本文專(zhuān)門(mén)揭示關(guān)于 Java 平臺(tái)的一些有用的小知識(shí) — 這些小知識(shí)不易理解,但對(duì)于解決 Java 編程挑戰(zhàn)遲早有用蝶涩。
將 Java 對(duì)象序列化 API 作為開(kāi)端是一個(gè)不錯(cuò)的選擇理朋,因?yàn)樗鼜囊婚_(kāi)始就存在于 JDK 1.1 中。本文介紹的關(guān)于序列化的 5 件事情將說(shuō)服您重新審視那些標(biāo)準(zhǔn) Java API绿聘。
Java?序列化簡(jiǎn)介
Java?對(duì)象序列化是?JDK?1.1?中引入的一組開(kāi)創(chuàng)性特性之一嗽上,用于作為一種將?Java?對(duì)象的狀態(tài)轉(zhuǎn)換為字節(jié)數(shù)組,以便存儲(chǔ)或傳輸?shù)臋C(jī)制熄攘,以后兽愤,仍可以將字節(jié)數(shù)組轉(zhuǎn)換回?Java?對(duì)象原有的狀態(tài)。
實(shí)際上挪圾,序列化的思想是?“凍結(jié)”?對(duì)象狀態(tài)浅萧,傳輸對(duì)象狀態(tài)(寫(xiě)到磁盤(pán)、通過(guò)網(wǎng)絡(luò)傳輸?shù)鹊龋┱芩迹缓?“解凍”?狀態(tài)洼畅,重新獲得可用的?Java?對(duì)象。
那么也殖,這里就要?dú)w功于 ObjectlnputStream / ObjectOutputStream 類(lèi)土思、完全保真的元數(shù)據(jù)以及程序員愿意用Serializable標(biāo)識(shí)接口標(biāo)記他們的類(lèi)仗颈,從而 “參與” 這個(gè)過(guò)程哭廉。
清單1 顯示一個(gè)實(shí)現(xiàn)Serializable的Person類(lèi)鸵隧。
package com.tedneward;
public class Person
? ? implements java.io.Serializable
{
? ? public Person(String fn, String ln, int a)
? ? {
? ? ? ? this.firstName = fn; this.lastName = ln; this.age = a;
? ? }
? ? public String getFirstName() { return firstName; }
? ? public String getLastName() { return lastName; }
? ? public int getAge() { return age; }
? ? public Person getSpouse() { return spouse; }
? ? public void setFirstName(String value) { firstName = value; }
? ? public void setLastName(String value) { lastName = value; }
? ? public void setAge(int value) { age = value; }
? ? public void setSpouse(Person value) { spouse = value; }
? ? public String toString()
? ? {
? ? ? ? return "[Person: firstName=" + firstName +?
? ? ? ? ? ? " lastName=" + lastName +
? ? ? ? ? ? " age=" + age +
? ? ? ? ? ? " spouse=" + spouse.getFirstName() +
? ? ? ? ? ? "]";
? ? }? ??
? ? private String firstName;
? ? private String lastName;
? ? private int age;
? ? private Person spouse;
}
將 Person 序列化后缤骨,很容易將對(duì)象狀態(tài)寫(xiě)到磁盤(pán)列林,然后重新讀出它栓撞,下面的 JUnit 4 單元測(cè)試對(duì)此做了演示昵时。
清單2 對(duì) Person 進(jìn)行反序列化
public class SerTest
{
? ? @Test public void serializeToDisk()
? ? {
? ? ? ? try
? ? ? ? {
? ? ? ? ? ? com.tedneward.Person ted = new com.tedneward.Person("Ted", "Neward", 39);
? ? ? ? ? ? com.tedneward.Person charl = new com.tedneward.Person("Charlotte",
? ? ? ? ? ? ? ? "Neward", 38);
? ? ? ? ? ? ted.setSpouse(charl); charl.setSpouse(ted);
? ? ? ? ? ? FileOutputStream fos = new FileOutputStream("tempdata.ser");
? ? ? ? ? ? ObjectOutputStream oos = new ObjectOutputStream(fos);
? ? ? ? ? ? oos.writeObject(ted);
? ? ? ? ? ? oos.close();
