给我们带来的无穷的启示。
Java 序列化 机制writeReplace的方法探究
tom有cat
11-11 6024
如果一个序列化类中含有Object writeReplace()方法,那么实际序列化的对象将是作为writeReplace方法返回值的对象,而且序列化过程的依据是实际被序列化对象的序列化实现。 People定义了writeReplace方法,并且自定义了writeObject/readObject方法。 package com.soecode.lyf.demo.test.io; impor...
Java进阶之序列化
yzpbright的博客
07-18 549
定义以及相关概念 由于在系统底层,数据的传输形式是简单的字节序列形式传递,即在底层,系统不认识对象,只认 识字节序列,而为了达到进程通讯的目的,需要先将数据序列化,而序列化就是将对象转化字节序 列的过程。相反地,当字节序列被运到相应的进程的时候,进程为了识别这些数据,就要将其反序 列化,即把字节序列转化为对象 无论是在进程间通信、本地数据存储又或者是网络数据传输都离不开序列化的支持。而针对不同场 景选择合适的序列化方案对于应用的性能有着极大的影响。 从广义上讲,数据序列化就是将数据结构或者是对象转换成我们
java中很有意思的隐藏方法“writeReplace
流沙QuickSand
04-24 3496
java中很有意思的隐藏方法“writeReplace
[疯狂Java]I/O:其它自定义序列化的方法(transient、writeReplace、readResolve、Externalizable)
Lirx_Tech的专栏
05-03 6561
1. 一种不是很好的排除序列化——transient关键字:     1) 如果你不想让对象中的某个成员被序列化可以在定义它的时候加上transient关键字进行修饰,例如: class A implements Serializable { private int a; private transient int b; ...!!这样,在A的对象被序列化时其成员b就不
揭开Java序列化的神秘面纱(下)Serializable源码剖析
w风雨无阻w的专栏
05-22 953
在上一篇文章中我们明白了 Serializable 的大致用法。感兴趣的朋友,请前往查阅。。本篇文章重点关注 Serializable 序列化的实现 ,一切从源头说起,Java序列化的设计和实现都源于Serializable这个看似简单的接口。作为Java序列化机制的基石,它的由来和精髓值得我们仔细探讨。
Serializable自定义序列化测试
疏影横斜水清浅
06-29 264
原始对象: 测试代码: 执行结果:根据执行结果可以看出:新增父类,并添加readObjectNoData()方法 测试代码,移除输出流代码: 执行结果:[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-B3wsidOq-1656496426983)(C:\Users\SunAiguo\AppData\Roaming\Typora\typora-user-images\image-20220629173801991.png)]测试发现是新增父类、父类变更时才会调用当前方法,当前类加
Android | 序列化Serializable/Parcelable 使用总结
小马快跑的博客
02-03 1万+
文章目录什么是序列化?为什么要序列化?怎么进行序列化Serializable实现原理serialVersionUID举例Parcelable实现原理举例Parcelable、Serializable比较效率对比容错率对比总结参考 什么是序列化?为什么要序列化?怎么进行序列化序列化定义:将一个类或对象转换成可存储、可传输状态的过程。对象序列化后,可以在进程内/进程间、网络间进行传输,也可以做本...
[Android]序列化原理Serializable
weixin_63357306的博客
01-04 1565
其实,在writeObject是方法中,会查看你是否在类中写了writeObject方法,如果写了,那么就会通过反射调用类中的writeObject来写,而不是调用默认的方法。Externalizable接口实现Serializable接口,里面有两个方法需要我们重写,一个是writeExternal方法,怎么把对象写到序列化里面去,另一个是readExternal方法,怎么把这个对象从序列化中读取出来。所谓的序列化就是把内存中的某个对象转换成字节流的形式,而反序列化就是把字节流转换回内存的某个对象。
Lambda 实现类的序列化与在MybatisPlus中的应用
qq_38074398的博客
06-15 476
现在,我们可以拿到 Lambda 实例的信息了,其中有一个很关键的数据:若 Lambda 实例是被方法引用构成的,那么该方法的名称就会被封装在 SerializedLambda 中,测试一下。Mybatis plus 就是使用这个方式,根据传递 的 Lambda 获取到所对应的实体字段,继而获取到所对应的表字段。此方法的含义:通过对 Lambda 对象的序列化与反序列化,获取到 Lambda 实例的详细信息。序列化与反序列化成功。对比前面提到的 Lambda 对象的序列化与反序列化,我们将。
java安全编码指南之:序列化Serialization
热门推荐
程序那些事
11-01 1万+
序列化是java中一个非常常用又会被人忽视的功能,我们将对象写入文件需要序列化,同时,对象如果想要在网络上传输也需要进行序列化序列化的目的就是保证对象可以正确的传输,那么我们在序列化的过程中需要注意些什么问题呢?
