关于序列化Serializable的几点思考

最新推荐文章于 2025-04-21 09:56:17 发布
原创 最新推荐文章于 2025-04-21 09:56:17 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Serializable #序列化

序列化----Serializable---是将对象转换成二进制数据保存到本地磁盘或者通过网络进行传输,这个大家都知道。

一个对象在序列化是包括两部分:

1、类描述信息,包括包路径、继承关系、访问权限控制、变量描述、方法参数及返回值,但是不记录方法、构造、静态变量的具体实现;

2、非瞬态(transient关键字)和非静态(static关键字)的变量。

关于transient,http://blog.youkuaiyun.com/chmingyuan/article/details/51252416

首先有几个问题,不知你是否也思考过,当我们的一个javabean实现了serializable接口后,IDE会提示没有声明serial versionID

1、为什么对象在序列化时要显式声明一个serial versionID?

2、对象序列化后,再反序列化时,对象的属性值是否可以修改?


第一个问题:

SerialVersionUID也叫做流标识符,描述的是类的版本定义,如果我们不显式的声明,编译器会在编译的时候自动生成,生成是根据包名、类名、继承关系、非私有的方法和属性及参数、返回值等计算出来的,基本上保证了其唯一性。

SerialVersionUID的作用呢,JVM在反序列化时,会比较数据流中的SerialVersionUID与类中的SerialVersionUID是否相同,如果相同,则认为类没有发生改变,可以把数据流反序列化为对象;如果不相同,则会抛出异常。

下面用代码说明

	public static void main(String[] args) {
		Person person=new Person();
		person.setName("张三丰");
		SerializableUtils.writeObject(person);
	}

现在有一个普通的类,且没有显式声明SerialVersionUID

class Person implements Serializable{
	private String name;
	public String getName() {
		return name;
	}
	public void setName(String name) {
		this.name = name;
	}
}

这里写了一个工具 

class SerializableUtils{
	private static final String FILE_NAME="d:/test.txt";
	//序列化
	public static void writeObject(Serializable seria){
		try {
			ObjectOutputStream out=new ObjectOutputStream(new FileOutputStream(FILE_NAME));
			out.writeObject(seria);
			out.close();
		} catch (Exception e) {
			e.printStackTrace();
		}
	}
	
	//反序列化
	public static Object readObject(){
		Object obj=null;
		try {
			ObjectInputStream in=new ObjectInputStream(new FileInputStream(FILE_NAME));
			obj = in.readObject();
			in.close();
		} catch (Exception e) {
			e.printStackTrace();
		}
		return obj;
	}
}
此时序列化,反序列化都是没有问题的。但在在分布式应用中随时都有可能出现新增属性的情况,例如我这里要给Persong对象新增一个age属性,但是对象已经序列化在网络中传输了,此时如果将数据流反序列化,会抛出异常 

class Person implements Serializable{
	private String name;
	private int age;
反序列化:
	Person obj = (Person)SerializableUtils.readObject();
	System.out.println(obj);



java.io.InvalidClassException: serializable.Person; local class incompatible: stream classdesc serialVersionUID = 4178445814915777397, local class serialVersionUID = 5875760287446429789
 因为本地的类发生了变化,类的版本对应不上了,但是我们可以通过显式的声明类的版本serialVersionUID,告诉JVM我的类没有发生变化,反序列时便不会再抛出异常。








                

        

    

    
  



    



                



	

		

			

				
					
Java单例模式的序列化问题及处理方法

				
			

			

				

					Java大师兄的博客
				

				

					06-25
					
					828
					
				

			

		

		

			
				
本文的目的是深入剖析Java单例模式在序列化场景下遇到的问题,并提供切实可行的解决办法。范围涵盖了单例模式和序列化的基本概念、问题产生的原理、代码示例以及处理方案。本文首先会介绍单例模式和序列化的核心概念,然后分析它们之间的联系以及单例模式序列化问题产生的原因,接着通过代码实例展示问题,最后给出处理方法,并对未来可能的发展趋势进行探讨。单例模式:一种设计模式,确保一个类只有一个实例,并提供一个全局访问点来获取这个实例。序列化:将对象转换为字节流的过程,以便在网络上传输或存储到文件中。反序列化