? ? ? ? }
? ? ? ? catch (Exception ex)
? ? ? ? {
? ? ? ? ? ? fail("Exception thrown during test: " + ex.toString());
? ? ? ? }
? ? ? ? try
? ? ? ? {
? ? ? ? ? ? FileInputStream fis = new FileInputStream("tempdata.ser");
? ? ? ? ? ? ObjectInputStream ois = new ObjectInputStream(fis);
? ? ? ? ? ? com.tedneward.Person ted = (com.tedneward.Person) ois.readObject();
? ? ? ? ? ? ois.close();
? ? ? ? ? ? assertEquals(ted.getFirstName()尊搬, "Ted");
? ? ? ? ? ? assertEquals(ted.getSpouse().getFirstName()绩卤, "Charlotte");
? ? ? ? ? ? // Clean up the file
? ? ? ? ? ? new File("tempdata.ser").delete();
? ? ? ? }
? ? ? ? catch (Exception ex)
? ? ? ? {
? ? ? ? ? ? fail("Exception thrown during test: " + ex.toString());
? ? ? ? }
? ? }
}
到現(xiàn)在為止途样,還沒(méi)有看到什么新鮮的或令人興奮的事情,但是這是一個(gè)很好的出發(fā)點(diǎn)濒憋。我們將使用 Person 來(lái)發(fā)現(xiàn)您可能不 知道的關(guān)于 Java 對(duì)象序列化 的 5 件事何暇。
序列化允許重構(gòu)
序列化允許一定數(shù)量的類(lèi)變種,甚至重構(gòu)之后也是如此凛驮,ObjectInputStream 仍可以很好地將其讀出來(lái)裆站。
Java Object Serialization 規(guī)范可以自動(dòng)管理的關(guān)鍵任務(wù)是:
將新字段添加到類(lèi)中
將字段從 static 改為非 static
將字段從 transient 改為非 transient
取決于所需的向后兼容程度,轉(zhuǎn)換字段形式(從非 static 轉(zhuǎn)換為 static 或從非 transient 轉(zhuǎn)換為 transient)或者刪除字段需要額外的消息傳遞。
重構(gòu)序列化類(lèi)
既然已經(jīng)知道序列化允許重構(gòu)宏胯,我們來(lái)看看當(dāng)把新字段添加到 Person 類(lèi)中時(shí)羽嫡,會(huì)發(fā)生什么事情。
如清單3所示肩袍,PersonV2 在原先 Person 類(lèi)的基礎(chǔ)上引入一個(gè)表示性別的新字段杭棵。
清單3 將新字段添加到序列化的 Person 中
enum Gender
{
? ? MALE, FEMALE
}
public class Person
? ? implements java.io.Serializable
{
? ? public Person(String fn, String ln, int a, Gender g)
? ? {
? ? ? ? this.firstName = fn; this.lastName = ln; this.age = a; this.gender = g;
? ? }
? ? public String getFirstName() { return firstName; }
? ? public String getLastName() { return lastName; }
? ? public Gender getGender() { return gender; }
? ? public int getAge() { return age; }
? ? public Person getSpouse() { return spouse; }
? ? public void setFirstName(String value) { firstName = value; }
? ? public void setLastName(String value) { lastName = value; }
? ? public void setGender(Gender value) { gender = value; }
? ? public void setAge(int value) { age = value; }
? ? public void setSpouse(Person value) { spouse = value; }
? ? public String toString()
? ? {
? ? ? ? return "[Person: firstName=" + firstName +?
? ? ? ? ? ? " lastName=" + lastName +
? ? ? ? ? ? " gender=" + gender +
? ? ? ? ? ? " age=" + age +
? ? ? ? ? ? " spouse=" + spouse.getFirstName() +
? ? ? ? ? ? "]";
? ? }? ??
