JDK序列化问题

最新推荐文章于 2024-07-31 16:08:20 发布
原创 最新推荐文章于 2024-07-31 16:08:20 发布 · 275 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#jdk #java

本文探讨了Java序列化接口在实际应用中的问题,包括无法跨语言、序列化后码流过大以及效率低下,并通过实验展示了Java序列化与二进制编码在时间和空间上的显著差异。作者指出,为解决这些问题,开发者通常转向如Protobuf和Thrift等社区活跃的序列化工具。

谈到序列化我们自然想到 Java 提供的 Serializable 接口,在 Java 中我们如果需要序列化只需要继承该接口就可以通过输入输出流进行序列化和反序列化。

但是在提供很用户简单的调用的同时他也存在很多问题:

1、无法跨语言

当我们进行跨应用之间的服务调用的时候如果另外一个应用使用c语言来开发,这个时候我们发送过去的序列化对象,别人是无法进行反序列化的因为其内部实现对于别人来说完全就是黑盒。

2、序列化之后的码流太大

这个我们可以做一个实验还是上一节中的Message类,我们分别用java的序列化和使用二进制编码来做一个对比,下面我写了一个测试类:

@Test
public void testSerializable(){
    String str = "哈哈,我是一条消息";
    Message msg = new Message((byte)0xAD,35,str);
    ByteArrayOutputStream out = new ByteArrayOutputStream();
    try {
        ObjectOutputStream os = new ObjectOutputStream(out);
        os.writeObject(msg);
        os.flush();
        byte[] b = out.toByteArray();
        System.out.println("jdk序列化后的长度: "+b.length);
        os.close();
        out.close();


        ByteBuffer buffer = ByteBuffer.allocate(1024);
        byte[] bt = msg.getMsgBody().getBytes();
        buffer.put(msg.getType());
        buffer.putInt(msg.getLength());
        buffer.put(bt);
        buffer.flip();

        byte[] result = new byte[buffer.remaining()];
        buffer.get(result);
        System.out.println("使用二进制序列化的长度:"+result.length);

    } catch (IOException e) {
        e.printStackTrace();
    }
}

 

输出结果为:

图片

 

我们可以看到差距是挺大的,目前的主流编解码框架序列化之后的码流也都比java序列化要小太多。

3、序列化效率

这个我们也可以做一个对比,还是上面写的测试代码我们循环跑100000次对比一下时间:


 
@Test
public void testSerializable(){
    String str = "哈哈,我是一条消息";
    Message msg = new Message((byte)0xAD,35,str);
    ByteArrayOutputStream out = new ByteArrayOutputStream();
    try {
        long startTime = System.currentTimeMillis();
        for(int i = 0;i < 100000;i++){
            ObjectOutputStream os = new ObjectOutputStream(out);
            os.writeObject(msg);
            os.flush();
            byte[] b = out.toByteArray();
            /*System.out.println("jdk序列化后的长度: "+b.length);*/
            os.close();
            out.close();
        }
        long endTime = System.currentTimeMillis();
        System.out.println("jdk序列化100000次耗时:" +(endTime - startTime));

        long startTime1 = System.currentTimeMillis();
        for(int i = 0;i < 100000;i++){
            ByteBuffer buffer = ByteBuffer.allocate(1024);
            byte[] bt = msg.getMsgBody().getBytes();
            buffer.put(msg.getType());
            buffer.putInt(msg.getLength());
            buffer.put(bt);
            buffer.flip();

            byte[] result = new byte[buffer.remaining()];
            buffer.get(result);
            /*System.out.println("使用二进制序列化的长度:"+result.length);*/
        }
        long endTime1 = System.currentTimeMillis();
        System.out.println("使用二进制序列化100000次耗时:" +(endTime1 - startTime1));

    } catch (IOException e) {
        e.printStackTrace();
    }
}

结果为:

图片

结果为毫秒数,这个差距也是不小的。

结合以上我们看到:

目前的序列化过程中使用 Java 本身的肯定是不行,使用二进制编码的话又的我们自己去手写,所以为了让我们少搬砖前辈们早已经写好了工具让我们调用,目前社区比较活跃的有 google 的 Protobuf 和 Apache 的 Thrift。

JDK序列化时修改类的全限定性名解析
08-28
JDK提供了内置的序列化支持,但有时在特定场景下,如文中提到的SpringSecurityOAuth2的实现,可能会遇到反序列化时因类全限定性名不同而导致的问题。本文将深入探讨这个问题及其解决方案。 首先,让我们理解一下...
JDK序列化原理总结
01-16 1017
参考:https://juejin.im/entry/5bf622436fb9a04a0b21cbe7 JDK序列化方式中,使用ObjectInputStream#readObject进行反序列化,使用ObjectInputStream#writeObject进行序列化,反序列化稍微复杂点,朋友们可以结合文字看源码 ObjectInputStream#readObject: A 判断子类是否重写了...
六十一、JDK原生的序列化详解
I want to know a little more.
01-24 1301
相关接口及类 Java为了方便开发人员将Java对象进行序列化及反序列化提供了一套方便的API来支持。其中包括以下接口和类: java.io.Serializable java.io.Externalizable ObjectOutput ObjectInput ObjectOutputStream ObjectInputStream Serializable 接口 类通过实...
为什么不建议使用 Java 自带的序列化
Java技术栈,分享最主流的Java技术
06-06 356
点击关注公众号,Java干货及时送达作者:rickiyang出处:www.cnblogs.com/rickiyang/p/11074232.html谈到序列化我们自然想到 Java 提供的...
Java JDK序列化 (Serializable和Externalizable)
眉头的骰
10-14 1297
概念: 序列化:将结构对象转为字节序列的过程。 反序列化:将字节序列恢复为结构u对象的过程。 为什么要序列化: 简单的说序列化是用来通信的,为了跨进程传递格式化数据(byte流)。 当两个进程在进行远程通信时,彼此可以发送各种类型的数据。无论是何种类型的数据,都会以二进制序列的形式在网络上传送。发送方需要把这个对象转换为字节序列,才能在网络上传送;接收方则需要把字节序列再恢复为对象。 这样客户...
瞧瞧,这就是JDK序列化
linchonghui888的博客
01-21 1298
今天来聊聊JDK自带的序列化,企业级软件开发过程中一定会涉及到数据落盘或者网络传输数据,由于Linux操作系统要数据落盘或者传输数据前需要将数据转为二进制数据流,因此我们需要一套规则来将Java世界中的对象(数据)转化为二进制数据流,而JDK提供的序列化就是这套转换规则。以上就是使用JDK序列化/反序列化的流程,可能工作中我们不会频繁的写序列化代码,但是通信/存储相关的组件里一般都会高频的进行序列化/反序列化操作,因此如果之后我们要自己设计通信/存储的话,掌握序列化是非常有必要的。
Java中为什么不推荐使用 JDK 自带的序列化
qq_33326733的博客
05-18 812
通过以上分析,我们可以看到,JDK 自带的序列化方式在跨语言支持、性能和安全性方面都存在明显的不足。因此,在实际开发中,我们更倾向于使用其他更高效、更安全的序列化框架来替代JDK自带的序列化方式。
JDK 序列化 serialVersionUID应用
Think In JAVA—Max
06-12 1163
通常,RPC调用有多种序列化方式,本文简单介绍一下JDK自带的序列化接口Serializable使用事项。一、serialVersionUID一般实现Serializable接口的序列化对象会要求声明一个long型的serialVersionUID(非强制,不写会有默认值),该变量有何用?1、序列化操作时,系统会把当前类声明的serialVersionUID写入到序列化文件中,用于反序列化时系统会...
JDK序列化 Serializable
u013071319的博客
06-04 707