Effective Java--序列化--你以为只要实现Serializable接口就行了吗
smileiam的专栏
07-18 7814
前言相信大家对于序列化都有一些了解,实现也很简单,只需要实现Serializable接口,将类加上序列化的标记,编译器就会自动给我们类对象添加序列化和反序列化实现,这样我们就可以happy的进行数据持久化,保存到磁盘上或是通过网络传输。真的这么简单的,你想过以下问题么? 子类和父类序列化,父类不序列化,子类序列化,父类变量是否会被序列化,应该怎么实现父类的变量也能序列化? 自定义序列化怎么实现?wr
Mybatis源码解析之懒加载(三):序列化
二狗家有矿
04-01 552
前面我们分析了mybatis的懒加载是通过ProxyFactory生成代理对象以AOP的方式实现的。通过拦截对象的方法,如果发现方法与懒加载的属性相关时才能属性进行加载然后执行相应的方法。但是,这个时候有一个序列化的问题。如果我们对这个懒加载涉及的对象进行了序列化与反序列化,那么反序列化得到的对象属性的正确性吗? 如果序列化时对象的所有属性都已经被加载,此时序列化自然是不会对对象造成影响的。那么按照这个思路,我们可以在对对象序列化时加载所有还没有加载的属性以保证正确性,但是这样子无法满足不符合懒加载的按需加
Mybatis源码剖析(二)
qq_40977467的博客
05-17 173
Mybatis源码剖析(二) 延迟加载源码剖析 什么是延迟加载? 在开发过程中很多时候我们并不需要总是在加载用户信息时就一定要加载他的订单信息。此时就是我们所说的延迟加载。 延迟加载 就是在需要用到数据时才进行加载,不需要用到数据时就不加载数据。延迟加载也称懒加载。 优点: 先从单表查询,需要时再从关联表去关联查询,大大提高数据库性能,因为查询单表要比关联查询多张表速度要快。 缺点: 因为只有当需要用到数据时,才会进行数据库查询,这样在大批量数据查询时,因为查询工作也要消耗时间,所以可能造成用户等待时间变长
序列化序列化源码分析以及Mybatis中的实际运用
技术分享
04-29 1108
目录 序列化序列化 Mybatis中的实际使用 主要知识点: writeObject writeReplace readObject readResolve 序列化与反序列化的定义 序列化就是将对象转为字节码的过程,反序列化则是将字节码转换为对象的过程 序列化 JAVA序列化 java.i.........
Java 序列化和反序列化(一)Serializable 使用场景
u013815832的博客
07-09 4599
https://www.cnblogs.com/binarylei/p/10987540.html#%E5%BA%8F%E5%88%97%E5%8C%96%E5%AD%98%E5%82%A8%E8%A7%84%E5%88%99 Java 序列化和反序列化(一)Serializable 使用场景 1. 最简单的使用:Serializable 接口 2. 序列化 ID 的问题 3. ...
使用代理类:可以创建一个可序列化的代理类,该代理类包含第三方类的必要信息,并实现Serializable接口。在序列化时,将代理类进行序列化;在反序列化时,通过代理类重新创建第三方类的实例
最新发布
03-15
<think>好的,我现在要解决用户的问题:如何通过创建可序列化的代理类来处理第三方类的序列化与反序列化问题。用户提到了Java中的Serializable接口,以及代理类的使用。首先,我需要回顾一下Java序列化的基本知识,特别是当处理第三方类时可能遇到的挑战。 用户提供的引用内容提到,如果一个类没有实现Serializable接口,序列化时会抛出NotSerializableException异常。但引用3提到,有些情况下可以通过开启参数来允许序列化未实现Serializable的类,但这可能不是最佳做法。另外,引用2和4讨论了使用readResolve方法和序列化代理模式,特别是枚举在单例模式中的应用。不过用户的问题是关于处理第三方类的序列化,所以可能需要设计一个代理类,而不是修改第三方类本身,因为它们可能是不可变的或者无法修改。 首先,代理类需要实现Serializable接口,这样才能被序列化。代理类需要包含第三方类实例的数据,并在序列化时保存这些数据,反序列化时重建第三方类对象。但如何获取第三方类的内部状态呢?如果第三方类没有提供访问其状态的公共方法,这可能比较困难。这时候可能需要反射,但反射可能会有安全限制或者破坏封装的问题。 接下来,考虑序列化代理模式。根据引用2,序列化代理可以替代实际对象被序列化。当对象被序列化时,代理类写入流;反序列化时,代理类负责重建原始对象。这需要实现writeReplace和readResolve方法。writeReplace序列化时被调用,将原始对象替换为代理对象;readResolve在反序列化代理对象后,用其数据重建原始对象。 但是,用户的问题是关于处理第三方类,因此代理类需要处理无法修改的第三方类。例如,假设有一个第三方类ThirdPartyClass,它没有实现Serializable。我们需要创建一个Serializable的代理类,在序列化时保存ThirdPartyClass的必要数据,反序列化时重新构造它。 可能的步骤: 1. 创建代理类,实现Serializable。 2. 在代理类中保存第三方类对象的状态,可能通过其getter方法或反射获取字段值。 3. 实现writeReplace方法,在序列化时将原始对象替换为代理对象。 4. 实现readObject方法,在反序列化时用保存的状态重建第三方类对象。 但问题在于,如果第三方类没有无参构造器,或者状态无法直接访问,这可能难以实现。