序列化/反序列化,我忍你很久了,淦!
点击上方“方志朋”,选择“设为星标”
回复”666“获取新整理的面试文章
工具人
上次不知道是哪个小伙伴留言说,关于对象 「序列化和反序列化」 这一块有点糊,能不能像之前梳理《枚举部分知识》一样整理一波。
巧了,我也正有此意。
收到了这个需求之后,我抽时间再次重新捧起了尘封已久的《Java编程思想》,把「序列化和反序列化」这块的知识点又重新审视了一遍。
曾几何时,我对于Java的序列化的认知一直停留在:「实现个Serializbale
接口」不就好了的状态,直到......
序列化是干啥用的?
序列化的原本意图是希望对一个Java对象作一下“变换”,变成字节序列,这样一来方便持久化存储到磁盘,避免程序运行结束后对象就从内存里消失,另外变换成字节序列也更便于网络运输和传播,所以概念上很好理解:
序列化:把Java对象转换为字节序列。
反序列化:把字节序列恢复为原先的Java对象。
而且序列化机制从某种意义上来说也弥补了平台化的一些差异,毕竟转换后的字节流可以在其他平台上进行反序列化来恢复对象。
事情就是那么个事情,看起来很简单,不过后面的东西还不少,请往下看。
对象如何序列化?
然而Java目前并没有一个关键字可以直接去定义一个所谓的“可持久化”对象。
对象的持久化和反持久化需要靠程序员在代码里手动显式地进行序列化和反序列化还原的动作。
举个例子,假如我们要对Student
类对象序列化到一个名为student.txt
的文本文件中,然后再通过文本文件反序列化成Student
类对象:
1、Student类定义
public class Student implements Serializable {private String name;private Integer age;private Integer score;@Overridepublic String toString() {return "Student:" + '\n' +"name = " + this.name + '\n' +"age = " + this.age + '\n' +"score = " + this.score + '\n';}// ... 其他省略 ...
}
2、序列化
public static void serialize( ) throws IOException {Student student = new Student();student.setName("CodeSheep");student.setAge( 18 );student.setScore( 1000 );ObjectOutputStream objectOutputStream = new ObjectOutputStream( new FileOutputStream( new File("student.txt") ) );objectOutputStream.writeObject( student );objectOutputStream.close();System.out.println("序列化成功!已经生成student.txt文件");System.out.println("==============================================");
}
3、反序列化
public static void deserialize( ) throws IOException, ClassNotFoundException {ObjectInputStream objectInputStream = new ObjectInputStream( new FileInputStream( new File("student.txt") ) );Student student = (Student) objectInputStream.readObject();objectInputStream.close();System.out.println("反序列化结果为:");System.out.println( student );
}
4、运行结果
控制台打印:
序列化成功!已经生成student.txt文件
==============================================
反序列化结果为:
Student:
name = CodeSheep
age = 18
score = 1000
Serializable接口有何用?
上面在定义Student
类时,实现了一个Serializable
接口,然而当我们点进Serializable
接口内部查看,发现它竟然是一个空接口,并没有包含任何方法!
试想,如果上面在定义Student
类时忘了加implements Serializable
时会发生什么呢?
实验结果是:此时的程序运行会报错,并抛出NotSerializableException
异常:
我们按照错误提示,由源码一直跟到ObjectOutputStream
的writeObject0()
方法底层一看,才恍然大悟:
如果一个对象既不是字符串、数组、枚举,而且也没有实现Serializable
接口的话,在序列化时就会抛出NotSerializableException
异常!
哦,我明白了!
原来Serializable
接口也仅仅只是做一个标记用!!!
它告诉代码只要是实现了Serializable
接口的类都是可以被序列化的!然而真正的序列化动作不需要靠它完成。
serialVersionUID
号有何用?
相信你一定经常看到有些类中定义了如下代码行,即定义了一个名为serialVersionUID
的字段:
private static final long serialVersionUID = -4392658638228508589L;
你知道这句声明的含义吗?为什么要搞一个名为serialVersionUID
的序列号?
