Effective Java:考虑用序列化代理代替序列化实例

最新推荐文章于 2022-01-20 10:47:26 发布
最新推荐文章于 2022-01-20 10:47:26 发布
阅读量367 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: effective java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xujiajun945/article/details/84245471
本文探讨了使用序列化代理代替直接序列化实例的原因,以避免潜在错误和安全问题。通过设计私有的静态嵌套类作为序列化代理,实现对外围类实例逻辑状态的精确表示。代理类具有复制数据的构造器,序列化时使用writeReplace方法,反序列化时创建外部类。这种方法能防止伪字节流攻击和内部域盗用,尤其适用于有重要约束条件的对象序列化,但可能带来扩展性和额外开销的问题。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

考虑用序列化代理代替序列化实例

前提:使用Serializable接口会增加出错和出现安全问题的可能性(因为他导致实例要利用语言之外的机制来创建,而不是普通的构造器)

解决方案:使用序列化代理模式

  1. 为可序列化的类设计一个私有的静态嵌套类,精确的表示外围类的实例的逻辑状态,这个嵌套类就是序列化代理
  2. 嵌套类具有一个单独的构造器,参数类型就是外围类,这个构造器只从它的参数中复制数据(不进行一致性检查和保护性拷贝)
  3. 序列化的时候使用代理类
  4. 反序列化的时候创建外部类
public final class Period {

	private final Date start;
	
	private final Date end;
	
	public Period(Date start, Date end) {
		if (start.compareTo(end) > 0) {
			throw new IllegalArgumentException(start + "after" + end);
		}
		this.start = start;
		this.end = end;
	}
	
	public Date start() {
		return start;
	}
	
	public Date end() {
		return end;
	}
	
	/**
	 * 这个方法的存在导致序列化系统产生一个代理实例,替代原对象
	 * 序列化系统永远不会产生该类的实例
	 * @return
	 */
	private Object writeReplace() {
		return new SerializationProxy(this);
	}
	
	private static class SerializationProxy implements Serializable {
		
		private final Date start;
		
		private final Date end;
		
		SerializationProxy(Period p) {
			this.start = p.start;
			this.end = p.end;
		}
		
		/**
		 * 返回一个外围类的实例,反序列化的时候返回外围类的实例
		 * @return
		 */
		private Object readResovle() {
			return new Period(start, end);
		}

	}
	
	/**
	 * 添加该方法确保攻击者无法伪造,违反该类的约束条件
	 * @param stream
	 * @throws InvalidObjectException
	 */
	private void readObject(ObjectInputStream stream) throws InvalidObjectException {
		throw new InvalidObjectException("Proxy required");
	}
}

writeReplace方法:添加该方法后,该类在进行序列化的时候,序列化的对象是该方法返回的对象

readObject与writeObject方法:可以手动将static和transient的属性进行序列化

@Setter
@Getter
public class SessionDTO implements Serializable {

    private transient int data;

    private transient long activationTime;

    public SessionDTO(int data) {
        this.data = data;
        this.activationTime = System.currentTimeMillis();
    }
    
    private void writeObject(ObjectOutputStream oos) throws IOException {
        oos.defaultWriteObject();
        oos.writeInt(data);
        System.out.println("session serialized");
    }

    private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
        ois.defaultReadObject();
        data = ois.readInt();
        activationTime = System.currentTimeMillis();
        System.out.println("session deserialized");
    }

}

序列化代理方法可以阻止伪字节流的攻击,以及内部域的盗用攻击,这种方法允许Period的域为final的

结论:

