序言

將 Java 對(duì)象序列化為二進(jìn)制文件的 Java 序列化技術(shù)是 Java 系列技術(shù)中一個(gè)較為重要的技術(shù)點(diǎn)币叹，在大部分情況下锨苏，開發(fā)人員只需要了解被序列化的類需要實(shí)現(xiàn) Serializable 接口邑滨，使用 ObjectInputStream 和 ObjectOutputStream 進(jìn)行對(duì)象的讀寫。然而在有些情況下恼策，光知道這些還遠(yuǎn)遠(yuǎn)不夠咽块，文章列舉了筆者遇到的一些真實(shí)情境，它們與 Java 序列化相關(guān)腻惠，通過分析情境出現(xiàn)的原因环肘，使讀者輕松牢記 Java 序列化中的一些高級(jí)認(rèn)識(shí)。

序列化 ID 問題

情境：兩個(gè)客戶端 A 和 B 試圖通過網(wǎng)絡(luò)傳遞對(duì)象數(shù)據(jù)集灌，A 端將對(duì)象 C 序列化為二進(jìn)制數(shù)據(jù)再傳給 B悔雹，B 反序列化得到 C。

問題：C 對(duì)象的全類路徑假設(shè)為 com.inout.Test欣喧，在 A 和 B 端都有這么一個(gè)類文件腌零，功能代碼完全一致。也都實(shí)現(xiàn)了 Serializable 接口唆阿，但是反序列化時(shí)總是提示不成功益涧。

解決：虛擬機(jī)是否允許反序列化，不僅取決于類路徑和功能代碼是否一致驯鳖，一個(gè)非常重要的一點(diǎn)是兩個(gè)類的序列化 ID 是否一致（就是 private static final long serialVersionUID = 1L）闲询。清單 1 中，雖然兩個(gè)類的功能代碼完全一致浅辙，但是序列化 ID 不同扭弧，他們無(wú)法相互序列化和反序列化。

清單 1. 相同功能代碼不同序列化 ID 的類對(duì)比

 package com.inout; 

 import java.io.Serializable; 

 public class A implements Serializable { 

     private static final long serialVersionUID = 1L; 

     private String name; 
    
     public String getName() 
     { 
         return name; 
     } 
    
     public void setName(String name) 
     { 
         this.name = name; 
     } 
 } 

 package com.inout; 

 import java.io.Serializable; 

 public class A implements Serializable { 

     private static final long serialVersionUID = 2L; 
    
     private String name; 
    
     public String getName() 
     { 
         return name; 
     } 
    
     public void setName(String name) 
     { 
         this.name = name; 
     } 
 }

序列化 ID 在 Eclipse 下提供了兩種生成策略摔握，一個(gè)是固定的 1L寄狼，一個(gè)是隨機(jī)生成一個(gè)不重復(fù)的 long 類型數(shù)據(jù)（實(shí)際上是使用 JDK 工具生成），在這里有一個(gè)建議氨淌，如果沒有特殊需求泊愧，就是用默認(rèn)的 1L 就可以，這樣可以確保代碼一致時(shí)反序列化成功盛正。那么隨機(jī)生成的序列化 ID 有什么作用呢删咱，有些時(shí)候，通過改變序列化 ID 可以用來(lái)限制某些用戶的使用豪筝。

特性使用案例

讀者應(yīng)該聽過 Fa?ade 模式痰滋，它是為應(yīng)用程序提供統(tǒng)一的訪問接口，案例程序中的 Client 客戶端使用了該模式续崖，案例程序結(jié)構(gòu)圖如圖 1 所示敲街。
圖 1. 案例程序結(jié)構(gòu)

