设计模式_3_单例模式_反射和反序列化的漏洞和解决方案

最新推荐文章于 2022-05-29 13:13:39 发布
最新推荐文章于 2022-05-29 13:13:39 发布
阅读量266 收藏
点赞数
分类专栏: 设计模式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/pure_man_ben/article/details/100699191
版权
本文深入探讨单例模式的实现,并展示如何通过反射和反序列化技术创建多个实例,破坏其唯一性。同时,提供了解决方案,确保单例模式在面对这些挑战时依然有效。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前两篇介绍了创建单例模式的五种方式,而其中有四种(除了枚举)可以通过反射和反序列化破解的。 在这里插入图片描述
通过反射,创建两个不同的对象

package com.cb.study01;

import java.lang.reflect.Constructor;

/*
 * 测试反射和反序列化
 */

public class Client1 {
	
	public static void main(String[] args) throws Exception {
		SingletonDemo06 sd01 = SingletonDemo06.getInstance();
		SingletonDemo06 sd02 = SingletonDemo06.getInstance();
		
		System.out.println(sd01);
		System.out.println(sd02);
		
		Class<SingletonDemo06> clazz = (Class<SingletonDemo06>) Class.forName("com.cb.study01.SingletonDemo06");
		Constructor<SingletonDemo06> c = clazz.getDeclaredConstructor(null);
		//跳过私有的权限检查
		c.setAccessible(true);
		SingletonDemo06 sd03 = c.newInstance();
		SingletonDemo06 sd04 = c.newInstance();
		 
		 System.out.println(sd03);
		 System.out.println(sd04);
	}
	

	
}

运行结果
在这里插入图片描述
防止反射创建不同的对象

package com.cb.study01;
/*
 * 测试懒汉式单例模式(如何防止反射和反序列化漏洞)
 */

public class SingletonDemo06 {
	//类初始化时,不初始化这个对象(延时加载,真正用的时候再创建)。
	private static SingletonDemo06 instance;
	//私有构造器
	private SingletonDemo06(){
		//直接抛出一个异常
		if (instance !=null) {
			throw new RuntimeException();
		}
		
	}
	//方法同步,调用效率低
	public synchronized  static SingletonDemo06 getInstance(){
		if (instance==null) {
			instance = new SingletonDemo06();
		}
		return instance;
	}
}

运行结果:
在这里插入图片描述
通过反射来创建不同的对象,直接抛出异常。

通过反序列化创建多个不同的对象

package com.cb.study01;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;

/*
 * 测试反射
 */

public class Client2 {
	
	public static void main(String[] args) throws Exception {
		SingletonDemo07 sd01 = SingletonDemo07.getInstance();
		SingletonDemo07 sd02 = SingletonDemo07.getInstance();
		
		System.out.println(sd01);
		System.out.println(sd02);
		
		
		//通过反序列的方式构造多个对象 
		FileOutputStream fos = new FileOutputStream("d:a.txt");
		ObjectOutputStream oos = new ObjectOutputStream(fos);
		oos.writeObject(sd01);
		oos.close();
		fos.close();
		
		ObjectInputStream ois = new ObjectInputStream(new FileInputStream("d:a.txt"));
		SingletonDemo07 s3 = (SingletonDemo07)ois.readObject();
		System.out.println(s3);
		
	}
	

	
}

运行结果:
在这里插入图片描述
防止反序列方法 构造多个对象

package com.cb.study01;

import java.io.ObjectStreamException;
import java.io.Serializable;

/*
 * 测试反序列化
 */

public class SingletonDemo07 implements Serializable{
	//类初始化时,不初始化这个对象(延时加载,真正用的时候再创建)。
	private static SingletonDemo07 instance;
	//私有构造器
	private SingletonDemo07(){
		//直接抛出一个异常
		if (instance !=null) {
			throw new RuntimeException();
		}
		
	}
	//方法同步,调用效率低
	public synchronized  static SingletonDemo07 getInstance(){
		if (instance==null) {
			instance = new SingletonDemo07();
		}
		return instance;
	}
	//反序列时,如果定义了readResolve()则直接返回此方法打指定的对象,而不需要单独再创建新 对象
	private Object readResolve() throws ObjectStreamException{
		return instance;
		