			
		

	



                

            
              



	

		

			

				
					
L10: 项目序列化与方案管理

					
最新发布

				
			

			

				

					AiStudio
				

				

					06-14
					
					949
					
				

			

		

		

			
				
摘要 本章介绍了视觉框架的项目序列化与方案管理机制,重点阐述了Solution和Project两个核心类的设计。Solution类采用单例模式管理项目列表,提供方案的保存(使用BinaryFormatter序列化)和加载功能;Project类包含模块列表、项目信息和变量管理等。文章详细说明了序列化的特殊处理方式,如NonSerialized标记和OnDeserialized初始化方法,并介绍了方案初始化的完整流程。最后提出了关于序列化机制优化、部分配置导出、版本控制和安全性等实践思考点,为复杂视觉系统的项目

			
		

	



              


  
              

                


	

		

			

				
					
为什么Java序列化要实现Serializable

				
			

			

				

					wanghao112956的博客
				

				

					06-24
					
					1719
					
				

			

		

		

			
				
(本内容是我在搜集一些资料后的个人感悟,如有问题,请指出。蟹蟹)

背景
对于Serializable,大家都知道是java中的一个接口。用来标记是否可序列化,该接口中什么都没有。网上大部分都只是告诉我们,使用该接口可以使对象序列化,从而可以便于存储和传输。而如果不实现该接口,则在序列化的时候会抛出异常。
(想自学习编程的小伙伴请搜索圈T社区,更多行业相关资讯更有行业相关免费视频教程。完全免费哦...

			
		

	





	

		

			

				
					
Make “location“ transient or serializable.

				
			

			

				

					耕耘
				

				

					11-27
					
					3285
					
				

			

		

		

			
				
sonarqube代码扫描问题,Make "location" transient or serializable.

			
		

	



		

			
		



	

		

			

				
					
序列化和反序列化——Serializabletransient关键字

				
			

			

				

					qq_46217226的博客
				

				

					07-21
					
					2836
					
				

			

		

		

			
				
序列化和反序列化——Serializabletransient关键字
Serializable序列化,通过Serializable接口将Java对象等内容转换成数据进行运输与保存。
transient:反序列化,由transient修饰的成员变量不会进行序列化保存。
package Serializable_;

import java.io.Serializable;

public class User implements Serializable {

	/**
	 * 序列版本号
	 */
	

			
		

	





	

		

			

				
					
java 对象默认序列化的干预方法

				
			

			

				

					08-28
				

			

		

		

			
				
4.1:将某个成员变量字段加transient(可跳过的),序列化的时候该字段信息就为空比如
1.public class Person implements Serializable {  
2.    ...  
22.   private String name = null;  
23. 
24.   transient   private Integer age = null;  //另外Integer类型的成员变量也是序列化时不考虑的信息
25. //也就是敏感字段
3.    private Gender gender = null;  ...  
4.} 
26.   publ

			
		

	





	

		

			

				
					
transient关键字及Serializable序列化与反序列化

				
			

			

				

					weixin_30781107的博客
				

				

					01-17
					
					477
					
				

			

		

		

			
				
java中的Serializable提供一种持久化机制,将实现了Serializable接口的对象序列化为字节序列,并在以后可以将此字节序列恢复为java对象。
序列化实现了数据的持久化,保存在硬盘中,并且在网络上进行字节序列的传送。
    transient:在序列化时,若字段定义为transient,则会自动对该字段...

			
		

	





	

		

			

				
					
漫谈Commons-Collections反序列化

					
热门推荐

				
			

			

				

					Summer's blog
				

				

					06-02
					
					1万+
					
				

			

		

		

			
				
Java组件Commons-Collections被广泛用于各大系统中,在几年前的被爆出反序列化漏洞,从此打开了Java安全的大门。全网最易懂的反序列化分析文章,花了大量的流程图帮助理解。

			
		

	





	

		

			

				
					
【手册详解】Java序列化引发的血案

				
			

			

				

					Hello World
				

				

					01-31
					
					1151
					
				

			

		

		

			
				
1、引言
《手册》第 9 页 “OOP 规约” 部分有一段关于序列化的约定 1:
【强制】当序列化类新增属性时,请不要修改 serialVersionUID 字段,以避免反序列失败;如果完全不兼容升级,避免反序列化混乱,那么请修改 serialVersionUID 值。说明:注意 serialVersionUID 值不一致会抛出序列化运行时异常。
我们应该思考下面几个问题:
序列化和反序列化到底是...