例如,引用4提到,反序列化时需要无参数构造方法,但对于第三方类来说,这可能不可控。这时候可能需要使用其他方式,比如工厂方法或构建器来重新创建实例。 另外,序列化代理模式通常用于自己的类,而不是第三方类。因此,可能需要将第三方类包装在一个可序列化的类中,代理负责保存和重建状态。例如: public class ThirdPartyProxy implements Serializable { private ThirdPartyClass instance; // 保存必要的数据字段 private String data; public ThirdPartyProxy(ThirdPartyClass obj) { // 提取obj的数据到data等字段 this.data = obj.getData(); } private Object readResolve() { // 使用data重建ThirdPartyClass实例 return new ThirdPartyClass(data); } } 然后在需要序列化的类中,当包含ThirdPartyClass实例时,可以重写writeObject方法,将实例替换为代理对象。或者使用writeReplace方法,使得序列化时自动替换为代理。 不过,如果无法修改第三方类,如何让主类在序列化时将ThirdPartyClass替换为代理呢?可能需要使用Externalizable接口,自定义序列化过程,或者在主类中控制序列化。 例如,主类包含ThirdPartyClass实例,并且主类实现Serializable。这时,主类可以实现writeObject和readObject方法,手动将ThirdPartyClass实例转换为代理对象进行序列化,反序列化时再转换回来。 或者,主类可以持有一个ThirdPartyProxy的实例,而不是直接持有ThirdPartyClass,这样在序列化时自然就会序列化代理对象。但这样可能改变主类的结构,需要权衡。 总结可能的解决方案: 1. 使用代理类包装第三方对象,在代理类中实现序列化逻辑,保存必要数据,并在反序列化时重建对象。 2. 在主类中自定义序列化方法(writeObject/readObject),将第三方对象转换为代理对象进行序列化。 3. 使用Externalizable接口完全控制序列化过程。 但用户的问题是如何处理第三方类的序列化,所以可能需要创建一个代理类,该代理类负责保存第三方对象的状态,并实现Serializable。这样,当需要序列化包含第三方对象的类时,可以序列化代理类,而不是原始对象。 例如,假设有一个类MyClass需要序列化,其中包含ThirdPartyClass的实例: public class MyClass implements Serializable { private ThirdPartyClass thirdPartyObj; private void writeObject(ObjectOutputStream out) throws IOException { out.defaultWriteObject(); ThirdPartyProxy proxy = new ThirdPartyProxy(thirdPartyObj); out.writeObject(proxy); } private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException { in.defaultReadObject(); ThirdPartyProxy proxy = (ThirdPartyProxy) in.readObject(); thirdPartyObj = proxy.getThirdPartyInstance(); } } 而ThirdPartyProxy类负责保存和重建ThirdPartyClass: public class ThirdPartyProxy implements Serializable { private String data; // 假设ThirdPartyClass有一个data字段 public ThirdPartyProxy(ThirdPartyClass obj) { this.data = obj.getData(); // 需要ThirdPartyClass有getData方法 } public ThirdPartyClass getThirdPartyInstance() { return new ThirdPartyClass(data); // 需要ThirdPartyClass有相应的构造方法或工厂方法 } } 这要求ThirdPartyClass至少提供获取和设置其状态的方法,或者代理类能够通过其他方式(如反射)获取和设置数据。如果无法获取数据,则无法正确序列化。 如果第三方类的字段是私有的且没有访问方法,可能需要使用反射来访问字段,但这可能引发安全异常,特别是在安全管理器存在的情况下。例如: 在ThirdPartyProxy的构造函数中: Field dataField = ThirdPartyClass.class.getDeclaredField("data"); dataField.setAccessible(true); this.data = (String) dataField.get(obj); 同样,在重建对象时,可能需要反射来设置字段: ThirdPartyClass obj = new ThirdPartyClass(); dataField.set(obj, data); 但这种方法可能不可靠,尤其是当第三方类在未来版本中更改字段名称或类型时。 