Java中的单例模式防反序列化解决方案

最新推荐文章于 2025-06-20 19:43:41 发布
原创 最新推荐文章于 2025-06-20 19:43:41 发布 · 982 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #java进阶 #序列化 #反序列化 #防反序列化破解

本文探讨了Java中单例模式在面对反序列化攻击时的脆弱性,介绍了两种防止反序列化破解的方法:1. 使用`readResolve()`方法,通过返回已存在的单例实例来确保单例的唯一性;2. 利用枚举类型创建单例,由于枚举的天然保护,可以有效防止反序列化破解。通过示例代码展示了这两种方法的有效性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、readResolve()法

首先构造一个可序列化的单例模式类

public class User implements Serializable {
   
   
     private static final User instance=new User();
     public String name;
     public int age;

     private User()
     {
         name="Sean";
         age=23;
     }

     public static User getInstance()
     {
         return instance;
     }

}

利用反序列化实施破解工作

public class TestSelializable {

    public static void main(String[] args) throws FileNotFoundException, IOException, ClassNotFoundException {
        User a=User.getInstanc
最低0.47元/天 解锁文章

200万优质内容无限畅学
Java单例模式:静态内部类实现原理剖析
AI开发架构师
07-02 671
单例模式的核心目标是控制类的实数量,确保全局唯一访问点。为什么静态内部类能实现懒加载?如何通过JVM机制保证线程安全?与其他实现方式(如饿汉式、双重检查锁定)的本质区别?实际项目中的最佳实践与注意事项。本文将从生活场景引入单例模式需求,逐步拆解静态内部类实现的核心概念(懒加载、线程安全、类加载机制),结合JVM规范剖析原理,通过代码示演示实现,最后总结最佳实践与常见问题。单例模式(Singleton Pattern):保证一个类仅有一个实,并提供一个全局访问点。
一文带你彻底搞懂设计模式之单例模式!!由浅入深,图文并茂,超超超详细的单例模式讲解!!
热门推荐
祝你身体健康,美满幸福
06-28 1万+
本篇文章通过图文形式,由浅入深,详细讲解了设计模式中的单例模式的应用
Java反序列化安全漏洞防控
04-19
本文描述了著名的java反序列漏洞的介绍的修补方案,主要是解决了Apache commons-collection的漏洞修补方案。
Java防反序列化防反射,防clone
csm_qz的专栏
04-23 763
是我们程序运行过程中只存在唯一的一个实,对于唯一性的保证如何做到。 1.防反射 首先我们看一个子public class Instance { private static Instance INSTANCE; private Instance(){} public static Instance getInstance() { i
Java枚举类如何避免反射攻击和序列化攻击
最新发布
Mylvzi的博客
06-20 781
Java 的反射(Reflection)机制允许你在运行时访问类的私有构造方法,这就可能绕过单例模式的限制,创建多个实。// 又创建了一个新对象当你对一个对象序列化后再反序列化,如果没有处理好方法,可能会重新创建一个新的实。// 序列化// 又是一个新对象安全防护项普通需要额外处理枚举线程安全❌(需加锁或静态内部类)✅ JVM 保证反射攻击❌(可被破坏)✅ JVM 禁止序列化攻击❌(需要重写✅ JVM 自动处理写法简洁❌✅✅✅。
单例模式及其序列化/反序列化
xuerhu85的博客
02-26 251
为了使一个类变成可串行化的,仅仅在声明中添加“implements Serializable”是不够的。因为一个串行化的对象在每次返串行化的时候,都会创建一个新的对象,而不仅仅是一个对原有对象的引用。为了防止这种情况,可以在类中加入readResolve 方法。 下面我们先简要地回顾下对象的序列化. 一般来说, 一个类实现了 Serializable接口,...
JAVA单例模式-双重检验锁(防止反射、序列化多个)
一起coding,一起嗨。
03-24 3022
【代码】JAVA单例模式-双重检验锁(防止反射多个)
单例模式序列化反序列化实现
anLA_的专栏
04-16 2289
静态内部类可以达到线程安全问题,但是如果遇到序列化对象时,使用默认的方式运行得到的结果 坑你还是多的。 package test; import java.io.ObjectStreamException; import java.io.Serializable; public class MyObject implements Serializable { private stat
Java单例模式的七种写法:从饿汉式到枚举式的演进
记录学习的过程
05-26 1575