  1. 局限:扩展性
  2. 开销大
  3. 要想稳健的将带有重要约束条件的对象序列化的时候,使用该方法最容易
Redis 与 Java序列化问题:如何选择最佳方案?
AI开发架构师
06-27 354
在现代软件开发中,Redis 作为一款高性能的内存数据库,常与 Java 语言结合使用。而在 Java 与 Redis 交互过程中,序列化是一个关键环节。本文的目的就是深入探讨 Redis 与 Java序列化问题,分析各种序列化方案的优缺点,帮助开发者选择最适合自己项目的序列化方案。范围涵盖了常见的 Java 序列化方式,以及它们在 Redis 环境下的应用。本文将首先介绍核心概念,包括序列化、反序列化等,让读者对相关概念有清晰的认识。然后讲解核心算法原理和具体操作步骤,给出代码示例。
第90项:考虑用序列化代理代替序列化实例
Coloured_Glaze的博客
09-08 444
  正如第85项和第86项中提到以及本章中所讨论的,决定实现Serializable接口,会增加bug和出现安全问题的可能性,因为它导致实例要利用语言之外的机制来创建,而不是用普通的构造器。然而,有一种方法可以极大地减少这些风险。这种方法就是序列化代理模式(serialization proxy pattern)。   序列化代理模式相当简单。首先,为可序列化的类设计一个私有的静态嵌套类,精确地表...
【笔记90】考虑用序列化代理代替序列化实例
u013773608的博客
09-14 286
  决定实现 Serializable 接口,会增加出错和出现安全问题的可能性,因为它允许利用语言之外的机制来创建实例,而不是使用普通的构造器。然而,有一只方法可以极大的减少这些风险。就是序列化代理模式(seralization proxy pattern)。   序列化代理模式相当简单。首先,为可序列化的类设计一个私有的静态嵌套类,精确地表示外围类的逻辑状态。这个嵌套类被称为序列化代理(ser...
Effective Java之考虑用序列化代理代理序列化实例(七十八)
heihei
01-09 487
我们知道,实现了序列化的类。在反序列化时,实例的创建是由readObject方法来完成的。由于这是一个不同于构造函数的创建类实例的通道,因此在构造函数中的状态约束条件在readObjetc中也得一条不落下的实现。这很让人头大。 而且readObject的出现,让伪字节流攻击和内部域的盗用攻击成为可能。伪字节流攻击就是伪造一个字节流,通过readObject读取,内部域的盗用攻击是指用一个
跟我学(Effective Java 2)第78条:考虑用序列化代理代替序列化实例
Dullon_jiang的博客
06-21 303
第78条:考虑用序列化代理代替序列化实例 正如第74条中提到以及本章中所讨论的,决定实现Serializable,会增加出错和出现安全问题的可能性,因为它导致实例要利用语言之外的机制来创建,而不是用普通的构造器。然而,有一种方法可以极大地减少这些风险。这种方法就是序列化代理模式(serialization proxy pattern)。 序列化代理模式相当简单。首先,为可序列化的类设计一个私有的静...
Java 序列化代理模式
chenxuanhanhao的专栏
02-06 451
package effectivejava.chapter12.item90; import java.io.*; /** * https://blog.youkuaiyun.com/Lirx_Tech/article/details/51303966 * [疯狂Java]I/O:其它自定义序列化的方法(transient、writeReplace、readResolve、Externalizabl...
Effective-Java:Effective Java中文版第二版示例代码
07-09
Effective Java》是Java开发领域的经典著作,由Joshua Bloch撰写,中文版第二版更是深受广大Java开发者喜爱。...同时,书中还涵盖了其他很多话题,如序列化、注解、反射等,都是Java开发者不可或缺的知识。
effective-java:Intellij IDEA 的有效 Java 模式重构
07-03
1. **单例模式(Singleton)**:书中推荐使用枚举类型来实现单例,因为枚举天生线程安全且防止了反射和序列化带来的问题。在IntelliJ IDEA中,可以通过"Refactor" -> "Convert to Singleton using Enum"快速转换。 ...
带你快速看完9.8分神作《Effective Java》—— 序列化篇(所有RPC框架的基石)
如切如磋,如琢如磨
01-20 5808