? ? private String firstName;
? ? private String lastName;
? ? private int age;
? ? private Person spouse;
? ? private Gender gender;
}
序列化使用一個(gè) hash,該 hash 是根據(jù)給定源文件中幾乎所有東西 — 方法名稱(chēng)氛赐、字段名稱(chēng)魂爪、字段類(lèi)型、訪(fǎng)問(wèn)修改方法等 — 計(jì)算出來(lái)的艰管,序列化將該 hash 值與序列化流中的 hash 值相比較甫窟。
為了使 Java 運(yùn)行時(shí)相信兩種類(lèi)型實(shí)際上是一樣的,第二版和隨后版本的 Person 必須與第一版有相同的序列化版本 hash(存儲(chǔ)為 private static final serialVersionUID 字段)蛙婴。
因此粗井,我們需要 serialVersionUID 字段,它是通過(guò)對(duì)原始(或 V1)版本的 Person 類(lèi)運(yùn)行 JDK serialver 命令計(jì)算出的街图。
一旦有了 Person 的 serialVersionUID浇衬,不僅可以從原始對(duì)象 Person 的序列化數(shù)據(jù)創(chuàng)建 PersonV2 對(duì)象(當(dāng)出現(xiàn)新字段時(shí),新字段被設(shè)為缺省值餐济,最常見(jiàn)的是“null”)耘擂,還可以反過(guò)來(lái)做:即從 PersonV2 的數(shù)據(jù)通過(guò)反序列化得到 Person,這毫不奇怪絮姆。
序列化并不安全
讓 Java 開(kāi)發(fā)人員詫異并感到不快的是醉冤,序列化二進(jìn)制格式完全編寫(xiě)在文檔中,并且完全可逆篙悯。
實(shí)際上蚁阳,只需將二進(jìn)制序列化流的內(nèi)容轉(zhuǎn)儲(chǔ)到控制臺(tái),就足以看清類(lèi)是什么樣子鸽照,以及它包含什么內(nèi)容螺捐。
這對(duì)于安全性有著不良影響。例如矮燎,當(dāng)通過(guò) RMI 進(jìn)行遠(yuǎn)程方法調(diào)用時(shí)定血,通過(guò)連接發(fā)送的對(duì)象中的任何 private 字段幾乎都是以明文的方式出現(xiàn)在套接字流中,這顯然容易招致哪怕最簡(jiǎn)單的安全問(wèn)題诞外。
幸運(yùn)的是澜沟,序列化允許 “hook” 序列化過(guò)程,并在序列化之前和反序列化之后保護(hù)(或模糊化)字段數(shù)據(jù)峡谊∶K洌可以通過(guò)在Serializable 對(duì)象上提供一個(gè) writeObject 方法來(lái)做到這一點(diǎn)铝条。
模糊化序列化數(shù)據(jù)
假設(shè) Person 類(lèi)中的敏感數(shù)據(jù)是 age 字段。畢竟席噩,女士忌談年齡。 我們可以在序列化之前模糊化該數(shù)據(jù)贤壁,將數(shù)位循環(huán)左移一位悼枢,然后在反序列化之后復(fù)位。(您可以開(kāi)發(fā)更安全的算法脾拆,當(dāng)前這個(gè)算法只是作為一個(gè)例子馒索。)
為了 “hook” 序列化過(guò)程,我們將在 Person 上實(shí)現(xiàn)一個(gè) writeObject 方法名船;為了 “hook” 反序列化過(guò)程绰上,我們將在同一個(gè)類(lèi)上實(shí)現(xiàn)一個(gè) readObject 方法。
重要的是這兩個(gè)方法的細(xì)節(jié)要正確 — 如果訪(fǎng)問(wèn)修改方法渠驼、參數(shù)或名稱(chēng)不同于清單 4 中的內(nèi)容蜈块,那么代碼將不被察覺(jué)地失敗,Person 的 age 將暴露迷扇。
清單4 模糊化序列化數(shù)據(jù)
public class Person
? ? implements java.io.Serializable
{
? ? public Person(String fn, String ln, int a)
? ? {
? ? ? ? this.firstName = fn; this.lastName = ln; this.age = a;
? ? }
? ? public String getFirstName() { return firstName; }
? ? public String getLastName() { return lastName; }
? ? public int getAge() { return age; }
? ? public Person getSpouse() { return spouse; }
? ? public void setFirstName(String value) { firstName = value; }
? ? public void setLastName(String value) { lastName = value; }
? ? public void setAge(int value) { age = value; }
? ? public void setSpouse(Person value) { spouse = value; }
? ? private void writeObject(java.io.ObjectOutputStream stream)
? ? ? ? throws java.io.IOException
? ? {
? ? ? ? // "Encrypt"/obscure the sensitive data
? ? ? ? age = age << 2;
? ? ? ? stream.defaultWriteObject();
? ? }
? ? private void readObject(java.io.ObjectInputStream stream)
? ? ? ? throws java.io.IOException, ClassNotFoundException
? ? {
? ? ? ? stream.defaultReadObject();
? ? ? ? // "Decrypt"/de-obscure the sensitive data
? ? ? ? age = age << 2;
? ? }
? ? public String toString()
? ? {
? ? ? ? return "[Person: firstName=" + firstName +?