本文详细介绍了Java中实现单例模式的七种方法,包括饿汉式、懒汉式、双重检查锁、静态内部类、枚举式等。每种实现方式都分析了其优缺点和适用场景,其中枚举式被《Effective Java》推荐为最佳实践,能有效防止反射和序列化攻击。文章还强调了单例模式的核心要素,如线程安全、延迟加载和防止破坏的措施。通过对比不同实现,开发者可以根据具体需求选择最合适的单例模式实现方案。
Java单例模式终极指南:5种实现方式详解与防坑实战
wx19930913的博客
03-02 933
在云原生和微服务架构下,传统的单例模式正在发生革命性变化。某电商平台通过改造单例模式,实现配置中心的动态刷新机制,使系统在不重启的情况下完成配置更新,QPS提升40%。Kubernetes环境下的单例模式:使用Lease锁实现跨PodServerless架构适配:无状态函数中的管理响应式编程整合:结合RxJava实现异步学习资源推荐《Effective Java》第3章 Item 3Java并发编程实战 第16章Spring Framework官方文档Bean作用域章节。
单例模式序列化
weixin_34408717的博客
12-29 84
publicclassSeriallizableSingletonimplementsSerializable{privatestaticfinalSeriallizableSingletonmSingleton=newSeriallizableSingleton();privateSeriallizableSing...
Java多线程 单例模式防止反序列化破坏的处理方式
qq_20156289的博客
08-24 1062
单例模式(防止反序列化破解单例模式)
qq_35289343的博客
11-15 564
public class Client2 {     public static void main(String[] args) throws Exception {         //通过反序列化的方式构造多个对象         LazySingletonVSSyn ls1 = LazySingletonVSSyn.getInstance();         LazySingletonV...
单例模式-序列化问题
qq_34679704的博客
03-19 558
在前面文章 单例模式-双检锁就稳了?,提到了对象序列化会破坏单例模式,同时也做了试验,今天我们来借着这个问题了解一下序列化的过程。 序列化的作用起源这里就不详细赘述了,本文主要解决序列化破坏的问题。如果想详细了解序列化反序列化过程,推荐一篇文章,写得清清楚楚,包括底层实现流程。 https://cloud.tencent.com/developer/article/1125165) 问题...
单例模式序列化
weixin_34006468的博客
04-14 145
2019独角兽企业重金招聘Python工程师标准>>> ...
java 序列化_序列化反序列化单例模式实现
weixin_39637386的博客
02-16 112
静态内置类可以达到线程安全的问题,但如果遇到序列化对象时,使用默认的方式运行得到的结果还是多的。import java.io.Serializable;public class MyObject implements Serializable {private static final long serialVersionUID = 888L;private static class MyObj...
单例模式对象的可序列化
08-17 2747
为了使一个类变成可串行化的,仅仅在声明中添加“implements Serializable”是不够的。因为一个串行化的对象在每次返串行化的时候,都会创建一个新的对象,而不仅仅是一个对原有对象的引用。为了防止这种情况,可以在类中加入readResolve 方法。         下面我们先简要地回顾下对象的序列化. 一般来说, 一个类实现了 Serializable接口, 我们就可以把它
java 序列化_Java 序列化单例模式
weixin_42629522的博客
02-13 193
当我们使用Singleton模式时,应该是期望某个类的实应该是唯一的,但如果该类是可序列化的,那么发序列化后还会是的吗?下面我们通过如下示一来验证一下:示一User 类User 类是单例模式,使用的饿汉模式,在类加载的时候就创建对象实。public class User implements Serializable {private static final long serialV...
单例模式实现及防止反射与序列化
Better_YZQ的博客
07-19 942
单例模式 模式动机 对于系统中的某些类来说,只有一个实很重要,如一个系统中只有一个计时工具和 ID(序号)生成器。 单例模式适用情况包括:系统只需要一个实对象;客户调用类的个实只允许使用一个公共访问点。 定义 顾名思义,用来保证一个对象只能创建一个实,除此之外,它还提供了对实的全局访问方法。 单例模式的要点有三个:一是类只能有一个实;二是它必须自行创建这个实;三是它必须自行向整个系统提供这个实。 实现 为了确保的唯一性,所有的 构造器都要被声明为私有 的,再通过声明 静态方法实
java 标准单例模式写法
04-23
</think>Java中标准单例模式的实现主要有以下四种方式,每种方式针对不同场景提供解决方案: ### 一、饿汉式(Eager Initialization) ```java public class Singleton { // 类加载时直接初始化(静态变量) ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值