Java 序列化

最新推荐文章于 2024-02-26 09:17:30 发布
原创 最新推荐文章于 2024-02-26 09:17:30 发布 · 378 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #jvm #eclipse #加密 #output #数据库


1. 基本的对象序列化

Serializable,ObjectOutputStream, ObjectInputStream

在写入和读取的时候,虽然用的参数或返回值是单个对象,但实际上操纵的是一个对象图,包括该对象所引用的其它对象,以 及这些对象所引用的另外的对象

在默认的序列化实现中,Java对象中的非静态和非瞬时域(transient)都会被包括进来,而与域的可见性声明没有关系

自定义需要序列化的域的两种方式:

1. 用关键字 transient 表示某个域不需要序列化

2. 添加一个serialPersistentFields 域来声明序列化时要包含的域 (此静态变量的名称是固定的,属于隐含的契约)。注意此变量问privatestatic final

private static finalObjectStreamField[] serialPersistentFields = {

        newObjectStreamField("firstName", String.class)

};

 

2. 自定义对象序列化

基本的对象序列化机制让开发人员可以在包含哪些域上进行定制。如果想对序列化的过程进行更加细粒度的控制,就需要在类中添加writeObject 和对应的 readObject方法。这两个方法属于前面提到的序列化机制的隐含契约的一部分

在添加自己的逻辑之前,推荐的做法是先调用Java的默认实现。在writeObject方法中通过ObjectOutputStream的defaultWriteObject来完成,在readObject方法则通过
ObjectInputStream的defaultReadObject来实现

private voidwriteObject(ObjectOutputStream output) throws IOException

{

        output.defaultWriteObject();

        output.writeUTF("HelloWorld");

}

private voidreadObject(ObjectInputStream input) throws IOException, ClassNotFoundException{

        input.defaultReadObject();

        Stringvalue = input.readUTF();

        System.out.println(value);

}

 

3. 序列化与对象创建

在通过ObjectInputStream 的readObject 方法读取到一个对象之后,这个对象是一个新的实例,但是其构造方法是没有被调用的,其中的域的初始化代码也没有被执行。
对于那些没有被序列化的域,在新创建出来的对象中的值都是默认的。也就是说,这个对象从某种角度上来说是不完备的。这有可能会造成一些隐含的错误。调用者并不知道对象是通过一般的new 操作符来创建的,还是通过反序列化所得到的。解决的办法就是在类的readObject 方法里面,再执行所需的对象初始化逻辑。对于一般的Java 类来说,构造方法中包含了初始化的逻辑。可以把这些逻辑提取到一个方法中,在readObject 方法中调用此方法。

 

4. 版本更新

把一个Java对象序列化之后,所得到的字节数组一般会保存在磁盘或数据库之中。在保存完成之后,有可能原来的Java类有了更新,比如添加了额外的域。这个时候从兼容性的角度出发,要求仍然能够读取旧版本的序列化数据。在读取的过程中,当ObjectInputStream发现一个对象的定义的时候,会尝试在当前JVM中查找其Java类定义。这个查找过程不能仅根据Java类的全名来判断,因为当前JVM中可能存在名称相同,但是含义完全不同的 Java 类。这个对应关系是通过一个全局惟一标识符serialVersionUID来实现的。通过在实现了Serializable接口的类中定义该域,就声明了该Java类的一个惟一的序列化版本号。JVM会比对从字节数组中得出的类的版本号,与JVM中查找到的类的版本号是否一致,来决定两个类是否是兼容的。对于开发人员来说,需要记得的就是在实现了Serializable接口的类中定义这样的一个域,并在版本更新过程中保持该值不变。当然,如果不希望 维持这种向后兼容性,换一个版本号即可。该域的值一般是综合Java类的各个特性而计算出来的一个哈希值,可以通过Java提供的serialver命令来生成。在Eclipse中,如果Java类实现了Serializable接口,Eclipse会提示并帮你生成这个serialVersionUID

