java序列化辨析

java对象序列化是一个神奇的功能,它通过让对象实现Serializable接口,并将其传递给ObjectOutputStream的writeObject方法,就能得到该对像。writeObject是怎么样实现这个功能的呢?下面分析一下这个方法的实现

writeObject首先是获取当前序列化对象的的类信息,调用的是ObjectStreamClass的lookup方法

static ObjectStreamClass lookup(Class cl, boolean all) {
....
if (entry == null) {
try {
entry = new ObjectStreamClass(cl);//创建ObjectStreamClass
} catch (Throwable th) {
entry = th;
}
if (future.set(entry)) {
Caches.localDescs.put(key, new SoftReference<Object>(entry));
} else {
// nested lookup call already set future
entry = future.get();
}
}

if (entry instanceof ObjectStreamClass) {
return (ObjectStreamClass) entry;
} else if (entry instanceof RuntimeException) {
throw (RuntimeException) entry;
} else if (entry instanceof Error) {
throw (Error) entry;
} else {
throw new InternalError("unexpected entry: " + entry);
}
}



创建ObjectStreamClass会读取序列化所需要的一些类信息,代码如下


private ObjectStreamClass(final Class cl) {
this.cl = cl;
name = cl.getName();
isProxy = Proxy.isProxyClass(cl);//是否proxy类
isEnum = Enum.class.isAssignableFrom(cl);//是否Enum
serializable = Serializable.class.isAssignableFrom(cl);//否Serializable
externalizable = Externalizable.class.isAssignableFrom(cl);//是否Externalizable

Class superCl = cl.getSuperclass();
superDesc = (superCl != null) ? lookup(superCl, false) : null;
//获取父类及父类信息
localDesc = this;

if (serializable) {//如果serializable
AccessController.doPrivileged(new PrivilegedAction() {
public Object run() {
if (isEnum) {
//Enum生成suid为0且将fields设置为空ObjectStreamField的数组
suid = Long.valueOf(0);
fields = NO_FIELDS;
return null;
}
if (cl.isArray()) {
//Array fields设置为空ObjectStreamField的数组
fields = NO_FIELDS;
return null;
}

suid = getDeclaredSUID(cl);//获取类中定义的suid
try {
fields = [color=red]getSerialFields[/color](cl);
//如果是Serializable且!Externalizable.class.isAssignableFrom(cl) &&
// !Proxy.isProxyClass(cl) &&
// !cl.isInterface()
//则获取类中要定义的序列化的属性域
//可以通过serialPersistentFields来定义要序列化的属性域,或者非static 非TRANSIENT
computeFieldOffsets();//计算field占用空间的大小,属性个数
} catch (InvalidClassException e) {
serializeEx = deserializeEx = e;
fields = NO_FIELDS;
}

if (externalizable) {
//实现了externalizable 获取构造器
cons = getExternalizableConstructor(cl);
} else {
//未实现externalizable 获取构造器 私有的writeObject readbject readObjectNoData
cons = getSerializableConstructor(cl);
writeObjectMethod = getPrivateMethod(cl, "writeObject",
new Class[] { ObjectOutputStream.class },
Void.TYPE);
readObjectMethod = getPrivateMethod(cl, "readObject",
new Class[] { ObjectInputStream.class },
Void.TYPE);
readObjectNoDataMethod = getPrivateMethod(
cl, "readObjectNoData", null, Void.TYPE);
hasWriteObjectData = (writeObjectMethod != null);
}
//获取 writeReplace readResolve
writeReplaceMethod = getInheritableMethod(
cl, "writeReplace", null, Object.class);
readResolveMethod = getInheritableMethod(
cl, "readResolve", null, Object.class);
return null;
}
});
} else {//未实现serializable suid为0且将fields设置为空ObjectStreamField的数组
suid = Long.valueOf(0);
fields = NO_FIELDS;
}

try {
fieldRefl = getReflector(fields, this);
} catch (InvalidClassException ex) {
// field mismatches impossible when matching local fields vs. self
throw new InternalError();
}

if (deserializeEx == null) {
if (isEnum) {
deserializeEx = new InvalidClassException(name, "enum type");
} else if (cons == null) {
deserializeEx = new InvalidClassException(
name, "no valid constructor");
}
}
for (int i = 0; i < fields.length; i++) {
if (fields[i].getField() == null) {
defaultSerializeEx = new InvalidClassException(
name, "unmatched serializable field(s) declared");
}
}
}