facade-object.gif

Client 端通過 Fa?ade Object 才可以與業(yè)務(wù)邏輯對(duì)象進(jìn)行交互。而客戶端的 Fa?ade Object 不能直接由 Client 生成严望，而是需要 Server 端生成多艇，然后序列化后通過網(wǎng)絡(luò)將二進(jìn)制對(duì)象數(shù)據(jù)傳給 Client，Client 負(fù)責(zé)反序列化得到 Fa?ade 對(duì)象像吻。該模式可以使得 Client 端程序的使用需要服務(wù)器端的許可峻黍，同時(shí) Client 端和服務(wù)器端的 Fa?ade Object 類需要保持一致复隆。當(dāng)服務(wù)器端想要進(jìn)行版本更新時(shí)，只要將服務(wù)器端的 Fa?ade Object 類的序列化 ID 再次生成姆涩，當(dāng) Client 端反序列化 Fa?ade Object 就會(huì)失敗挽拂，也就是強(qiáng)制 Client 端從服務(wù)器端獲取最新程序。

靜態(tài)變量序列化

情境：查看清單 2 的代碼骨饿。

清單 2. 靜態(tài)變量序列化問題代碼
 public class Test implements Serializable {

    private static final long serialVersionUID = 1L;

    public static int staticVar = 5;

    public static void main(String[] args) {
        try {
            //初始時(shí)staticVar為5
            ObjectOutputStream out = new ObjectOutputStream(
                    new FileOutputStream("result.obj"));
            out.writeObject(new Test());
            out.close();

            //序列化后修改為10
            Test.staticVar = 10;

            ObjectInputStream oin = new ObjectInputStream(new FileInputStream(
                    "result.obj"));
            Test t = (Test) oin.readObject();
            oin.close();
            
            //再讀取亏栈，通過t.staticVar打印新的值
            System.out.println(t.staticVar);
            
        } catch (FileNotFoundException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }
}

清單 2 中的 main 方法，將對(duì)象序列化后样刷，修改靜態(tài)變量的數(shù)值仑扑，再將序列化對(duì)象讀取出來(lái)，然后通過讀取出來(lái)的對(duì)象獲得靜態(tài)變量的數(shù)值并打印出來(lái)置鼻。依照清單 2镇饮，這個(gè) System.out.println(t.staticVar) 語(yǔ)句輸出的是 10 還是 5 呢？

最后的輸出是 10箕母，對(duì)于無(wú)法理解的讀者認(rèn)為储藐，打印的 staticVar 是從讀取的對(duì)象里獲得的，應(yīng)該是保存時(shí)的狀態(tài)才對(duì)嘶是。之所以打印 10 的原因在于序列化時(shí)钙勃，并不保存靜態(tài)變量，這其實(shí)比較容易理解聂喇，序列化保存的是對(duì)象的狀態(tài)辖源，靜態(tài)變量屬于類的狀態(tài)，因此 序列化并不保存靜態(tài)變量希太。

父類的序列化與 Transient 關(guān)鍵字

情境：一個(gè)子類實(shí)現(xiàn)了 Serializable 接口克饶，它的父類都沒有實(shí)現(xiàn) Serializable 接口，序列化該子類對(duì)象誊辉，然后反序列化后輸出父類定義的某變量的數(shù)值矾湃，該變量數(shù)值與序列化時(shí)的數(shù)值不同。

解決：要想將父類對(duì)象也序列化堕澄，就需要讓父類也實(shí)現(xiàn)Serializable 接口邀跃。如果父類不實(shí)現(xiàn)的話，就需要有默認(rèn)的無(wú)參的構(gòu)造函數(shù)蛙紫。在父類沒有實(shí)現(xiàn) Serializable 接口時(shí)拍屑，虛擬機(jī)是不會(huì)序列化父對(duì)象的，而一個(gè) Java 對(duì)象的構(gòu)造必須先有父對(duì)象坑傅，才有子對(duì)象丽涩，反序列化也不例外。所以反序列化時(shí)裁蚁，為了構(gòu)造父對(duì)象矢渊，只能調(diào)用父類的無(wú)參構(gòu)造函數(shù)作為默認(rèn)的父對(duì)象。因此當(dāng)我們?nèi)「笇?duì)象的變量值時(shí)枉证，它的值是調(diào)用父類無(wú)參構(gòu)造函數(shù)后的值矮男。如果你考慮到這種序列化的情況，在父類無(wú)參構(gòu)造函數(shù)中對(duì)變量進(jìn)行初始化室谚，否則的話毡鉴，父類變量值都是默認(rèn)聲明的值，如 int 型的默認(rèn)是 0秒赤，string 型的默認(rèn)是 null猪瞬。