? ? ? ? ? ? " lastName=" + lastName +
? ? ? ? ? ? " age=" + age +
? ? ? ? ? ? " spouse=" + (spouse!=null ? spouse.getFirstName() : "[null]") +
? ? ? ? ? ? "]";
? ? }? ? ??
? ? private String firstName;
? ? private String lastName;
? ? private int age;
? ? private Person spouse;
}
如果需要查看被模糊化的數(shù)據(jù)百揭,總是可以查看序列化數(shù)據(jù)流/文件。而且蜓席,由于該格式被完全文檔化器一,即使不能訪(fǎng)問(wèn)類(lèi)本身,也仍可以讀取序列化流中的內(nèi)容厨内。
序列化的數(shù)據(jù)可以被簽名和密封
上一個(gè)技巧假設(shè)您想模糊化序列化數(shù)據(jù)祈秕,而不是對(duì)其加密或者確保它不被修改。當(dāng)然雏胃,通過(guò)使用 writeObject 和 readObject可以實(shí)現(xiàn)密碼加密和簽名管理请毛,但其實(shí)還有更好的方式。
如果需要對(duì)整個(gè)對(duì)象進(jìn)行加密和簽名瞭亮,最簡(jiǎn)單的是將它放在一個(gè) javax.crypto.SealedObject 和/或java.security.SignedObject 包裝器中获印。
兩者都是可序列化的,所以將對(duì)象包裝在 SealedObject 中可以圍繞原對(duì)象創(chuàng)建一種 “包裝盒”街州。必須有對(duì)稱(chēng)密鑰才能解密兼丰,而且密鑰必須單獨(dú)管理。
同樣唆缴,也可以將 SignedObject 用于數(shù)據(jù)驗(yàn)證鳍征,并且對(duì)稱(chēng)密鑰也必須單獨(dú)管理。
結(jié)合使用這兩種對(duì)象面徽,便可以輕松地對(duì)序列化數(shù)據(jù)進(jìn)行密封和簽名艳丛,而不必強(qiáng)調(diào)關(guān)于數(shù)字簽名驗(yàn)證或加密的細(xì)節(jié)匣掸。很簡(jiǎn)潔,是吧氮双?????
序列化允許將代理放在流中
很多情況下碰酝,類(lèi)中包含一個(gè)核心數(shù)據(jù)元素,通過(guò)它可以派生或找到類(lèi)中的其他字段戴差。在此情況下送爸,沒(méi)有必要序列化整個(gè)對(duì)象。
可以將字段標(biāo)記為 transient暖释,但是每當(dāng)有方法訪(fǎng)問(wèn)一個(gè)字段時(shí)袭厂,類(lèi)仍然必須顯式地產(chǎn)生代碼來(lái)檢查它是否被初始化。
如果首要問(wèn)題是序列化球匕,那么最好指定一個(gè) flyweight 或代理放在流中纹磺。為原始 Person 提供一個(gè) writeReplace 方法,可以序列化不同類(lèi)型的對(duì)象來(lái)代替它亮曹。
類(lèi)似地橄杨,如果反序列化期間發(fā)現(xiàn)一個(gè) readResolve 方法,那么將調(diào)用該方法照卦,將替代對(duì)象提供給調(diào)用者讥珍。
打包和解包代理
writeReplace 和 readResolve 方法使 Person 類(lèi)可以將它的所有數(shù)據(jù)(或其中的核心數(shù)據(jù))打包到一個(gè) PersonProxy 中,將它放入到一個(gè)流中窄瘟,然后在反序列化時(shí)再進(jìn)行解包衷佃。
清單5 你完整了我,我代替了你
class PersonProxy
? ? implements java.io.Serializable
{
? ? public PersonProxy(Person orig)
? ? {
? ? ? ? data = orig.getFirstName() + "," + orig.getLastName() + "," + orig.getAge();
? ? ? ? if (orig.getSpouse() != null)
? ? ? ? {
? ? ? ? ? ? Person spouse = orig.getSpouse();
? ? ? ? ? ? data = data + "," + spouse.getFirstName() + "," + spouse.getLastName() + ","??