如果没有声明serialVersionUID, JVM runtime会在运行时根据类内部的值计算出serialVersionUID。

 

5. 序列化安全性

前面提到,Java对象序列化之后的内容格式是公开的。所以可以很容易的从中提取出各种信息。从实现的角度来说,可以从不同的层次来加强序列化的安全性。对序列化之后的流进行加密。这可以通过CipherOutputStream来实现。实现自己的writeObject 和readObject方法,在调用defaultWriteObject 之前,先对要序列化的域的值进行加密处理。使用一个SignedObject 或SealedObject来封装当前对象, 用SignedObject 或SealedObject进行序列化。在从流中进行反序列化的时候,可以通过ObjectInputStream的registerValidation方法添加ObjectInputValidation接口的实现,用来验证反序列化之后得到的对象是否合法。
Java序列化与反序列化三种格式存取
12-22
 Java中的序列化(serialization)机制能够将一个实例对象的状态信息写入到一个字节流中,使其可以通过socket进行传输、或者持久化存储到数据库或文件系统中;然后在需要的时候,可以根据字节流中的信息来重构一个...
java 序列化与反序列化的实例详解
08-29
Java 序列化与反序列化Java 编程语言中的一种机制,允许将 Java 对象转换为字节序列,并将其反序列化Java 对象。序列化是指将 Java 对象转换为字节序列的过程,而反序列化是指将字节序列恢复为 Java 对象的...
序列化粒度的控制
sherry_y_fan的博客
05-31 832
1 什么是序列化? 将对象以二进制的形式保存在内存,文件,网络中. 主要用于网络传输,写入文件,以及RPC(不同进程之间的调用). 序列化只保存成员变量的值,不保存静态变量.2 什么是反序列化? 将内存,文件,网络中的二进制读取为对象.3 如何实现序列化? 实现Serializable接口或者子类Externalizable 4 序列化的id的生成 序列化时自动生成序列化id号 一个实体类在不实...
JAVA类实现序列化
软件的世界
10-14 867
Serialization(序列化)是一种将对象以一连串的字节描述的过程。Java序列化API提供一种处理对象序列化的标准机制。 通常采用 implements java.io.Serializable  的方式就可以了,这种方式简单,没有要实现的任何方法。 public class Entity implements java.io.Serializable  当进行序列化的时候: 
4-java安全——java序列化机制分析
网络安全
06-23 599
本文是根据java序列化机制来分析java序列化的流程,从而理解序列化后res文件中的字符串具体含义(看不懂的同学建议先看完《java序列化机制》)。 通过前面的学习不难发现其实整个序列化过程就两行代码: ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream); objectOutputStream.writeObject(student); 本次分析是以实现Serializab..
序列化
weixin_30572613的博客
07-02 114
为什么要用序列化 对于一个存在于Java虚拟机中的对象来说,其内部的状态只保持在内存中。JVM停止之后,这些状态就丢失了。在很多情况下,对象的内部状态是需要被持久化下来的。最直接的做法是保存到文件系统或是数据库之中,但这涉及到自定义存储格式以及繁琐的数据转换。序列化提供JVM中对象与字节数组织间的转换,从而实现了对象的持久化。 序列化分为两大部分:序列化和反序列化序列化是这个过程的第一部分,...
java序列化总结
许诗宇的博客
12-03 1351
注意:本文参考 Java 序列化 JDK序列化总结 - ixenos - 博客园 对象序列化是什么 1、对象序列化就是把一个对象的状态转化成一个字节流。 我们可以把这样的字节流存储为一个文件,作为对这个对象的复制(深拷贝);在一些分布式应用中,我们还可以把对象的字节流发送到网络上的其他计算机。 反序列化是把流结构的对象恢复为其原有形式 2、Java平台允许我们在内存中创建可复用的Java对象,但一般情况下,只有当JVM处于运行时,这些对象才可能存在,即,这些对象的生命周期不会比JVM的生命周期..
Java序列化_Java序列化结构_
09-29
Java序列化Java平台中的一种持久化机制,它允许对象的状态被转换成字节流,以便存储、网络传输或在不同时间点恢复。这个过程被称为序列化,而反向操作称为反序列化序列化在许多场景下都非常有用,比如在分布式...
Protocol Buffer序列化对比Java序列化.
06-19
【Protocol Buffer序列化对比Java序列化】 Protocol Buffer(简称PB)是Google开发的一种高效的数据序列化协议,而Java序列化Java平台内置的一种序列化机制。两者的主要目标都是将对象转化为字节数组,便于在网络...