	}
}

运行结果:反序列时,如果定义了readResolve()则直接返回此方法打指定的对象,而不需要单独再创建新 对象
在这里插入图片描述

详解23设计模式——第一部分:概述+创建型模式
来者无穷_
10-14 1655
设计模式(Design Pattern)是前辈们经过相当长的一段时间的试验错误总结出来的,是软件开发过程中面临的通用问题的解决方案。这些解决方案使用设计模式是为了可重用代码、让代码更容易被他人理解、保证代码可靠性。① 可以提高程序员的思维能力、编程能力设计能力。② 使程序设计更加标准化、代码编制更加工程化,使软件开发效率大大提高,从而缩短软件的开发周期。③ 使设计的代码可重用性高、可读性强、可靠性高、灵活性好、可维护性强。针对接口编程,而不是针对实现编程。
Java单例模式终极指南:5种实现方式详解与防坑实战
wx19930913的博客
03-02 881
在云原生微服务架构下,传统的单例模式正在发生革命性变化。某电商平台通过改造单例模式,实现配置中心的动态刷新机制,使系统在不重启的情况下完成配置更新,QPS提升40%。Kubernetes环境下的单例模式:使用Lease锁实现跨Pod单例Serverless架构适配:无状态函数中的单例管理响应式编程整合:结合RxJava实现异步单例学习资源推荐《Effective Java》第3章 Item 3Java并发编程实战 第16章Spring Framework官方文档Bean作用域章节。
单例模式反射、序列化漏洞解决方案
Java技术栈,分享最主流的Java技术
03-31 353
Java技术栈www.javastack.cn优秀的Java技术公众号推荐阅读:单例模式的 8 种写法,非常全!使用反射技术来获取不同的实例,以下是一个简单的饿汉式的单例模式的代码实现...
5中单例模式且防止反射反序列化破解(不针对枚举)并测试效率
weixin_45934066的博客
08-17 237
单例模式 单例模式,顾名思义就是只有一个实例,并且她自己负责创建自己的对象,这个类提供了一种访问其唯一的对象的方式,可以直接访问,不需要实例化该类的对象 核心代码:1构造方法私有化, 2. private static 3.提供一个公共方法 1.饿汉式 饿汉式,从名字上也很好理解,就是“比较勤”,实例在初始化的时候就已经建好了,不管你有没有用到,都先建好了再说。好处是没有线程安全的问题,调用效率高.坏处是浪费内存空间 无法延时加载。 public class SingletonDemo2 { // 类
c++ 设计模式(三)singleton 单例模式
热门推荐
chen
09-07 1万+
单例模式的意图:保证一个类只有一个实例,并提供一个访问它的全局节点 使用性:             当类只能一个实例而且客户可以从从一个周所周知的访问点访问它             当这个唯一的实例应该是通过子类化可扩张的,并且客户应该无需修改代码就能使用一个扩展的实例 记住上面这段话,在下面的分析过程我们反复来品味这段话的所表达的意思,融会贯通。 一、什么是单例模式
【C/C++C++中类访问权限控制
guansir的专栏
01-22 4325
第一:private, public, protected 访问标号的访问范围,在没有继承的情况下:private:只能由1.该类中的函数、2.其友元函数访问。不能被任何其他访问,该类的对象也不能访问。protected:可以被1.该类中的函数、2.子类的函数、以及3.其友元函数访问。但不能被该类的对象访问。public:可以被1.该类中的函数、2.子类的函
枚举单例模式设计模式中的安全与高效选择
- 安全性:由于枚举的特性,JVM保证了枚举实例的唯一性,无法通过反射反序列化创建额外的实例,从而避免了这些漏洞。 - 缺点:枚举单例不支持延迟加载,即无论何时,只要类被加载,单例就会被初始化,这可能导致...
设计模式面试突击
小朱小朱绝不认输的博客
02-20 2246
Java面试中设计模式的常见面试题总结。 文章目录一、设计模式1.1 什么是设计模式?1.2 设计模式分类1.3 设计模式的六大原则1.4 设计模式的优点二、单例模式2.1 什么是单例模式?2.2 单例模式优缺点及使用场景2.3 如何创建单例模式三、简单工厂模式3.1 什么是简单工厂模式?3.2 简单工厂模式优缺点及使用场景3.3 如何创建简单工厂模式四、抽象工厂模式4.1 什么是抽象工厂模式?4.2 抽象工厂模式优缺点及使用场景4.3 如何创建抽象工厂模式五、观察者模式5.1 什么是观察者模式?5.2 观
2.5 万字详解:23设计模式
weixin_70730532的博客
05-29 402
本文简述了各大设计模式,并通过UML代码详细说明。本文大约共 2.5W 字,建议收藏。下方是本文的目录: 一、设计模式的认识 二、设计模式的分类 根据其目的 根据范围 三、设计模式的优点 四、设计模式中关键点 五、创建型模式 简单(静态)工厂模式 工厂方法模式 抽象工厂模式 单例模式 原型模式 建造者模式 六、个人体会 一、设计模式的认识 设计模式(Design Pattern)是前辈们经过相当长的一段时间的试验
Java单例模式-反射反序列化漏洞解决方案
Roc_Li
06-16 777