? ? ? ? ? ? ? + spouse.getAge();
? ? ? ? }
? ? }
? ? public String data;
? ? private Object readResolve()
? ? ? ? throws java.io.ObjectStreamException
? ? {
? ? ? ? String[] pieces = data.split(",");
? ? ? ? Person result = new Person(pieces[0], pieces[1], Integer.parseInt(pieces[2]));
? ? ? ? if (pieces.length > 3)
? ? ? ? {
? ? ? ? ? ? result.setSpouse(new Person(pieces[3], pieces[4], Integer.parseInt
? ? ? ? ? ? ? (pieces[5])));
? ? ? ? ? ? result.getSpouse().setSpouse(result);
? ? ? ? }
? ? ? ? return result;
? ? }
}
public class Person
? ? implements java.io.Serializable
{
? ? public Person(String fn, String ln, int a)
? ? {
? ? ? ? this.firstName = fn; this.lastName = ln; this.age = a;
? ? }
? ? public String getFirstName() { return firstName; }
? ? public String getLastName() { return lastName; }
? ? public int getAge() { return age; }
? ? public Person getSpouse() { return spouse; }
? ? private Object writeReplace()
? ? ? ? throws java.io.ObjectStreamException
? ? {
? ? ? ? return new PersonProxy(this);
? ? }
? ? public void setFirstName(String value) { firstName = value; }
? ? public void setLastName(String value) { lastName = value; }
? ? public void setAge(int value) { age = value; }
? ? public void setSpouse(Person value) { spouse = value; }? ?
? ? public String toString()
? ? {
? ? ? ? return "[Person: firstName=" + firstName +?
? ? ? ? ? ? " lastName=" + lastName +
? ? ? ? ? ? " age=" + age +
? ? ? ? ? ? " spouse=" + spouse.getFirstName() +
? ? ? ? ? ? "]";
? ? }? ??
? ? private String firstName;
? ? private String lastName;
? ? private int age;
? ? private Person spouse;
}
注意蹄葱,PersonProxy 必須跟蹤 Person 的所有數(shù)據(jù)氏义。這通常意味著代理需要是 Person 的一個(gè)內(nèi)部類(lèi),以便能訪(fǎng)問(wèn) private 字段图云。
有時(shí)候惯悠,代理還需要追蹤其他對(duì)象引用并手動(dòng)序列化它們,例如 Person 的 spouse竣况。
這種技巧是少數(shù)幾種不需要讀/寫(xiě)平衡的技巧之一克婶。
例如,一個(gè)類(lèi)被重構(gòu)成另一種類(lèi)型后的版本可以提供一個(gè) readResolve 方法丹泉,以便靜默地將被序列化的對(duì)象轉(zhuǎn)換成新類(lèi)型情萤。
類(lèi)似地,它可以采用 writeReplace 方法將舊類(lèi)序列化成新版本摹恨。
信任筋岛,但要驗(yàn)證
認(rèn)為序列化流中的數(shù)據(jù)總是與最初寫(xiě)到流中的數(shù)據(jù)一致,這沒(méi)有問(wèn)題晒哄。但是睁宰,正如一位美國(guó)前總統(tǒng)所說(shuō)的肪获,“信任,但要驗(yàn)證”柒傻。
對(duì)于序列化的對(duì)象孝赫,這意味著驗(yàn)證字段,以確保在反序列化之后它們?nèi)跃哂姓_的值红符,“以防萬(wàn)一”青柄。
為此,可以實(shí)現(xiàn)ObjectInputValidation 接口违孝,并覆蓋 validateObject() 方法。如果調(diào)用該方法時(shí)發(fā)現(xiàn)某處有錯(cuò)誤泳赋,則拋出一個(gè) InvalidObjectException雌桑。
Java 對(duì)象序列化比大多數(shù) Java 開(kāi)發(fā)人員想象的更靈活,這使我們有更多的機(jī)會(huì)解決棘手的情況祖今。
幸運(yùn)的是校坑,像這樣的編程妙招在 JVM 中隨處可見(jiàn)。關(guān)鍵是要知道它們千诬,在遇到難題的時(shí)候能用上它們耍目。