			
		

	





	

		

			

				
					
红队专题-漏洞挖掘-代码审计-反序列化

				
			

			

				

					aming小老弟
				

				

					04-21
					
					2059
					
				

			

		

		

			
				
TransformedMap⽤于对Java标准数据结构Map做⼀个修饰,被修饰过的Map在添加新的元素时,将可以执⾏⼀个回调。super(map);

			
		

	





	

		

			

				
					
java基础--序列化一之使用

				
			

			

				

					浪中的小舟的博客
				

				

					05-29
					
					249
					
				

			

		

		

			
				
1.什么是序列化

序列化就是将对象的状态信息转换为可以存储或传输的形式,使对象可以持久化的保存。

2.什么是持久化

就是可以长久的保存对象。比如将对象保存在文件中、将对象保存在网络中、远程的传输获取对象,随取随用。

3.java中实现对象的序列化有两种方法

实现Serializable接口
	实现Externalizable接口
4.实现Serializable接口的代码

User类:...

			
		

	





	

		

			

				
					
HashMap详解

				
			

			

				

					qq_39093474的博客
				

				

					04-23
					
					472
					
				

			

		

		

			
				
HashMap文章目录1. 简介2. 成员变量3. 构造函数4. 常用方法解析4.1 add操作4.2 remov操作4.3 set操作和get操作4.4 clear操作5. 总结
文章目录
1. 简介
public class HashMap<K,V> extends AbstractMap<K,V>
    implements Map<K,V>, Cloneable, Serializable {

HashMap是java中常用的数据结构,,HashMap继承Ab

			
		

	





	

		

			

				
					
java中Serializabletransient

				
			

			

				

					这里的分享,都是干货
				

				

					01-13
					
					974
					
				

			

		

		

			
				
文章目录1、Serializable 序列化接口1.1、有什么用?1.2、什么情况下用?1.3、要注意些什么2、transient 关键字2.1、什么情况下用?2.2、要注意些什么3、序列化与反序列化3.1、serialVersionUID 版本号的作用
1、Serializable 序列化接口
如下,写一个类实现Serializable,并标注序列化版本号
public class  Foo implements Serializable  { 
	private static final long se

			
		

	





	

		

			

				
					
对象序列化

				
			

			

				

					付大石
				

				

					06-02
					
					542
					
				

			

		

		

			
				
对象序列化是讲对象持久化的一种方式,这种方式使得对象可以永久存储于本地硬盘,并可以在网络中传输对象信息(如果目的地有相应的类字节码的话)。java中,将对象持久化有两种方式,序列化与XML读写,这篇博客主要描述对象序列化Serializable接口与transient关键字Serizlizable是一个标签接口,这个接口没有任何方法需要实现,只要一个类implements Serializable

			
		

	





	

		

			

				
					
去除JAVA @SuppressWarnings 警告。

				
			

			

				

					李人
				

				

					10-25
					
					1753
					
				

			

		

		

			
				
目录

一、解决办法

二:注解目标

一、解决办法

在类上面加一个注解,即可


@SuppressWarnings("all")
public class ImgUtils {

二:注解目标

1、注解目标

通过@SuppressWarnings的源码可知,其注解目标为类、字段、函数、函数入参、构造函数和函数的局部变量。

而大家建议注解应声明在最接近警告发生的位置。

2、抑制警告的...