Transient 關(guān)鍵字的作用是控制變量的序列化，在變量聲明前加上該關(guān)鍵字入篮，可以阻止該變量被序列化到文件中陈瘦，在被反序列化后，transient 變量的值被設(shè)為初始值潮售，如 int 型的是 0痊项，對(duì)象型的是 null。

特性使用案例

我們熟悉使用 Transient 關(guān)鍵字可以使得字段不被序列化酥诽，那么還有別的方法嗎鞍泉？根據(jù)父類對(duì)象序列化的規(guī)則，我們可以將不需要被序列化的字段抽取出來(lái)放到父類中肮帐，子類實(shí)現(xiàn) Serializable 接口咖驮，父類不實(shí)現(xiàn)，根據(jù)父類序列化規(guī)則训枢，父類的字段數(shù)據(jù)將不被序列化托修，形成類圖如圖 2 所示。

transient.gif

上圖中可以看出肮砾，attr1诀黍、attr2、attr3仗处、attr5 都不會(huì)被序列化眯勾，放在父類中的好處在于當(dāng)有另外一個(gè) Child 類時(shí)，attr1婆誓、attr2吃环、attr3 依然不會(huì)被序列化，不用重復(fù)抒寫 transient洋幻，代碼簡(jiǎn)潔郁轻。

對(duì)敏感字段加密

情境：服務(wù)器端給客戶端發(fā)送序列化對(duì)象數(shù)據(jù)，對(duì)象中有一些數(shù)據(jù)是敏感的，比如密碼字符串等好唯，希望對(duì)該密碼字段在序列化時(shí)竭沫，進(jìn)行加密，而客戶端如果擁有解密的密鑰骑篙，只有在客戶端進(jìn)行反序列化時(shí)蜕提，才可以對(duì)密碼進(jìn)行讀取，這樣可以一定程度保證序列化對(duì)象的數(shù)據(jù)安全靶端。

解決：在序列化過程中谎势，虛擬機(jī)會(huì)試圖調(diào)用對(duì)象類里的 writeObject 和 readObject 方法，進(jìn)行用戶自定義的序列化和反序列化杨名，如果沒有這樣的方法脏榆，則默認(rèn)調(diào)用是 ObjectOutputStream 的 defaultWriteObject 方法以及 ObjectInputStream 的 defaultReadObject 方法。用戶自定義的 writeObject 和 readObject 方法可以允許用戶控制序列化的過程台谍，比如可以在序列化的過程中動(dòng)態(tài)改變序列化的數(shù)值须喂。基于這個(gè)原理典唇，可以在實(shí)際應(yīng)用中得到使用镊折，用于敏感字段的加密工作，清單 3 展示了這個(gè)過程介衔。

 清單 3. 靜態(tài)變量序列化問題代碼
 private static final long serialVersionUID = 1L;

    private String password = "pass";

    public String getPassword() {
        return password;
    }

    public void setPassword(String password) {
        this.password = password;
    }

    private void writeObject(ObjectOutputStream out) {
        try {
            PutField putFields = out.putFields();
            System.out.println("原密碼:" + password);
            password = "encryption";//模擬加密
            putFields.put("password", password);
            System.out.println("加密后的密碼" + password);
            out.writeFields();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }

    private void readObject(ObjectInputStream in) {
        try {
            GetField readFields = in.readFields();
            Object object = readFields.get("password", "");
            System.out.println("要解密的字符串:" + object.toString());
            password = "pass";//模擬解密,需要獲得本地的密鑰
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }

    }

    public static void main(String[] args) {
        try {
            ObjectOutputStream out = new ObjectOutputStream(
                    new FileOutputStream("result.obj"));
            out.writeObject(new Test());
            out.close();

            ObjectInputStream oin = new ObjectInputStream(new FileInputStream(
                    "result.obj"));
            Test t = (Test) oin.readObject();
            System.out.println("解密后的字符串:" + t.getPassword());
            oin.close();
        } catch (FileNotFoundException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }

在清單 3 的 writeObject 方法中恨胚，對(duì)密碼進(jìn)行了加密，在 readObject 中則對(duì) password 進(jìn)行解密炎咖，只有擁有密鑰的客戶端赃泡，才可以正確的解析出密碼，確保了數(shù)據(jù)的安全乘盼。執(zhí)行清單 3 后控制臺(tái)輸出如圖 3 所示升熊。
圖 3. 數(shù)據(jù)加密演示

password.jpg

特性使用案例

RMI 技術(shù)是完全基于 Java 序列化技術(shù)的，服務(wù)器端接口調(diào)用所需要的參數(shù)對(duì)象來(lái)至于客戶端绸栅，它們通過網(wǎng)絡(luò)相互傳輸级野。這就涉及 RMI 的安全傳輸?shù)膯栴}。一些敏感的字段粹胯，如用戶名密碼（用戶登錄時(shí)需要對(duì)密碼進(jìn)行傳輸）蓖柔，我們希望對(duì)其進(jìn)行加密，這時(shí)风纠，就可以采用本節(jié)介紹的方法在客戶端對(duì)密碼進(jìn)行加密况鸣，服務(wù)器端進(jìn)行解密，確保數(shù)據(jù)傳輸?shù)陌踩浴?/p>

序列化存儲(chǔ)規(guī)則

情境：?jiǎn)栴}代碼如清單 4 所示竹观。

清單 4. 存儲(chǔ)規(guī)則問題代碼
 ObjectOutputStream out = new ObjectOutputStream(
                    new FileOutputStream("result.obj"));
    Test test = new Test();
    //試圖將對(duì)象兩次寫入文件
    out.writeObject(test);
    out.flush();
    System.out.println(new File("result.obj").length());
    out.writeObject(test);
    out.close();
    System.out.println(new File("result.obj").length());

    ObjectInputStream oin = new ObjectInputStream(new FileInputStream(
            "result.obj"));
    //從文件依次讀出兩個(gè)文件
    Test t1 = (Test) oin.readObject();
    Test t2 = (Test) oin.readObject();
    oin.close();
            
    //判斷兩個(gè)引用是否指向同一個(gè)對(duì)象
    System.out.println(t1 == t2);

清單 3 中對(duì)同一對(duì)象兩次寫入文件镐捧，打印出寫入一次對(duì)象后的存儲(chǔ)大小和寫入兩次后的存儲(chǔ)大小潜索，然后從文件中反序列化出兩個(gè)對(duì)象爱致，比較這兩個(gè)對(duì)象是否為同一對(duì)象洁仗。一般的思維是，兩次寫入對(duì)象龄糊，文件大小會(huì)變?yōu)閮杀兜拇笮⊥嫜妫葱蛄谢瘯r(shí)由驹，由于從文件讀取，生成了兩個(gè)對(duì)象昔园，判斷相等時(shí)應(yīng)該是輸入 false 才對(duì)，但是最后結(jié)果輸出如圖 4 所示并炮。
圖 4. 示例程序輸出