???? Java学习:Java从入门到精通总结 ???? Spring系列推荐:Spring源码解析 ???? 最近更新:2021年12月16日 ???? 个人简介:通信工程本硕????、阿里新晋猿同学????。我的故事充满机遇、挑战与翻盘,欢迎关注作者来共饮一杯鸡汤 ???? 点赞 ???? 收藏 ⭐留言 ???? 都是我最大的动力! 豆瓣评分9.8的图书《Effective Java》,是当今世界顶尖高手Josh Bloch的著作,在我之前的文章里我也提到过,编程就像练武,既需要外在的武功招
Effective Java:Joshua Bloch 的编程精粹
8. **序列化**:控制序列化行为,了解序列化的影响,以及何时应该避免序列化。 9. **集合**:使用合适的集合实现,如列表、集、映射,以及如何优化集合操作。 10. **性能**:理解Java内存模型,优化代码执行效率,...
Java - 动态代理对象序列化
05-28 1097
Java - 动态代理对象序列化
Serializable:序列化代理
BlackCutter的博客
07-08 1005
序列化代理简单来说,A有序列化的需求,但是不直接序列化A,而是序列化一个A的代理对象B,我们可以将A的信息保存在B中,在反序列化时,再通过B得到A的信息,实例化一个A对象 为什么这么费劲呢?因为反序列化java机制之外的东西,不通过构造方法生成实例,这样有机会被入侵(具体说不上,就是有可能被黑的意思吧),采用序列化代理可以有效的避免通过反序列化来生成实例,所有的实例都通过构造函数来生成,这样就可
序列化代理模式
GoodIdea
04-13 589
Java序列化也带来了一些严重的误区,比如:类的结构无法大量改变,除非中断序列化处理,因此即便我们之后已经不需要某些变量了,我们也需要保留它们,仅仅是为了向后兼容。序列化会导致巨大的安全性危机,一个攻击者可以更改流的顺序,继而对系统造成伤害。举个例子,用户角色被序列化了,攻击者可以更改流的值为admin,再执行恶意代码。序列化代理模式是一种使序列化能达到极高安全性的方式,在这个模式下,一个内部的私...
Effective Java笔记-第11章:序列化
u012536353的专栏
07-30 495
概述: 1. 序列化的:将对象编码称为“字节流” 2. 反序列化:将“字节流”变成对象 3. 对象被序列化后:编码可以从一台虚拟机传递到另一台虚拟机,或者被存储在磁盘上[供以后反序列化的时候用][编码可以从一台虚拟机传递到另一台虚拟机?什么鬼?] 4. 序列化:  1. 为远程通信提供了标准的线路级对象表示方法  2. 为JavaBean组件提供了标准的持久化数据格式   [什么鬼?]
Effective Java读书笔记——第十一章 序列化
vanpersie_9987的博客
03-24 520
本文关注序列化API,他提供了一个框架,用来将对象编码城字节流,并从字节流编码中重新构建对象。将一个对象编码成一个字节流,成为将该对象序列化;反之称为反序列化。一旦对象被序列化后,它的编码就可以从一台正在运行的虚拟机被传递到另一太虚拟机上,或者被存储到硬盘上,供以后反序列化时用。本文第78条有意向特别提及的特新个,就是序列化代理模式,它可以帮助你避免对象序列化的许多缺陷。 第74条:谨慎
Serializable接口基本理解(3)--序列化代理的使用
DrifterJ's Stash
07-30 2477
Effective Java一书一直在强调,你的类实现Serializable接口前,一定要进行价值评估,是否值得这么做,尤其你的类是一个需要进行大量继承扩展的类。因为实现了Serializable接口,就会大大的增加出错和出现安全漏洞的可能性。蓄意攻击者可以通过伪造修改字节码的方式使你的代码出现安全漏洞!从一个角度看, readObject方法是一个参数为“字节流”的构造函数,因此篡改了字节流,
Java代理,注解
笔记别偷看
09-21 543
反射
冲床送料机程序中达优控一体机编程实践:成熟可靠,高借鉴价值,含详细注释 · 故障诊断 v2.0
最新发布
08-09
内容概要:本文介绍了在中达优控一体机上编写的冲床送料机程序,该程序已在实际设备上批量应用,证明了其成熟可靠性和高借鉴价值。文章首先概述了冲床送料机程序的重要性和应用场景,接着详细描述了程序的设计思路和技术细节,包括采用模块化设计、PID控制算法和详细的程序注释。最后,文章总结了该程序的实际应用效果及其对现代工业制造的支持作用。 适合人群:从事工业自动化控制领域的工程师和技术人员,尤其是那些需要编写或优化冲床送料机控制程序的专业人士。 使用场景及目标:①理解和掌握冲床送料机程序的编写方法;②学习如何利用中达优控一体机实现高精度的送料控制;③借鉴成熟的编程实践,提高自身编程水平和解决实际问题的能力。 阅读建议:本文不仅提供了具体的编程技术和实践经验,还包含了详细的注释和模块化设计思路,因此读者应在实践中逐步理解和应用这些内容,以便更好地提升自己的技术水平。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值