继续来做一个简单实验,还拿上面的Student
类为例,我们并没有人为在里面显式地声明一个serialVersionUID
字段。
我们首先还是调用上面的serialize()
方法,将一个Student
对象序列化到本地磁盘上的student.txt
文件:
public static void serialize() throws IOException {Student student = new Student();student.setName("CodeSheep");student.setAge( 18 );student.setScore( 100 );ObjectOutputStream objectOutputStream = new ObjectOutputStream( new FileOutputStream( new File("student.txt") ) );objectOutputStream.writeObject( student );objectOutputStream.close();
}
接下来我们在Student
类里面动点手脚,比如在里面再增加一个名为studentID
的字段,表示学生学号:
这时候,我们拿刚才已经序列化到本地的student.txt
文件,还用如下代码进行反序列化,试图还原出刚才那个Student
对象:
public static void deserialize( ) throws IOException, ClassNotFoundException {ObjectInputStream objectInputStream = new ObjectInputStream( new FileInputStream( new File("student.txt") ) );Student student = (Student) objectInputStream.readObject();objectInputStream.close();System.out.println("反序列化结果为:");System.out.println( student );
}
运行发现报错了,并且抛出了InvalidClassException
异常:
这地方提示的信息非常明确了:序列化前后的serialVersionUID
号码不兼容!
从这地方最起码可以得出两个重要信息:
1、serialVersionUID是序列化前后的唯一标识符
2、默认如果没有人为显式定义过
serialVersionUID
,那编译器会为它自动声明一个!
第1个问题: serialVersionUID
序列化ID,可以看成是序列化和反序列化过程中的“暗号”,在反序列化时,JVM会把字节流中的序列号ID和被序列化类中的序列号ID做比对,只有两者一致,才能重新反序列化,否则就会报异常来终止反序列化的过程。
第2个问题: 如果在定义一个可序列化的类时,没有人为显式地给它定义一个serialVersionUID
的话,则Java运行时环境会根据该类的各方面信息自动地为它生成一个默认的serialVersionUID
,一旦像上面一样更改了类的结构或者信息,则类的serialVersionUID
也会跟着变化!
所以,为了serialVersionUID
的确定性,写代码时还是建议,凡是implements Serializable
的类,都最好人为显式地为它声明一个serialVersionUID
明确值!
当然,如果不想手动赋值,你也可以借助IDE的自动添加功能,比如我使用的IntelliJ IDEA
,按alt + enter
就可以为类自动生成和添加serialVersionUID
字段,十分方便:
两种特殊情况
1、凡是被
static
修饰的字段是不会被序列化的2、凡是被
transient
修饰符修饰的字段也是不会被序列化的
对于第一点,因为序列化保存的是对象的状态而非类的状态,所以会忽略static
静态域也是理所应当的。
对于第二点,就需要了解一下transient
修饰符的作用了。
如果在序列化某个类的对象时,就是不希望某个字段被序列化(比如这个字段存放的是隐私值,如:密码
等),那这时就可以用transient
修饰符来修饰该字段。
比如在之前定义的Student
类中,加入一个密码字段,但是不希望序列化到txt
文本,则可以:
这样在序列化Student
类对象时,password
字段会设置为默认值null
,这一点可以从反序列化所得到的结果来看出:
序列化的受控和加强
约束性加持
从上面的过程可以看出,序列化和反序列化的过程其实是有漏洞的,因为从序列化到反序列化是有中间过程的,如果被别人拿到了中间字节流,然后加以伪造或者篡改,那反序列化出来的对象就会有一定风险了。
毕竟反序列化也相当于一种 “隐式的”对象构造 ,因此我们希望在反序列化时,进行受控的对象反序列化动作。
那怎么个受控法呢?
