一:序列化
- 序列化与反序列化,为什么要序列化
序列化:对象存储转换为二进制,对象和元数据(属性)都存储为二进制。
反序列化:把对象和元数据从二进制恢复。
场景:持久化,存入数据库;远程传输,进程之间传输。 - 原理:
实现的API:ObjectOutputStream中的writeObject(Object obj),ObjectInputStream中的readObject()
只有实现了Serializable或者Externalizable接口的类的对象才可以被实例化。父类实现上述接口,子类就不需要显示的实现,静态类不可以实现序列化。 - 序列化与单例模式
正常的序列化会破坏单例模式,产生新的对象,保证单例时,需要添加private Object readResolve(){}方法 - Protobuf
序列化框架 - 为什么说序列化不安全
可以实现远程代码执行;序列化明文存储,可以根据对象序列化生产很多私有属性。通过反序列化产生非预期对象,根源在于ObjectInputSteam对生成的对象类型没有限制。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
