什么是序列化尊残？

內(nèi)存中的數(shù)據(jù)對(duì)象只有轉(zhuǎn)換為二進(jìn)制流才可以進(jìn)行數(shù)據(jù)持久化和網(wǎng)絡(luò)傳輸炒瘸。將數(shù)據(jù)對(duì)象轉(zhuǎn)換為二進(jìn)制流的過(guò)程稱為對(duì)象的序列化（Serialization）。反之夜郁，將二進(jìn)制流恢復(fù)為數(shù)據(jù)對(duì)象的過(guò)程稱為反序列化（Deserialization）什燕。序列化需要保留充分的信息以恢復(fù)數(shù)據(jù)對(duì)象，但是為了節(jié)約存儲(chǔ)空間和網(wǎng)絡(luò)帶寬竞端，序列化后的二進(jìn)制流又要盡可能小屎即。序列化常見(jiàn)的使用場(chǎng)景是RPC框架的數(shù)據(jù)傳輸。常見(jiàn)的序列化方式有三種：

1.Java原生序列化

Java類通過(guò)實(shí)現(xiàn)Serializable接口來(lái)實(shí)現(xiàn)該類對(duì)象的序列化事富，這個(gè)接口非常特殊技俐，沒(méi)有任何方法，只起標(biāo)識(shí)作用.Java序列化保留了對(duì)象類的元數(shù)據(jù)（如類统台、成員變量雕擂、繼承類信息等），以及對(duì)象數(shù)據(jù)等贱勃，兼容性最好井赌，但不支持跨語(yǔ)言，而且性能一般贵扰。

實(shí)現(xiàn)Serializable接口的類建議設(shè)置serialVersionUID字段值仇穗，如果不設(shè)置，那么每次運(yùn)行時(shí)戚绕，編譯器會(huì)根據(jù)類的內(nèi)部實(shí)現(xiàn)纹坐，包括類名、接口名舞丛、方法和屬性等來(lái)自動(dòng)生成serialVersionUID耘子。如果類的源代碼有修改，那么重新編譯后serial VersionUID的取值可能會(huì)發(fā)生變化球切。因此實(shí)現(xiàn)Serializable接口的類一定要顯式地定義serialVersionUID屬性值谷誓。修改類時(shí)需要根據(jù)兼容性決定是否修改serialVersionUID值：
1.如果是兼容升級(jí)，請(qǐng)不要修改serialVersionUID字段吨凑，避免反序列化失敗片林。

2.如果是不兼容升級(jí)，需要修改serialVersionUID值怀骤，避免反序列化混亂。

使用Java原生序列化需注意焕妙，Java反序列化時(shí)不會(huì)調(diào)用類的無(wú)參構(gòu)造方法蒋伦，而是調(diào)用native方法將成員變量賦值為對(duì)應(yīng)類型的初始值》偃担基于性能及兼容性考慮痕届，不推薦使用Java 原生序列化韧献。

Java原生序列化

2.Hessian 序列化

Hessian 序列化是一種支持動(dòng)態(tài)類型、跨語(yǔ)言研叫、基于對(duì)象
傳輸?shù)木W(wǎng)絡(luò)協(xié)議锤窑。 Java 對(duì)象序列化的二進(jìn)制流可以被其他語(yǔ)言 （ 如 C＋＋、 Python ）反
序列化嚷炉。 Hessian 協(xié)議具有如下特性．
自描述序列化類型渊啰。不依賴外部描述文件或接口定義 ， 用一個(gè)字節(jié)表示常用
基礎(chǔ)類型 申屹， 極大縮短二進(jìn)制流绘证。
· 語(yǔ)言無(wú)關(guān)，支持腳本語(yǔ)言哗讥。
· 協(xié)議簡(jiǎn)單嚷那，比 Java 原生序列化高效。
相比 Hessian 1.0, Hessian 2.0 中增加了壓縮編碼杆煞，其序列化二進(jìn)制流大小是 Java
序列化的 50% 魏宽， 序列化耗時(shí)是 Java 序列化的 30% ，反序列化耗時(shí)是 Java 反序列化的
20% 决乎。
Hessian 會(huì)把復(fù)雜對(duì)象所有屬性存儲(chǔ)在一個(gè) Map 申 進(jìn)行序列化队询。所以在父類、子
類存在同名成員變量的情況下瑞驱， Hessian 序列化時(shí)娘摔，先序列化子類 ，然后序列化父類唤反，
因此反序列化結(jié)果會(huì)導(dǎo)致子類同名成員變量被父類的值覆蓋凳寺。

阿里首選的序列化方式

3.Json序列化

JSON ( JavaScript O同ect Notation ）是一種輕量級(jí)的數(shù)據(jù)交
換格式。 JSON 序列化就是將數(shù)據(jù)對(duì)象轉(zhuǎn)換為 JSON 字符串彤侍。在序列化過(guò)程中拋棄了
類型信息肠缨，所以反序列化時(shí)只有提供類型信息才能準(zhǔn)確地反序列化。相比前兩種方式盏阶，
JSON 可讀性比較好晒奕，方便調(diào)試。
序列化通常會(huì)通過(guò)網(wǎng)絡(luò)傳輸對(duì)象 名斟， 而對(duì)象中往往有敏感數(shù)據(jù)脑慧，所以序列化常常
成為黑客的攻擊點(diǎn)，攻擊者巧妙地利用反序列化過(guò)程構(gòu)造惡意代碼砰盐，使得程序在反序
列化的過(guò)程中執(zhí)行任意代碼闷袒。 Java 工程中廣泛使用的 Apache Commons Collections 、
Jackson 岩梳、 fastjson 等都出現(xiàn)過(guò)反序列化漏洞囊骤。如何防范這種黑客攻擊呢晃择？有些對(duì)象的
敏感屬性不需要進(jìn)行序列化傳輸 ，可以加 transient 關(guān)鍵字也物，避免把此屬性信息轉(zhuǎn)化為
序列化的二進(jìn)制流宫屠。如果一定要傳遞對(duì)象的敏感屬性，可以使用對(duì)稱與非對(duì)稱加密方
式獨(dú)立傳輸滑蚯，再使用某個(gè)方法把屬性還原到對(duì)象中浪蹂。應(yīng)用開(kāi)發(fā)者對(duì)序列化要有一定的
安全防范意識(shí) ， 對(duì)傳入數(shù)據(jù)的內(nèi)容進(jìn)行校驗(yàn)或權(quán)限控制膘魄，及時(shí)更新安全漏洞乌逐，避免受
到攻擊。