save-rules.jpg

我們看到默刚，第二次寫入對(duì)象時(shí)文件只增加了 5 字節(jié)，并且兩個(gè)對(duì)象是相等的逃魄，這是為什么呢荤西？
解答：Java 序列化機(jī)制為了節(jié)省磁盤空間，具有特定的存儲(chǔ)規(guī)則伍俘，當(dāng)寫入文件的為同一對(duì)象時(shí)邪锌，并不會(huì)再將對(duì)象的內(nèi)容進(jìn)行存儲(chǔ)，而只是再次存儲(chǔ)一份引用癌瘾，上面增加的 5 字節(jié)的存儲(chǔ)空間就是新增引用和一些控制信息的空間觅丰。反序列化時(shí)，恢復(fù)引用關(guān)系妨退，使得清單 3 中的 t1 和 t2 指向唯一的對(duì)象妇萄，二者相等，輸出 true咬荷。該存儲(chǔ)規(guī)則極大的節(jié)省了存儲(chǔ)空間冠句。

特性案例分析

查看清單 5 的代碼。

清單 5. 案例代碼
ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("result.obj"));
Test test = new Test();
test.i = 1;
out.writeObject(test);
out.flush();
test.i = 2;
out.writeObject(test);
out.close();
ObjectInputStream oin = new ObjectInputStream(new FileInputStream(
                    "result.obj"));
Test t1 = (Test) oin.readObject();
Test t2 = (Test) oin.readObject();
System.out.println(t1.i);
System.out.println(t2.i);

清單 4 的目的是希望將 test 對(duì)象兩次保存到 result.obj 文件中幸乒，寫入一次以后修改對(duì)象屬性值再次保存第二次懦底，然后從 result.obj 中再依次讀出兩個(gè)對(duì)象，輸出這兩個(gè)對(duì)象的 i 屬性值罕扎。案例代碼的目的原本是希望一次性傳輸對(duì)象修改前后的狀態(tài)聚唐。

結(jié)果兩個(gè)輸出的都是 1， 原因就是第一次寫入對(duì)象以后壳影，第二次再試圖寫的時(shí)候拱层，虛擬機(jī)根據(jù)引用關(guān)系知道已經(jīng)有一個(gè)相同對(duì)象已經(jīng)寫入文件，因此只保存第二次寫的引用宴咧，所以讀取時(shí)根灯，都是第一次保存的對(duì)象。讀者在使用一個(gè)文件多次 writeObject 需要特別注意這個(gè)問題。

類實(shí)現(xiàn)Serializable 接口但類屬性對(duì)象實(shí)現(xiàn)該接口的問題「原創(chuàng)」

場(chǎng)景如下代碼所示：

public class A {}

import lombok.Data;
@Data
public class B implements Serializable {
 private static final long serialVersionUID = 1L; 
 private String name;
 private A a;
}

類A實(shí)現(xiàn)了Serializable 接口, 類A的屬性B沒有實(shí)現(xiàn)Serializable 接口烙肺，在序列化時(shí)纳猪，會(huì)報(bào)java.io.NotSerializableException異常；
因此類屬性也需要實(shí)現(xiàn)序列化桃笙，但基本類型則不用顯式實(shí)現(xiàn)呢氏堤？因?yàn)榛绢愋蛯?duì)象如Integer、String等已實(shí)現(xiàn)序列化搏明。

序列化反序列化中 如何防止破壞單例模式「原創(chuàng)」

答案是使用在類中使用readResovle方法,代碼如下

public final class MySingleton implements Serializable{
    private MySingleton() { }
    private static final MySingleton INSTANCE = new MySingleton();
    public static MySingleton getInstance() { return INSTANCE; }

    // readResolve method to preserve singleton property
    private Object readResolve()  {
       // instead of the object we're on,
       // return the class variable INSTANCE
      return INSTANCE;
   }
}

方法readResovle會(huì)在ObjectInputStream讀取一個(gè)對(duì)象并返回前調(diào)用鼠锈。如果定義了，會(huì)由readResovle指定返回的對(duì)象星著，返回的對(duì)象一定是要同類型對(duì)象购笆，否則會(huì)拋出ClassCastException。

Java 序列化的高級(jí)認(rèn)識(shí)-原文章鏈接