序列化和反序列化的详解
一、基本概念
1、序列化和反序列化的定义:
(1)Java序列化就是指把Java对象转换为字节序列的过程
Java反序列化就是指把字节序列恢复为Java对象的过程。
(2)序列化最重要的作用:在传递和保存对象时.保证对象的完整性和可传递性。对象转换为有序字节流,以便在网络上传输或者保存在本地文件中。
反序列化的最重要的作用:根据字节流中保存的对象状态及描述信息,通过反序列化重建对象。
总结:核心作用就是对象状态的保存和重建。(整个过程核心点就是字节流中所保存的对象状态及描述信息)
2、json/xml的数据传递:
在数据传输(也可称为网络传输)前,先通过序列化工具类将Java对象序列化为json/xml文件。
在数据传输(也可称为网络传输)后,再将json/xml文件反序列化为对应语言的对象
3、序列化优点:
①将对象转为字节流存储到硬盘上,当JVM停机的话,字节流还会在硬盘上默默等待,等待下一次JVM的启动,把序列化的对象,通过反序列化为原来的对象,并且序列化的二进制序列能够减少存储空间(永久性保存对象)。
②序列化成字节流形式的对象可以进行网络传输(二进制形式),方便了网络传输。
③通过序列化可以在进程间传递对象。
4、序列化算法需要做的事:
① 将对象实例相关的类元数据输出。
② 递归地输出类的超类描述直到不再有超类。
③ 类元数据输出完毕后,从最顶端的超类开始输出对象实例的实际数据值。
④ 从上至下递归输出实例的数据。
二、Java实现序列化和反序列化的过程
1、实现序列化的必备要求:
只有实现了Serializable或者Externalizable接口的类的对象才能被序列化为字节序列。(不是则会抛出异常)
2、JDK中序列化和反序列化的API:
①java.io.ObjectInputStream:对象输入流。
该类的readObject()方法从输入流中读取字节序列,然后将字节序列反序列化为一个对象并返回。
②java.io.ObjectOutputStream:对象输出流。
该类的writeObject(Object obj)方法将将传入的obj对象进行序列化,把得到的字节序列写入到目标输出流中进行输出。
3、实现序列化和反序列化的三种实现:
①若Student类仅仅实现了Serializable接口,则可以按照以下方式进行序列化和反序列化。
ObjectOutputStream采用默认的序列化方式,对Student对象的非transient的实例变量进行序列化。
ObjcetInputStream采用默认的反序列化方式,对Student对象的非transient的实例变量进行反序列化。
②若Student类仅仅实现了Serializable接口,并且还定义了readObject(ObjectInputStream in)和writeObject(ObjectOutputSteam out),则采用以下方式进行序列化与反序列化。
ObjectOutputStream调用Student对象的writeObject(ObjectOutputStream out)的方法进行序列化。
ObjectInputStream会调用Student对象的readObject(ObjectInputStream in)的方法进行反序列化。
③若Student类实现了Externalnalizable接口,且Student类必须实现readExternal(ObjectInput in)和writeExternal(ObjectOutput out)方法,则按照以下方式进行序列化与反序列化。
ObjectOutputStream调用Student对象的writeExternal(ObjectOutput out))的方法进行序列化。
ObjectInputStream会调用Student对象的readExternal(ObjectInput in)的方法进行反序列化。
4、序列化和反序列化代码示例
public class SerializableTest {public static void main(String[] args) throws IOException, ClassNotFoundException {//序列化FileOutputStream fos = new FileOutputStream("object.out");ObjectOutputStream oos = new ObjectOutputStream(fos);Student student1 = new Student("lihao", "wjwlh", "21");oos.writeObject(student1);oos.flush();oos.close();//反序列化FileInputStream fis = new FileInputStream("object.out");ObjectInputStream ois = new ObjectInputStream(fis);Student student2 = (Student) ois.readObject();System.out.println(student2.getUserName()+ " " +student2.getPassword() + " " + student2.getYear());}}
public class Student implements Serializable{ private static final long serialVersionUID = -6060343040263809614L; private String userName; private String password; private String year; public String getUserName() { return userName; } public String getPassword() { return password; } public void setUserName(String userName) { this.userName = userName; } public void setPassword(String password) { this.password = password; } public String getYear() { return year; } public void setYear(String year) { this.year = year; } public Student(String userName, String password, String year) { this.userName = userName; this.password = password; this.year = year; }
} ①序列化图示
②反序列化图示
三、序列化和反序列化的注意点:
①序列化时,只对对象的状态进行保存,而不管对象的方法;
②当一个父类实现序列化,子类自动实现序列化,不需要显式实现Serializable接口;
③当一个对象的实例变量引用其他对象,序列化该对象时也把引用对象进行序列化;
④并非所有的对象都可以序列化,至于为什么不可以,有很多原因了,比如:
安全方面的原因,比如一个对象拥有private,public等field,对于一个要传输的对象,比如写到文件,或者进行RMI传输等等,在序列化进行传输的过程中,这个对象的private等域是不受保护的;
资源分配方面的原因,比如socket,thread类,如果可以序列化,进行传输或者保存,也无法对他们进行重新的资源分配,而且,也是没有必要这样实现;
⑤声明为static和transient类型的成员数据不能被序列化。因为static代表类的状态,transient代表对象的临时数据。
⑥序列化运行时使用一个称为 serialVersionUID 的版本号与每个可序列化类相关联,该序列号在反序列化过程中用于验证序列化对象的发送者和接收者是否为该对象加载了与序列化兼容的类。为它赋予明确的值。显式地定义serialVersionUID有两种用途:
在某些场合,希望类的不同版本对序列化兼容,因此需要确保类的不同版本具有相同的serialVersionUID;
在某些场合,不希望类的不同版本对序列化兼容,因此需要确保类的不同版本具有不同的serialVersionUID。
⑦Java有很多基础类已经实现了serializable接口,比如String,Vector等。但是也有一些没有实现serializable接口的;
⑧如果一个对象的成员变量是一个对象,那么这个对象的数据成员也会被保存!这是能用序列化解决深拷贝的重要原因;
注意:浅拷贝请使用Clone接口的原型模式。
序列化和反序列化的详解相关推荐
- php 反序列化漏洞,PHP反序列化漏洞详解
最近和小伙伴们一起研究了下PHP反序列化漏洞,突发奇想,利用反序列化漏洞写一个一句话木马效果应该蛮不错的.本文主要和大家分享PHP反序列化漏洞详解,希望能帮助到大家. 0x01 PHP反序 说起PHP ...