			
		

	





	

		

			

				
					
简述serializabletransient关键字作用

				
			

			

				

					萌神30号 ↝
				

				

					02-10
					
					6859
					
				

			

		

		

			
				
一、序列化使用场景

对象的序列化:目的:将一个具体的对象进行持久化,写入到硬盘上。(注意:静态数据不能被序列化,因为静态数据不在堆内存中,而是在静态方法区中)

Serializable:用于启动对象的序列化功能,可以强制让指定类具备序列化功能,该接口中没有成员,这是一个标记接口。这个标记接口用于给序列化类提供UID。这个uid是依据类中的成员的数字签名进行运行获取的。如果不需要自动获取一个ui...

			
		

	





	

		

			

				
					
再学java基础(4)Object流、Serializable序列化transient

				
			

			

				

					
				

				

					04-03
					
					1738
					
				

			

		

		

			
				
import java.io.*;


public class TestObjectIO {
	public static void main(String args[]) throws Exception {
		T t = new T();
		t.k = 8; // k 原来是 15,现在 改成 8 了。
		FileOutputStream fos = new FileOutputStr

			
		

	





	

		

			

				
					
Serializabletransient

				
			

			

				

					tmax52HZ的博客
				

				

					10-29
					
					1286
					
				

			

		

		

			
				
Serializabletransient.Serializable
1.一个类只有实现了Serializable,则此类中的所有属性、方法都会自动序列化(本地传入到网络),而某些属性(银行卡密码之类的)不希望序列化,则使用关键字transient
2.一个类实现(implement Externalizable),不会自动序列化该类的属性和方法,需要在writeExternal()方法中,...

			
		

	





	

		

			

				
					
Java 中的 Serilizable 接口和 transient 关键字

				
			

			

				

					nolfound的博客
				

				

					02-15
					
					412
					
				

			

		

		

			
				
Java 中的 Serilizable 接口和 transient 关键字
Serilizable 接口
Serilizable 接口是一个标识接口,没有方法和变量,jdk 中的描述为:实现了该接口的类具有可序列化性。所谓可序列化性即对象可以被序列化成字节码,用于存储到磁盘或者进行网络传输,同时又可以从字节码反序列化成对象。
父类实现了 Serilizable 接口,其子类也是可序列化的。
如果类...

			
		

	





	

		

			

				
					
序列化的权限修饰原则是什么

				
			

			

				

					03-22
				

			

		

		

			
				
<think>好的,我需要回答用户关于序列化过程中权限修饰的原则和最佳实践的问题。首先,我需要明确用户的问题核心:在序列化时,如何正确使用权限修饰符(如private、public等),以及有哪些最佳实践和原则需要遵循。

首先,我应该回顾一下Java中的序列化机制。序列化是将对象的状态转换为字节流的过程,以便存储或传输。反序列化则是将字节流恢复为对象。在这个过程中,对象的字段会被写入或读取。权限修饰符(如private、protected、public和默认的包级私有)会影响这些字段的访问权限,从而影响序列化的行为。

接下来,我需要考虑权限修饰符在序列化中的具体影响。例如,如果一个字段被声明为transient,那么它不会被序列化,无论其访问权限如何。这可能与用户的问题相关,但用户主要关注的是权限修饰符本身,而不仅仅是transient关键字。不过,根据提供的引用[1],transient用于减少序列化对象的大小,这一点可以作为补充信息。

然后,我需要结合引用[2]中提到的修饰符的正确使用,强调权限修饰符如何影响代码的健壮性和可维护性。例如,将字段声明为private并通过getter和setter方法访问,这符合封装原则,但在序列化时,如果使用默认的序列化机制,private字段仍然会被序列化。因此,需要明确权限修饰符本身并不直接影响序列化,除非结合transient或其他机制。

接下来,我需要整理出几个关键点作为最佳实践。例如,敏感字段应使用private和transient组合,或者通过自定义序列化方法(如writeObject和readObject)来控制哪些字段被序列化。此外,引用[4]提到PHP中的魔术方法如__sleep()和__wakeup(),虽然用户的问题是关于Java的,但可以类比说明自定义序列化的重要性。

还需要考虑安全性和性能。根据引用[1],减少序列化对象的大小可以提高性能,因此应避免序列化不必要的字段,这可能涉及到使用private修饰符并结合transient。此外,引用[3]提到的G1垃圾收集器优化内存管理,虽然与序列化无直接关系,但可以间接提醒在序列化时注意内存效率。