java 序列化时排除指定属性
08-09
Java序列化Java平台提供的一种持久化机制,它允许我们将一个Java对象转换为字节流,以便存储到磁盘上,或者通过网络进行传输。这使得我们可以保存和恢复对象的状态。实现序列化的类需要实现`Serializable`接口,...
(每日持续更新)jdk api之ObjectStreamField基础、应用、实战
a89879193的专栏
02-26 740
表示布尔类型的字段。: 表示字节类型的字段。: 表示字符类型的字段。: 表示短整型类型的字段。: 表示整型类型的字段。: 表示长整型类型的字段。: 表示浮点型类型的字段。: 表示双精度浮点型类型的字段。: 表示对象类型的字段。: 表示数组类型的字段。: 返回字段的名称。Class
Serializable(序列化) 实现java深度拷贝
byyunnk的专栏
05-08 765
/**  * 通过序列化方式来处理java深度拷贝的问题,在内存中通过字节流的拷贝来实现,也就是把母  * 对象写到一个字节流中,再从字节流中将其取出来,这样就可以重建一个新对象,该对象与母  * 对象之间不存在引用共享的问题,也就相当于深拷贝了一个新对象,代码如下,当然还有其它方法,  * 在此就先提到序列化实现深度拷贝的问题,  * @author mary  *  */
JDK8源码解析-深入探索String内部变量(二)
聽海的聲音
08-30 435
源码解析基于jdk1.8.0_261进行分析,如果各位读者的jdk是该版本之前或之后的,可能与本文有所出入,但终究是一脉相承,万世一系 前言 为了贯穿上下文,在阅读此篇文章之前,推荐各位看客优先看下JDK8源码解析-String-修饰符及接口实现(一) 本次我们要讲的是String类的成员变量,因篇幅教广,构造函数我们放在下一期讲解,本期让大家知晓在java中如果new String() 或者定义一个String类型的常量,jvm在栈,堆及常量池中的使用 ...
Java反射分析对象的Fields
bh1990的专栏
05-21 1107
package chapter05.ObjectAnalyzer; import java.lang.reflect.AccessibleObject; import java.lang.reflect.Array; import java.lang.reflect.Field; import java.lang.reflect.Modifier; import java.util.ArrayL
Serializable接口?只提供学习使用
汤圆的博客
05-23 234
Java编程中我们会看到源码中或者别人代码中很多实体Bean都实现了Serializable接口,但是我们自己很多实体在使用中并没有序列化也能正常使用。由此引发了我的疑问,到底需不要实现Serializable接口?答案是必要,请往下看!。 在程序中为了能直接以 Java 对象的形式进行保存,然后再重新得到该 Java 对象,这就需要序列化能力。序列化其实可以看成是一种机制,按照一定的格式将 Java 对象的某状态转成介质可接受的形式,以方便存储或传输。其实想想就大致清楚基本流程,序列化时将 Java .
对象序列化
我叫王哈哈
03-12 792
序列化序列化 使用Externalizable接口
java序列化深度_Java深度历险(十)——Java对象序列化与RMI
weixin_35468857的博客
02-28 218
对于一个存在于Java虚拟机中的对象来说,其内部的状态只保持在内存中。JVM停止之后,这些状态就丢失了。在很多情况下,对象的内部状态是需要被持久化下来的。提到持久化,最直接的做法是保存到文件系统或是数据库之中。这种做法一般涉及到自定义存储格式以及繁琐的数据转换。对象关系映射(Object-relational mapping)是一种典型的用关系数据库来持久化对象的方式,也存在很多直接存储对象的对象...
Java多种方式自定义序列化
Genge
06-14 4105
我们知道,通过实现java.io.Serializable接口可以使得该类的实例能够被序列化。例如如下的Person类, import java.io.Serializable; public class Person implements Serializable { private String name; private int age; public P
java序列化及反序列化
lxqq0000的专栏
07-29 1621
什么是序列化序列化的核心shix
JAVA 序列化
最新发布
09-10
