欧美成人午夜免费全部完,亚洲午夜福利精品久久,а√最新版在线天堂,另类亚洲综合区图片小说区,亚洲欧美日韩精品色xxx

千鋒扣丁學(xué)堂Java培訓(xùn)之深入了解java序列化

2019-06-18 13:24:03 2226瀏覽

今天千鋒扣丁學(xué)堂Java培訓(xùn)老師給大家分享一篇關(guān)于深入了解java序列化的詳細(xì)介紹，首先將Java對(duì)象序列化為二進(jìn)制文件的Java序列化技術(shù)是Java系列技術(shù)中一個(gè)較為重要的技術(shù)點(diǎn)，在大部分情況下，開發(fā)人員只需要了解被序列化的類需要實(shí)現(xiàn)Serializable接口，使用ObjectInputStream和ObjectOutputStream進(jìn)行對(duì)象的讀寫。然而在有些情況下，光知道這些還遠(yuǎn)遠(yuǎn)不夠，文章列舉了筆者遇到的一些真實(shí)情境，它們與Java序列化相關(guān)，通過(guò)分析情境出現(xiàn)的原因，使讀者輕松牢記Java序列化中的一些高級(jí)認(rèn)識(shí)。

序列化ID問(wèn)題

情境：兩個(gè)客戶端A和B試圖通過(guò)網(wǎng)絡(luò)傳遞對(duì)象數(shù)據(jù)，A端將對(duì)象C序列化為二進(jìn)制數(shù)據(jù)再傳給B，B反序列化得到C。

問(wèn)題：C對(duì)象的全類路徑假設(shè)為com.inout.Test，在A和B端都有這么一個(gè)類文件，功能代碼完全一致。也都實(shí)現(xiàn)了Serializable接口，但是反序列化時(shí)總是提示不成功。

解決：虛擬機(jī)是否允許反序列化，不僅取決于類路徑和功能代碼是否一致，一個(gè)非常重要的一點(diǎn)是兩個(gè)類的序列化ID是否一致（就是privatestaticfinallongserialVersionUID=1L）。清單1中，雖然兩個(gè)類的功能代碼完全一致，但是序列化ID不同，他們無(wú)法相互序列化和反序列化。

清單1.相同功能代碼不同序列化ID的類對(duì)比

package com.inout; 
import java.io.Serializable; 
public class A implements Serializable { 
private static final long serialVersionUID = 1L; 
private String name; 
public String getName() 
{ 
return name; 
} 
public void setName(String name) 
{ 
this.name = name; 
} 
}
 
package com.inout; 
import java.io.Serializable; 
public class A implements Serializable { 
private static final long serialVersionUID = 2L; 
private String name; 
public String getName() 
{ 
return name; 
} 
public void setName(String name) 
{ 
this.name = name; 
} 
}

序列化ID在Eclipse下提供了兩種生成策略，一個(gè)是固定的1L，一個(gè)是隨機(jī)生成一個(gè)不重復(fù)的long類型數(shù)據(jù)（實(shí)際上是使用JDK工具生成），在這里有一個(gè)建議，如果沒有特殊需求，就是用默認(rèn)的1L就可以，這樣可以確保代碼一致時(shí)反序列化成功。那么隨機(jī)生成的序列化ID有什么作用呢，有些時(shí)候，通過(guò)改變序列化ID可以用來(lái)限制某些用戶的使用。

靜態(tài)變量序列化

清單2.靜態(tài)變量序列化問(wèn)題代碼

public class Test implements Serializable {
private static final long serialVersionUID = 1L;
public static int staticVar = 5;
public static void main(String[] args) {
try {
//初始時(shí)staticVar為5
ObjectOutputStream out = new ObjectOutputStream(
new FileOutputStream("result.obj"));
out.writeObject(new Test());
out.close();
//序列化后修改為10
Test.staticVar = 10;
ObjectInputStream oin = new ObjectInputStream(new FileInputStream(
"result.obj"));
Test t = (Test) oin.readObject();
oin.close();
//再讀取，通過(guò)t.staticVar打印新的值
System.out.println(t.staticVar);
} catch (FileNotFoundException e) {
e.printStackTrace();
} catch (IOException e) {
e.printStackTrace();
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
}
}

清單2中的main方法，將對(duì)象序列化后，修改靜態(tài)變量的數(shù)值，再將序列化對(duì)象讀取出來(lái)，然后通過(guò)讀取出來(lái)的對(duì)象獲得靜態(tài)變量的數(shù)值并打印出來(lái)。依照清單2，這個(gè)System.out.println(t.staticVar)語(yǔ)句輸出的是10還是5呢？