答案就是: 自行编写readObject()
函数,用于对象的反序列化构造,从而提供约束性。
既然自行编写readObject()
函数,那就可以做很多可控的事情:比如各种判断工作。
还以上面的Student
类为例,一般来说学生的成绩应该在0 ~ 100
之间,我们为了防止学生的考试成绩在反序列化时被别人篡改成一个奇葩值,我们可以自行编写readObject()
函数用于反序列化的控制:
private void readObject( ObjectInputStream objectInputStream ) throws IOException, ClassNotFoundException {// 调用默认的反序列化函数objectInputStream.defaultReadObject();// 手工检查反序列化后学生成绩的有效性,若发现有问题,即终止操作!if( 0 > score || 100 < score ) {throw new IllegalArgumentException("学生分数只能在0到100之间!");}
}
比如我故意将学生的分数改为101
,此时反序列化立马终止并且报错:
对于上面的代码,有些小伙伴可能会好奇,为什么自定义的private
的readObject()
方法可以被自动调用,这就需要你跟一下底层源码来一探究竟了,我帮你跟到了ObjectStreamClass
类的最底层,看到这里我相信你一定恍然大悟:
又是反射机制在起作用!是的,在Java里,果然万物皆可“反射”(滑稽),即使是类中定义的private
私有方法,也能被抠出来执行了,简直引起舒适了。
单例模式增强
一个容易被忽略的问题是:可序列化的单例类有可能并不单例!
举个代码小例子就清楚了。
比如这里我们先用java
写一个常见的「静态内部类」方式的单例模式实现:
public class Singleton implements Serializable {private static final long serialVersionUID = -1576643344804979563L;private Singleton() {}private static class SingletonHolder {private static final Singleton singleton = new Singleton();}public static synchronized Singleton getSingleton() {return SingletonHolder.singleton;}
}
然后写一个验证主函数:
public class Test2 {public static void main(String[] args) throws IOException, ClassNotFoundException {ObjectOutputStream objectOutputStream =new ObjectOutputStream(new FileOutputStream( new File("singleton.txt") ));// 将单例对象先序列化到文本文件singleton.txt中objectOutputStream.writeObject( Singleton.getSingleton() );objectOutputStream.close();ObjectInputStream objectInputStream =new ObjectInputStream(new FileInputStream( new File("singleton.txt") ));// 将文本文件singleton.txt中的对象反序列化为singleton1Singleton singleton1 = (Singleton) objectInputStream.readObject();objectInputStream.close();Singleton singleton2 = Singleton.getSingleton();// 运行结果竟打印 false !System.out.println( singleton1 == singleton2 );}}
运行后我们发现:反序列化后的单例对象和原单例对象并不相等了,这无疑没有达到我们的目标。
解决办法是:在单例类中手写readResolve()
函数,直接返回单例对象,来规避之:
private Object readResolve() {return SingletonHolder.singleton;
}
这样一来,当反序列化从流中读取对象时,readResolve()
会被调用,用其中返回的对象替代反序列化新建的对象。
没想到
本以为这篇会很快写完,结果又扯出了这么多东西,不过这样一梳理、一串联,感觉还是清晰了不少。
就这样吧,下篇见。
热门内容:知乎千万级高性能长连接网关是如何搭建的
读写分离很难吗?SpringBoot结合aop简单就实现了设计一个成功的微服务,堪称必备的9个基础知识Spring Boot“内存泄漏”?看看美团大牛是如何排查的十分钟学会使用 Elasticsearch 优雅搭建自己的搜索系统(附源码)
干掉cms,zgc才是未来Elasticsearch 在各大互联网公司大量真实的应用案例!最近面试BAT,整理一份面试资料《Java面试BAT通关手册》,覆盖了Java核心技术、JVM、Java并发、SSM、微服务、数据库、数据结构等等。
获取方式:点“在看”,关注公众号并回复 666 领取,更多内容陆续奉上。
明天见(。・ω・。)ノ♡
序列化/反序列化,我忍你很久了,淦!相关推荐
- 序列化/反序列化,我忍你很久了
本文 Github开源项目:github.com/hansonwang99/JavaCollection 中已收录,有详细自学编程学习路线.面试题和面经.编程资料及系列技术文章等,资源持续更新中- 工 ...