### 序列化的含义 序列化指将堆内存中的 Java 对象数据,通过某种方式存储到磁盘文件中,或者传递给其他网络节点(网络传输),即将对象转化为二进制,用于保存或网络传输。反序列化则是从 IO 流中恢复对象[^1][^4]。 ### 序列化的意义 序列化机制允许将实现序列化Java 对象转换为字节序列,这些字节序列可以保存在磁盘上,或通过网络传输,以达到以后恢复成原来的对象。序列化机制使得对象可以脱离程序的运行而独立存在[^1]。 ### 序列化的使用场景 所有可在网络上传输的对象都必须是可序列化的,比如 RMI(remote method invoke,即远程方法调用),传入的参数或返回的对象都是可序列化的,否则会出错;所有需要保存到磁盘的 Java 对象都必须是可序列化的。通常建议程序创建的每个 JavaBean 类都实现 Serializable 接口[^1]。 ### 序列化实现的方式 #### Serializable 接口 - **普通序列化**:实现 Serializable 接口后,可使用 ObjectOutputStream 将对象写入流,使用 ObjectInputStream 从流中读取对象。 ```java import java.io.*; class Person implements Serializable { String name; int age; public Person(String name, int age) { this.name = name; this.age = age; } } public class SerializationExample { public static void main(String[] args) { Person person = new Person("John", 30); try (ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("person.ser"))) { oos.writeObject(person); } catch (IOException e) { e.printStackTrace(); } try (ObjectInputStream ois = new ObjectInputStream(new FileInputStream("person.ser"))) { Person deserializedPerson = (Person) ois.readObject(); System.out.println(deserializedPerson.name + " " + deserializedPerson.age); } catch (IOException | ClassNotFoundException e) { e.printStackTrace(); } } } ``` - **成员是引用的序列化**:若类的成员是引用类型,该引用类型也必须是可序列化的,否则当前类无法实现序列化。 - **同一对象序列化多次的机制**:Java 序列化算法会保证同一对象多次序列化时,不会重复序列化对象的内容,而是只记录对象的引用。 - **Java 序列化算法潜在的问题**:例如序列化版本号不匹配、性能问题等。 - **可选的自定义序列化**:可通过实现 `writeObject` 和 `readObject` 方法来自定义序列化和反序列化过程。 #### Externalizable 接口 Externalizable 接口强制自定义序列化,需要实现 `writeExternal` 和 `readExternal` 方法。 ```java import java.io.*; class Employee implements Externalizable { String name; int id; public Employee() {} public Employee(String name, int id) { this.name = name; this.id = id; } @Override public void writeExternal(ObjectOutput out) throws IOException { out.writeObject(name); out.writeInt(id); } @Override public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException { name = (String) in.readObject(); id = in.readInt(); } } ``` ### 序列化版本号 serialVersionUID serialVersionUID 用于确保序列化和反序列化时类的版本一致性。若没有显式定义 serialVersionUID,Java 会根据类的结构自动生成一个。当类的结构发生变化时,可能会导致 serialVersionUID 改变,从而在反序列化时抛出 `InvalidClassException`。建议显式定义 serialVersionUID。 ```java import java.io.Serializable; class MyClass implements Serializable { private static final long serialVersionUID = 1L; // 类的成员和方法 } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值