一、序列化(Serialization) 序列化是指将对象的状态信息转换为可以 存储 或 传输 形式的过程。在序列化期间,对象将其状态写入临时或持久性存储区;以后,可以通过从存储区读取或反序列化对象的状态,重新创建该对象。 Java序列化机制使用long型的serialVersionUID字段来标志类的版本号;序列化对象状态时,JVM会把serialVersionUID的值写到类的序列化数据中;反序列化时,JVM会把序列化数据中的serialVersionUID与对应类中的s...
Java基础:jdk序列化
~
07-31 561
JDK 序列化Java 提供的一种对象持久化的机制,它允许开发者将对象转换为字节流,以便在内存中保存、存储到文件、通过网络传输或在不同的 Java 虚拟机之间传递。序列化的主要目的是为了保持对象的状态,以便在以后的时间点能够重新还原为原始对象。这在分布式系统、缓存、持久化存储等场景中非常有用。JDK 序列化Java 提供的一种对象持久化的机制,允许将对象转换为字节流以便于存储、传输或持久化。虽然它在某些情况下非常方便,但在性能、版本兼容性和安全性等方面都需要仔细考虑。
JDK自带的序列化
分享技术,分享经验
04-14 1899
Java中,序列化是指将java对象转换为字节流的过程,以便存储到文件、通过网络传输或在不同的Java虚拟机之间传递。
Java序列化的三种方式
qq_39713141的博客
11-13 1057
Java序列化的三种方式 最近在看《码出高效 Java开发手册》,里面有一篇对于序列化的讲解,其是这么说的:内存中的数据对象只有转换为二进制流的形式才能进行数据持久化和网络传输。将数据对象转化成二进制流的过程称为对象的序列化。反之,将二进制流恢复为数据对象的过程称为反序列化序列化需要保留充分的信息以恢复数据对象,但是为了节约存储对象空间和网络带宽,序列化后的二进制流又要尽可能小。序列化常见的使用...
序列化系列(1)——JDK序列化和Hessian序列化
08-02 642
我之前在《聊一聊RPC》中曾提过什么是序列化和反序列化,当时有说过之后要单独抽出一期来详细聊聊序列化,没想到这一拖竟然拖了一年多,现在来把这个坑补上。由于篇幅较长,本文先主要介绍两种常见的...
JDK序列化与JSON序列化
Nanki_的博客
12-30 1352
在实际开发中,根据需求和场景的不同,开发人员可以选择适合的序列化方式。JDK序列化适用于Java内部数据传输和持久化存储,而JSON序列化则更适合于跨平台数据交换和前后端数据交互。选择适合的序列化方式是至关重要的,这有助于提高应用程序的效率和可扩展性。
序列化
痞子王的博客
03-19 589
序列化 一、 概述 Java 提供了一种对象序列化的机制。用一个字节序列可以表示一个对象,该字节序列包含该对象的数据、对象的类型和对象中存储的属性等信息。字节序列写出到文件之后,相当于文件中持久保存了一个对象的信息。 反之,该字节序列还可以从文件中读取回来,重构对象,对它进行反序列化。对象的数据、对象的类型和对象中存储的数据信息,都可以用来在内存中创建对象。看图理解序列化: 二、 ObjectO...
JDK序列化分析
苦行僧
07-04 3076
文章目录1. Jdk序列化举例1.1 JDK序列化简介1.2 JDK序列化示例1.3 JDK序列化注意点2. JDK序列化分析2.1 JDK序列化为什么需要 serialVersionUID ?2.2 JDK序列化与反序列化源码分析2.3 结论 1. Jdk序列化举例 1.1 JDK序列化简介 序列化是把实体对象状态按照一定的格式写入到有序字节流,反序列化就是从有序字节流重建对象,恢复对象状态。java序列化是指把java对象转换为字节序列的过程,而java序列化是指把字节序列恢复为java对象的过程。
JDK序列化与反序列化
lovely960823的博客
11-01 723
jdk序列化与反序列化
jdk序列化问题
最新发布
04-02
### JDK 序列化常见问题及解决方案 #### 1. 安全性问题 JDK序列化机制存在一定的安全隐患,尤其是在处理不可信的数据源时。攻击者可以通过精心构造的恶意数据触发反序列化漏洞,从而执行任意代码或导致其他安全风险[^1]。 **解决方案**: 为了提高安全性,可以在反序列化过程中加入自定义验证逻辑。例如,在 `readObject` 方法中实现额外的安全校验,或者使用第三方库(如 Jackson、Kryo)来替代默认的 JDK 序列化方式。此外,还可以启用 Java 提供的模块化功能(如 JEP 290),它允许开发者过滤掉潜在危险的类加载行为。 #### 2. 版本兼容性问题序列化与反序列化的对象版本不一致时,可能会引发 `java.io.InvalidClassException` 异常。