Effective Java 第11章

序列化

第11章

序列化：将对象编成字节流
反序列化：将字节流重写构建成对象，通过反射的getInstance方法。
序列化与反序列化作用：
1、网络间通信
2、转存为持久化信息
3、进程间通信

第74条

谨慎地实现Serializable接口
代价：

• 一旦被正式发布，大大降低“改变这个类的实现”的灵活性。
• 增加出现BUG和安全漏洞的可能性，“隐藏的构造器”
• 测试负担增加

注意：

• 父类实现了Serializable接口，子类就必须实现序列化
• 内部类不能序列化，由于内部类需要引入外围类的引用以及外围类的局部变量名称。静态内部类可以。

第75条

考虑使用自定义的序列化形势
1、物理表示法必须等同于逻辑内容（生成的序列化形式能很好的表达这个类）。
2、默认序列化形式中，物理表示法会有冗余，当对象作为成员变量时，对象也会被序列化。当作为对象图形式存在时，则会有很大的冗余，比如一个链表。
3、当读取对象的状态的方法上同步，则序列化也必须同步。
4、UID表示序列化版本，只有序列化后的生成的字节流的UID与对象UID对应，才能被反序列化。用来表示可否兼容。

transient：瞬时的。不会被默认序列化，当反序列化时会被赋予默认值（0，false，null）。

第76条

保护性地编写readObject方法
1、可通过伪造字节流来创建不符合实际意义的对象，比如（出生日期晚于死亡日期），
通过在readObject中增加语义的判断。
2、攻击者可通过字节流获取序列化对象中成员变量的对象引用，来修改成员变量。可通过在readObject中进行保护性拷贝避免。

第77条

对于实例控制（比如Singleton）,枚举类优先于readResolve
readObject不管是显示的还是默认的，都会返回一个新建的实例。

1、可通过readResolve进行实例控制，会将自己的返回对象替代readObject新建的对象作为引用赋值，导致新建消亡。但若对象带有非transient实例，则仍然会被攻击。
2、而枚举类型则不存在上述问题，JVM提供了保障，不会有第二个常量。

第78条

考虑用序列化代理代替序列化实例
通过创建一个静态内部类，将外围类作为该内部类的构造函数的唯一变量。序列化是生成静态内部类的字节流，反序列化通过readResolve生成外围类的实例。相当于将被序列化的类与序列化这种模式分离，仍然是通过外围类的构造函数来创建类。
优点：该方法可以避免第76条中伪字节流以及内部域的盗用攻击。、
缺点：该类不能被客户端扩展、不能与对象图中包含循环的类兼容