- redis哨兵模式原理_Redis哨兵原理,我忍你很久了
[51CTO.com原创稿件]Redis 主从复制的作用中有这么一句话"主从复制是高可用的基石",那什么是高可用呢?高可用就是减少系统不能提供的时间,也就是常听到的以 6 个 9 ...
- 那些忍了很久的话——人工智能盲目跟风该休了
在知乎有段时间了,一直以来,都专注于中文编程相关技术,不愿对其他技术进行指摘. 但现在时局动荡,有些话,现在不说,不知还有没有机会说了. (背景介绍:我 2008 年来美国之前,对人工智能有着巨大的憧 ...
- 美团取消支付宝支付,王兴忍支付宝很久了?
王兴也曾非常希望可以同时得到腾讯和阿里的支持,但没有达成.此后,王兴逐渐走到了阿里的对立面. 文丨猎云网 ID:ilieyun 作者丨苏舒 昨天,关于"美团下线支付宝"的消息,引发 ...
- 互联网黑话,我忍你很久了!
我相信有很多人跟我一样,最开始听到什么 OC.JD.RD.Package.HC.RD.QA 之类的缩写和一些莫名其妙的黑话的时候都一脸懵逼,啥意思啊这是? 后来随着自己秋招.毕业.参加工作后,也慢慢地 ...
- 序列化反序列化api(入门级)
定义: java序列化是指把Java对象转换为字节序列的过程:而Java反序列化是指把字节序列恢复为Java对象的过程. 为什么字符串通常也会进行序列化? 对象需要进行序列化的原因:保证对象的状态不变 ...
- Java 序列化反序列化框架比较
文章目录 一.简介 二.序列化框架 1.JDK 2.XML序列化 3.JSON序列化 4.Hessian 5.Avro序列化 6.Kyro序列化 7.Protostuff 三.序列化框架对比测试 1. ...
- 高效的序列化/反序列化数据方式 Protobuf
高效的序列化/反序列化数据方式 Protobuf github地址 目录 protocolBuffers 序列化 Int32 String Map slice 序列化小结 protocolBuffer ...
- 一个更好的C++序列化/反序列化库Kapok
1.Kapok的特点 简单,易用,header-only,只需要引用Kapok.hpp即可:高效,初步测试性和messagepack相当. 它是纯c++11实现,因此需要支持C++11的编译器. 2. ...
最新文章
- 多协议标签交换(MPLS)技术的潜在弱点—Vecloud
- java servlet 请求_java servlet请求数据
- 一只紧握笔的手:地震中的感人图片之二
- .NET平台开源项目速览-最快的对象映射组件Tiny Mapper之项目实践
- JSON用于多态Java对象序列化
- cas单点登录系统:客户端(client)详细配置(包含统一单点注销配置)
- SQL点滴9—使用with语句来写一个稍微复杂sql语句
- PHP二维码在线制作生成系统源码 无需数据库 带logo图标
- 安装ie9提示未能完成安装_Windows 7下安装IE 11失败,提示:Internet Explorer未能完成安装...
- JSP获取浏览者真实IP地址方法
- linux驱动怎么判断定时器正在运行,Linux设备驱动编程之定时器
- 方法代码ASP.NET MVC如何使用Ajax的辅助方法
- Java 封装、继承、多态的理解
- FPGA 38译码器
- 增强 扫描王 源码_camscanner(扫描全能王)功能解析与复现 - 页面增强
- 多图体验:最强大的Win8.1开始菜单Classic Shell 3.9.1
- Java 从word中提取文字信息(开发笔记)
- mumu模拟器显示服务器出错,用mumu模拟器显示错误代码
- 跳槽字节跳动,从新手到Flutter架构师,一篇就够!深度好文
- 《程序员》7月刊推荐:社交网数据库技术分析