最后则是根据要序列化的Object类型调用相应的方法进行序列化
看看对于普通对象的实现代码
private void writeOrdinaryObject(Object obj,
ObjectStreamClass desc,
boolean unshared)
throws IOException
{
if (extendedDebugInfo) {
debugInfoStack.push(
(depth == 1 ? "root " : "") + "object (class \"" +
obj.getClass().getName() + "\", " + obj.toString() + ")");
}
try {
desc.checkSerialize();
//检查是否可序列化

bout.writeByte(TC_OBJECT);
writeClassDesc(desc, false);
handles.assign(unshared ? null : obj);
if (desc.isExternalizable() && !desc.isProxy()) {
//Externalizable writeExternalData中会调用对象实现的writeExternal方法来完成写入
writeExternalData((Externalizable) obj);
} else {

//writeSerialData方法中会判断序列化对象有无writeObject方法
writeSerialData(obj, desc);
}
} finally {
if (extendedDebugInfo) {
debugInfoStack.pop();
}
}
}

通过以上源码分析可以知道,类必须实现Serializable或者Externalizable接口,通过实现Externalizable接口 编写私有的writeObject或者writeReplace方法,给属性添加transient或者serialPersistentFileds来控制序列化的行为


如下这个列子中我们编写私用的writeObject和readObject以帮助我们序列化中我们需要混淆totalValue的值还在反序列化中才还原

class Person implements Serializable{
public String name;
public Person spouse;
@SuppressWarnings("rawtypes")
public ArrayList children=new ArrayList();

public double totalValue;
private void writeObject(ObjectOutputStream oos) throws IOException{
totalValue=totalValue*2-1;
oos.defaultWriteObject();
}

private void readObject(ObjectInputStream ois) throws Exception{
totalValue=(totalValue-1)/2;
ois.defaultReadObject();
}

}
}




下面的代码给出了 serialPersistentFields的声明示例,即只有name这个域是要被序列化的。而当一个属性同时被serialPersistentFields和transient声明 则以serialPersistentFields为主

class Person implements Serializable{
public String name;
public Person spouse;
@SuppressWarnings("rawtypes")
public ArrayList children=new ArrayList();
public double totalValue;
private static final ObjectStreamField[] serialPersistentFields = {
new ObjectStreamField("name", String.class)
};
private void writeObject(ObjectOutputStream oos) throws IOException{
totalValue=totalValue*2-1;
oos.defaultWriteObject();
}

private void readObject(ObjectInputStream ois) throws Exception{
totalValue=(totalValue-1)/2;
ois.defaultReadObject();
}
}


[b]
序列化的安全性[/b]