此外,引用2提到的序列化代理模式可能更适用于可控的类设计,但用户的问题是关于第三方类,所以需要变通。 可能的另一个方法是使用对象序列化的替代方式,比如将第三方对象转换为字节流,但这需要第三方类本身支持某种形式的序列化,或者使用其他序列化框架(如JSON、XML等),但用户明确提到使用Java的Serializable接口。 总结步骤: 1. 创建可序列化的代理类,保存第三方类对象的关键数据。 2. 在包含第三方类对象的主类中,自定义writeObject和readObject方法,将第三方对象转换为代理对象进行序列化和反序列化。 3. 确保代理类能够正确获取和重建第三方对象的状态,可能需要使用反射或其他方法。 此外,需要考虑异常处理,比如当第三方类不可变或无法重构时的错误处理。 现在需要将这些思路整理成结构化的回答,并引用用户提供的参考文献。例如,引用2提到使用序列化代理代替实例,这可能相关。引用4提到反序列化时使用无参构造方法,如果第三方类没有的话,可能需要其他方式。</think>### 分步解答 通过创建可序列化代理类处理第三方类的序列化与反序列化问题,需遵循以下步骤: --- #### **1. 定义代理类** 代理类需实现 `Serializable` 接口,并保存第三方类对象的关键状态。 **示例代码**: ```java public class ThirdPartyProxy implements Serializable { // 保存第三方类对象的状态(假设ThirdPartyClass有字段name和value) private final String name; private final int value; public ThirdPartyProxy(ThirdPartyClass obj) { // 通过反射或公共方法获取状态 this.name = obj.getName(); // 假设有公共方法getName() this.value = obj.getValue(); } // 重建第三方类对象 private Object readResolve() { return new ThirdPartyClass(name, value); // 假设有对应的构造方法 } } ``` --- #### **2. 在主类中实现序列化代理机制** 若主类需序列化第三方类对象,需通过 `writeReplace` 和 `readResolve` 方法替换为代理对象。 **示例代码**: ```java public class MainClass implements Serializable { private transient ThirdPartyClass thirdPartyObj; // 标记为transient,避免默认序列化 public MainClass(ThirdPartyClass obj) { this.thirdPartyObj = obj; } // 序列化时替换为代理对象 private Object writeReplace() { return new Proxy(this); } // 代理类需包含主类的全部状态 private static class Proxy implements Serializable { private final ThirdPartyProxy thirdPartyProxy; public Proxy(MainClass main) { this.thirdPartyProxy = new ThirdPartyProxy(main.thirdPartyObj); } // 反序列化时重建主类对象 private Object readResolve() { return new MainClass(thirdPartyProxy.readResolve()); } } } ``` --- #### **3. 处理无公共构造方法或私有字段** 若第三方类无法直接操作状态,可通过反射强制获取字段值(需注意安全限制)[^4]。 **示例代码片段**: ```java public ThirdPartyProxy(ThirdPartyClass obj) { try { Field nameField = ThirdPartyClass.class.getDeclaredField("name"); nameField.setAccessible(true); this.name = (String) nameField.get(obj); } catch (NoSuchFieldException | IllegalAccessException e) { throw new RuntimeException("Failed to serialize third-party class", e); } } ``` --- #### **4. 序列化代理的优势与注意事项** - **优势**: 1. 解耦第三方类与序列化逻辑,避免直接修改不可控的代码[^1]。 2. 防止反序列化攻击,通过代理类控制对象重建过程[^2]。 - **注意事项**: 1. 若第三方类的状态无法完整捕获,可能导致重建对象不一致。 2. 反射可能引发性能问题或安全异常,需谨慎使用。 --- ### 引用说明 : 若第三方类未实现 `Serializable`,直接序列化会抛出 `NotSerializableException`,通过代理类可绕过此限制。 : 代理类通过 `readResolve` 控制反序列化过程,避免产生额外实例,增强安全性。 :序列化时若第三方类无默认构造方法,需通过代理类手动重建对象状态。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值