然后,我需要确保回答符合用户的要求:结构清晰,分步骤解释,引用相关文献。例如,在讨论每个原则时,引用相关的引用内容,如引用[2]关于修饰符的正确使用,引用[1]关于transient的作用。

可能还需要注意权限修饰符与继承的关系。例如,子类继承父类时,父类的private字段不会被序列化,除非子类显式处理。这可能需要通过自定义序列化方法来实现,如覆盖writeObject和readObject。

最后,总结最佳实践,包括最小化序列化字段、使用transient、自定义序列化方法、保持兼容性、遵循封装原则等。同时,确保每个建议都有相应的引用支持,如引用[1]、[2]、[4]等。

现在需要将这些思考整理成一个结构化的回答,分点列出原则和最佳实践,并在适当的地方添加引用标记。同时,生成相关问题,引导用户进一步学习。</think>### 序列化过程中权限修饰的原则与最佳实践

在序列化过程中,权限修饰符(如 `private`、`public`)的选择直接影响数据的安全性、封装性和序列化效率。以下是核心原则及实践建议:

---

#### **一、权限修饰符的核心原则**
1. **最小化序列化字段**  
   仅序列化必要的字段,敏感数据(如密码、密钥)应声明为 `private` 并结合 `transient` 关键字避免被序列化[^1]。例如:
   ```java
   private transient String password; // 不会被序列化
   ```

2. **遵循封装原则**  
   即使字段被序列化,也应通过 `private` 修饰符限制直接访问,并通过 `public` 方法(如 `getter/setter`)控制读写逻辑[^2]。例如:
   ```java
   private String userId; // 封装字段
   public String getUserId() { return this.userId; } // 受控访问
   ```

3. **自定义序列化方法**  
   通过实现 `writeObject()` 和 `readObject()` 方法,手动控制序列化过程,灵活处理权限与数据格式[^4]。例如:
   ```java
   private void writeObject(ObjectOutputStream oos) throws IOException {
       oos.defaultWriteObject(); // 默认序列化
       oos.writeUTF(encrypt(password)); // 加密敏感字段后序列化
   }
   ```

---

#### **二、最佳实践**
1. **使用 `transient` 标记非持久化字段**  
   明确哪些字段无需序列化,减少数据大小并提升性能。例如:
   ```java
   private transient Session session; // 会话对象无需持久化
   ```

2. **避免序列化派生数据**  
   通过 `transient` 或动态计算避免存储冗余数据。例如缓存字段:
   ```java
   private transient int cachedHash; // 哈希值可实时计算,无需序列化
   ```

3. **版本兼容性控制**  
   使用 `serialVersionUID` 显式声明版本号,避免因类结构变更导致反序列化失败:
   ```java
   private static final long serialVersionUID = 1L; // 明确版本
   ```

4. **接口与抽象类的处理**  
   若父类未实现 `Serializable`,子类需自行处理序列化逻辑,或重新设计继承关系[^5]。

---

#### **三、示例代码**
```java
public class User implements Serializable {
    private static final long serialVersionUID = 1L;
    private String username;
    private transient String password; // 敏感字段不序列化

    // 自定义序列化逻辑
    private void writeObject(ObjectOutputStream oos) throws IOException {
        oos.defaultWriteObject();
        oos.writeObject(encrypt(password)); // 加密后存储
    }

    private void readObject(ObjectInputStream ois) throws ClassNotFoundException, IOException {
        ois.defaultReadObject();
        this.password = decrypt((String) ois.readObject()); // 解密
    }
}
```

---

### 相关问题
1. 如何通过 `transient` 关键字优化序列化性能?
2. 为什么在序列化中需要显式定义 `serialVersionUID`?[^2]
3. 如何通过自定义序列化方法增强数据安全性?[^4]
4. 序列化与反序列化过程中可能遇到哪些兼容性问题?
5. 如何结合权限修饰符和设计模式(如代理模式)控制序列化行为?

---

通过合理选择权限修饰符并遵循上述原则,可以在保证数据安全性的同时,提升序列化效率和代码可维护性。

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

  
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值