Java对象序列化之后的内容格式是公开的。所以可以很容易的从中提取出各种信息。从实现的角度来说,可以从不同的层次来加强序列化的安全性。

[list]
[*]对序列化之后的流进行加密。这可以通过CipherOutputStream来实现。
[*] 实现自己的writeObject和readObject方法,在调用defaultWriteObject之前,先对要序列化的域的值进行加密处理。
[*] 使用一个SignedObject或SealedObject来封装当前对象,用SignedObject或SealedObject进行序列化。
[*] 在从流中进行反序列化的时候,可以通过ObjectInputStream的registerValidation方法添加ObjectInputValidation接口的实现,用来验证反序列化之后得到的对象是否合法。
[/list]
标题SpringBoot智能在线预约挂号系统研究AI更换标题第1章引言介绍智能在线预约挂号系统的研究背景、意义、国内外研究现状及论文创新点。1.1研究背景与意义阐述智能在线预约挂号系统对提升医疗服务效率的重要性。1.2国内外研究现状分析国内外智能在线预约挂号系统的研究与应用情况。1.3研究方法及创新点概述本文采用的技术路线、研究方法及主要创新点。第2章相关理论总结智能在线预约挂号系统相关理论,包括系统架构、开发技术等。2.1系统架构设计理论介绍系统架构设计的基本原则和常用方法。2.2SpringBoot开发框架理论阐述SpringBoot框架的特点、优势及其在系统开发中的应用。2.3数据库设计与管理理论介绍数据库设计原则、数据模型及数据库管理系统。2.4网络安全与数据保护理论讨论网络安全威胁、数据保护技术及其在系统中的应用。第3章SpringBoot智能在线预约挂号系统设计详细介绍系统的设计方案,包括功能模块划分、数据库设计等。3.1系统功能模块设计划分系统功能模块,如用户管理、挂号管理、医生排班等。3.2数据库设计与实现设计数据库表结构,确定字段类型、主键及外键关系。3.3用户界面设计设计用户友好的界面,提升用户体验。3.4系统安全设计阐述系统安全策略,包括用户认证、数据加密等。第4章系统实现与测试介绍系统的实现过程,包括编码、测试及优化等。4.1系统编码实现采用SpringBoot框架进行系统编码实现。4.2系统测试方法介绍系统测试的方法、步骤及测试用例设计。4.3系统性能测试与分析对系统进行性能测试,分析测试结果并提出优化建议。4.4系统优化与改进根据测试结果对系统进行优化和改进,提升系统性能。第5章研究结果呈现系统实现后的效果,包括功能实现、性能提升等。5.1系统功能实现效果展示系统各功能模块的实现效果,如挂号成功界面等。5.2系统性能提升效果对比优化前后的系统性能
在金融行业中,对信用风险的判断是核心环节之一,其结果对机构的信贷政策和风险控制策略有直接影响。本文将围绕如何借助机器学习方法,尤其是Sklearn工具包,建立用于判断信用状况的预测系统。文中将涵盖逻辑回归、支持向量机等常见方法,并通过实际操作流程进行说明。 一、机器学习基本概念 机器学习属于人工智能的子领域,其基本理念是通过数据自动学习规律,而非依赖人工设定规则。在信贷分析中,该技术可用于挖掘历史数据中的潜在规律,进而对未来的信用表现进行预测。 二、Sklearn工具包概述 Sklearn(Scikit-learn)是Python语言中广泛使用的机器学习模块,提供多种数据处理和建模功能。它简化了数据清洗、特征提取、模型构建、验证与优化等流程,是数据科学项目中的常用工具。 三、逻辑回归模型 逻辑回归是一种常用于分类任务的线性模型,特别适用于二类问题。在信用评估中,该模型可用于判断借款人是否可能违约。其通过逻辑函数将输出映射为0到1之间的概率值,从而表示违约的可能性。 四、支持向量机模型 支持向量机是一种用于监督学习的算法,适用于数据维度高、样本量小的情况。在信用分析中,该方法能够通过寻找最佳分割面,区分违约与非违约客户。通过选用不同核函数,可应对复杂的非线性关系,提升预测精度。 五、数据预处理步骤 在建模前,需对原始数据进行清理与转换,包括处理缺失值、识别异常点、标准化数值、筛选有效特征等。对于信用评分,常见的输入变量包括收入水平、负债比例、信用历史记录、职业稳定性等。预处理有助于减少噪声干扰,增强模型的适应性。 六、模型构建与验证 借助Sklearn,可以将数据集划分为训练集和测试集,并通过交叉验证调整参数以提升模型性能。常用评估指标包括准确率、召回率、F1值以及AUC-ROC曲线。在处理不平衡数据时,更应关注模型的召回率与特异性。 七、集成学习方法 为提升模型预测能力,可采用集成策略,如结合多个模型的预测结果。这有助于降低单一模型的偏差与方差,增强整体预测的稳定性与准确性。 综上,基于机器学习的信用评估系统可通过Sklearn中的多种算法,结合合理的数据处理与模型优化,实现对借款人信用状况的精准判断。在实际应用中,需持续调整模型以适应市场变化,保障预测结果的长期有效性。 资源来源于网络分享,仅用于学习交流使用,请勿用于商业,如有侵权请联系我删除!
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值