这是因为 JDK 默认会基于 `serialVersionUID` 来判断两个类是否属于同一版本[^2]。 **解决方案**: 为了避免此类问题的发生,建议显式声明 `serialVersionUID` 字段。即使类结构发生变化,只要不影响字段的核心语义,就可以保持该值不变;反之则需更新其数值以反映新版本的变化情况。 ```java private static final long serialVersionUID = 1L; ``` #### 3. 性能低下问题 相较于现代高效的二进制协议(比如 Protobuf 和 Avro),原生 JDK 序列化的效率较低,并且生成的结果体积较大[^3]。 **解决方案**: 对于高性能需求场景下推荐采用专用工具代替传统方法完成任务。例如 Apache Commons Lang 中提供的 SerializationUtils 类提供了更简洁易用 API 接口的同时也具备较好的运行表现;另外还有像 Google 开发出来的 Protocol Buffers (Protobuf),Facebook 发布的消息压缩算法 Thrift 等都是不错的选择。 #### 4. 进程间通信中的应用 在分布式系统架构设计当中经常涉及到不同 JVM 实例之间传递复杂业务实体的需求。此时利用 java 对象流技术能够轻松达成目标——即先将内存里的实例转换成字节数组形式发送出去后再于接收端还原回来形成新的副本[^4]。 然而需要注意的是这种方式仅适用于双方都支持相同类型的环境之中而且传输成本相对较高因此实际开发过程里应权衡利弊合理选用方案。 #### 5. 缓存框架配置冲突问题 有时候即便已经调整好了 Redis 数据存储引擎的相关参数设定仍然无法改变 Spring Cache 扩展插件所依赖的基础编码策略依旧沿用了原始模式而非预期中的 JSON 表达样式[^5]。 **解决方案**: 针对上述现象可通过如下手段加以修正:确保全局范围内唯一指定统一风格的 Converter 组件实例并将其绑定至对应的 Template 上面去覆盖原有的默认选项设置即可解决问题。 --- ### 示例代码片段展示如何正确设置 RedisTemplate 配置项: ```java @Configuration public class RedisConfig { @Bean public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory connectionFactory) { RedisTemplate<String, Object> template = new RedisTemplate<>(); template.setConnectionFactory(connectionFactory); // 设置 key serializer StringRedisSerializer stringSerializer = new StringRedisSerializer(); template.setKeySerializer(stringSerializer); template.setHashKeySerializer(stringSerializer); // 设置 value serializer 使用 JacksonJson Jackson2JsonRedisSerializer<Object> jsonSerializer = new Jackson2JsonRedisSerializer<>(Object.class); ObjectMapper objectMapper = new ObjectMapper(); objectMapper.setVisibility(PropertyAccessor.ALL, JsonAutoDetect.Visibility.ANY); objectMapper.enableDefaultTyping(ObjectMapper.DefaultTyping.NON_FINAL); jsonSerializer.setObjectMapper(objectMapper); template.setValueSerializer(jsonSerializer); template.setHashValueSerializer(jsonSerializer); template.afterPropertiesSet(); return template; } } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值