问题: 反射可以破解单例模式的实现(不包含枚举单例模式) (可以在构造方法中手动抛出异常控制) 反序列也可以破解单例模式的实现(不包含枚举单例模式) (可以通过定义readResolve()防止获得不同对象 -反序列化时,如果对象所在类定义了readResolve(),实际时一种回调,定义返回哪个对象) 反射破解单例-懒汉式为例 public static void main(String[]...
单例模式(多线程不安全,序列化不安全,反射不安全实例)
lv836735240的专栏
11-19 4552
单例模式(多线程不安全,序列化不安全,反射不安全实例)
C++三种访问权限
qq_40776805的博客
09-08 246
1.public 公开 2.private 私有 3.peotected 保护
单例模式之预防反射攻击
03-30 321
单例模式之预防反射攻击
在Java的反射中,Class.forNameClassLoader的区别
weixin_30600197的博客
06-15 272
前言 最近在面试过程中有被问到,在Java反射中Class.forName()加载类使用ClassLoader加载类的区别。当时没有想出来后来自己研究了一下就写下来记录一下。 解释 在java中Class.forName()ClassLoader都可以对类进行加载。ClassLoader就是遵循双亲委派模型最终调用启动类加载器的类加载器,实现的功能是“通过一个类的全限定名来获取描述此类的...
数据可视化期末课设~学生成绩可视化分析.zip
05-19
identity 身份认证 购VIP最低享 7 折! triangle vip 30元优惠券将在 04:24:36 后过期 去使用 triangle 数据可视化是将复杂的数据集通过图表、图像等视觉元素进行呈现,以便于人们更容易地理解解读数据。在“数据可视化期末课设~学生成绩可视化分析.zip”这个压缩包中,我们可以看到一系列与数据可视化相关的资源,包括Jupyter代码、HTML图片、答辩PPT以及Word文档,这些内容涵盖了数据可视化的基础到高级应用,适合于完成一个全面的期末课程设计项目。 Jupyter代码是使用Python编程语言进行数据处理可视化的主要工具。在这个项目中,学生可能使用了pandas库来加载清洗数据,可能涉及到的数据处理步骤包括去除重复值、处理缺失值以及数据类型转换等。接着,他们可能使用matplotlib或seaborn库来创建各种图表,如直方图、散点图、箱线图等,以展示学生成绩的分布、对比趋势。此外,更高级的可视化库如plotly或bokeh可能也被用来实现交互式图表,增加用户对数据的理解深度。 保存的HTML图片是Jupyter Notebook的输出结果,它展示了代码运行后的可视化效果。这些图片可以直观地揭示学生成绩的统计特征,例如平均分、标准差、最高分最低分等。通过颜色编码或者图例,我们可以识别出不同科目或者不同班级的表现,帮助分析教学质量学生学习情况。 答辩PPT则可能包含项目的概述、目的、方法、结果结论。在PPT中,学生可能会详细阐述他们选择特定可视化方法的理由,如何解读图表,以及从数据中得出的洞察。此外,PPT的制作也是展示其表达沟通能力的重要部分,要求清晰、有逻辑地组织信息。 Word文档可能是项目报告,详细记录了整个过程,包括数据来源、预处理步骤、使用的可视化技术、分析结果以及可能遇到的问题解决方案。报告中的数据分析部分会详细解释图表背后的含义,例如通过对比不同学科的分数分布,找出哪些科目可能存在困难,或者分析成绩与特定因素(如性别、年级等)的关系。 这个压缩包提供了完整的数据可视化项目实例,涉及了数据获取、处理、可视化解释的一系列步骤,对于学习掌握数据可视化技能非常有价值。通过这样的练习,学生不仅能够提高编程技巧,还能培养数据驱动思维问题解决能力,为未来从事数据分析或相关领域的工作打下坚实的基础。
硬件温度监控.exe 单文件版 快速查看 CPU GPU 硬盘温度 简约一个界面显示全部温度信息
最新发布
05-19
硬件温度监控.exe 单文件版 快速查看 CPU GPU 硬盘温度 简约一个界面显示全部温度信息
教学资料管理系统 2025免费毕设附带论文 SpringBoot+Vue.js
05-19
2025免费毕设附带论文 SpringBoot+Vue.js 启动教程: https://www.bilibili.com/video/BV11ktveuE2d/?share_source=copy_web 二开教程:https://www.bilibili.com/video/BV18i421i7Dx/?share_source=copy_web 讲解视频:https://www.bilibili.com/video/BV1Tb421n72S/?share_source=copy_web
计算机学院校友网系统 2025免费毕设附带论文 SpringBoot+Vue.js
05-19
2025免费毕设附带论文 SpringBoot+Vue.js 启动教程: https://www.bilibili.com/video/BV11ktveuE2d/?share_source=copy_web 二开教程:https://www.bilibili.com/video/BV18i421i7Dx/?share_source=copy_web 讲解视频:https://www.bilibili.com/video/BV1Tb421n72S/?share_source=copy_web
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值