- java反序列化漏洞 poc_Java反序列化漏洞详解
Java反序列化漏洞从爆出到现在快2个月了,已有白帽子实现了jenkins,weblogic,jboss等的代码执行利用工具.本文对于Java反序列化的漏洞简述后,并对于Java反序列化的Poc进行详 ...
- Fastjson反序列化漏洞详解
一.什么是序列化/序列化? 序列化主要使用场景: 持久化内存数据 网络传输对象 远程方法调用(RMI) 二.什么是Fastjson? fastjson介绍:fastjson 是一个java语言编写的高 ...
- log4j反序列化漏洞详解及利用
一.知识点分析 1.什么是log4j?与log4j2关系? log4j是apache著名的开源日志框架,log4j是log4j2的前身. 2.JNDI是什么? JNDI是Java Naming ...
- 【重难点】【Java基础 04】值传递和引用传递、序列化和反序列化
[重难点][Java基础 04]值传递和引用传递.序列化和反序列化 文章目录 [重难点][Java基础 04]值传递和引用传递.序列化和反序列化 一.值传递和引用传递 1.对比 二.序列化 1.基本概 ...
- C# XML 序列化 及 反序列化
百科:序列化 (Serialization)将对象的状态信息转换为可以存储或传输的形式的过程.在序列化期间,对象将其当前状态写入到临时或持久性存储区.以后,可以通过从存储区中读取或反序列化对象的状态, ...
- 【反序列化漏洞01】序列化与反序列化简介
目录 1 背景 2 定义 3 作用及优点 4 例子:测试php代码中序列化与反序列化执行过程 4.1 测试环境 4.2 测试序列化过程 4.3 测试反序列化过程 5 例子:SessionID在php中 ...
- 乐学python_铁乐学python_shelve模块详解
python序列化模块-shelve模块详解 shelve:vt. 将(书等)放置在架子上:搁置,将某事放到一旁不予考虑:将-搁在一边:装搁架于: 个人感觉有点像字典缓存?暂时搁置到一旁的意思? 研究 ...
- 铁乐学python-shelve模块详解
python序列化模块-shelve模块详解 shelve:vt. 将(书等)放置在架子上:搁置,将某事放到一旁不予考虑:将-搁在一边:装搁架于: 个人感觉有点像字典缓存?暂时搁置到一旁的意思? 研究 ...
最新文章
- Mysql5.7使用注意事项随笔
- 飞象求职学python_用Python制作markdown编辑器
- 影子卫士和影子系统哪个好用_门店管理营销系统哪个好用,营销系统排名
- mysql8集群的优点_介绍 MySQL 8 中值得关注的新特性和改进。
- 【深度学习】最新「深度学习社区发现」综述论文,174篇文献概述六大类方法(含Github资源)...
- 模拟一次CSRF(跨站请求伪造)例子,适合新手
- 安卓动态调试七种武器之离别钩 – Hooking(下)
- anaconda新建python文件_PyCharm+cmd中使用Anaconda 与 新建Python环境(Windows)
- OSPF系列小实验之6:网络类型对邻居关系及路由学习的影响
- 前后端怎么连接_如何搭建前后端分离的测试平台
- 人工智能和机器学习的前五门课程
- Wonderware-InTouch 报表查询SQL数据库,用表格控件做出的报表图例
- Devexpress ASP.NET最新版开发.NET环境配置Visual Studo和SQL Server对应版本
- linux图片处理软件,Ubuntu 下图像处理软件汇总
- 分治法求最大值c语言思想,整数的除法 分治思想 求最大子向量和
- 网页代码优化html标签,通过优化网页HTML代码提高网页访问速度
- 【微信小程序】农历公历互相转换
- MySQL复制表结构表数据
- Linux/Openwrt路由安装配置UPNP服务提高迅雷下载速度
- 该卸载PhotoShop了!MIT用AI实现3分钟自动抠图,精细到头发丝