最后的輸出是10，對(duì)于無(wú)法理解的讀者認(rèn)為，打印的staticVar是從讀取的對(duì)象里獲得的，應(yīng)該是保存時(shí)的狀態(tài)才對(duì)。之所以打印10的原因在于序列化時(shí)，并不保存靜態(tài)變量，這其實(shí)比較容易理解，序列化保存的是對(duì)象的狀態(tài)，靜態(tài)變量屬于類的狀態(tài)，因此序列化并不保存靜態(tài)變量。

對(duì)敏感字段加密

情境：服務(wù)器端給客戶端發(fā)送序列化對(duì)象數(shù)據(jù)，對(duì)象中有一些數(shù)據(jù)是敏感的，比如密碼字符串等，希望對(duì)該密碼字段在序列化時(shí)，進(jìn)行加密，而客戶端如果擁有解密的密鑰，只有在客戶端進(jìn)行反序列化時(shí)，才可以對(duì)密碼進(jìn)行讀取，這樣可以一定程度保證序列化對(duì)象的數(shù)據(jù)安全。

解決：在序列化過(guò)程中，虛擬機(jī)會(huì)試圖調(diào)用對(duì)象類里的writeObject和readObject方法，進(jìn)行用戶自定義的序列化和反序列化，如果沒有這樣的方法，則默認(rèn)調(diào)用是ObjectOutputStream的defaultWriteObject方法以及ObjectInputStream的defaultReadObject方法。用戶自定義的writeObject和readObject方法可以允許用戶控制序列化的過(guò)程，比如可以在序列化的過(guò)程中動(dòng)態(tài)改變序列化的數(shù)值?；谶@個(gè)原理，可以在實(shí)際應(yīng)用中得到使用，用于敏感字段的加密工作，清單3展示了這個(gè)過(guò)程。

清單3.靜態(tài)變量序列化問(wèn)題代碼

private static final long serialVersionUID = 1L;
private String password = "pass";
public String getPassword() {
return password;
}
public void setPassword(String password) {
this.password = password;
}
private void writeObject(ObjectOutputStream out) {
try {
PutField putFields = out.putFields();
System.out.println("原密碼:" + password);
password = "encryption";//模擬加密
putFields.put("password", password);
System.out.println("加密后的密碼" + password);
out.writeFields();
} catch (IOException e) {
e.printStackTrace();
}
}
private void readObject(ObjectInputStream in) {
try {
GetField readFields = in.readFields();
Object object = readFields.get("password", "");
System.out.println("要解密的字符串:" + object.toString());
password = "pass";//模擬解密,需要獲得本地的密鑰
} catch (IOException e) {
e.printStackTrace();
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
}
public static void main(String[] args) {
try {
ObjectOutputStream out = new ObjectOutputStream(
new FileOutputStream("result.obj"));
out.writeObject(new Test());
out.close();
ObjectInputStream oin = new ObjectInputStream(new FileInputStream(
"result.obj"));
Test t = (Test) oin.readObject();
System.out.println("解密后的字符串:" + t.getPassword());
oin.close();
} catch (FileNotFoundException e) {
e.printStackTrace();
} catch (IOException e) {
e.printStackTrace();
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
}

在清單3的writeObject方法中，對(duì)密碼進(jìn)行了加密，在readObject中則對(duì)password進(jìn)行解密，只有擁有密鑰的客戶端，才可以正確的解析出密碼，確保了數(shù)據(jù)的安全。執(zhí)行控制臺(tái)輸出如圖所示。

特性使用案例

RMI技術(shù)是完全基于Java序列化技術(shù)的，服務(wù)器端接口調(diào)用所需要的參數(shù)對(duì)象來(lái)至于客戶端，它們通過(guò)網(wǎng)絡(luò)相互傳輸。這就涉及RMI的安全傳輸?shù)膯?wèn)題。一些敏感的字段，如用戶名密碼（用戶登錄時(shí)需要對(duì)密碼進(jìn)行傳輸），我們希望對(duì)其進(jìn)行加密，這時(shí)，就可以采用本節(jié)介紹的方法在客戶端對(duì)密碼進(jìn)行加密，服務(wù)器端進(jìn)行解密，確保數(shù)據(jù)傳輸?shù)陌踩浴?br />
序列化存儲(chǔ)規(guī)則

清單4.存儲(chǔ)規(guī)則問(wèn)題代碼

ObjectOutputStream out = new ObjectOutputStream(
new FileOutputStream("result.obj"));
Test test = new Test();
//試圖將對(duì)象兩次寫入文件
out.writeObject(test);
out.flush();
System.out.println(new File("result.obj").length());
out.writeObject(test);
out.close();
System.out.println(new File("result.obj").length());
ObjectInputStream oin = new ObjectInputStream(new FileInputStream(
"result.obj"));
//從文件依次讀出兩個(gè)文件
Test t1 = (Test) oin.readObject();
Test t2 = (Test) oin.readObject();
oin.close();
//判斷兩個(gè)引用是否指向同一個(gè)對(duì)象
System.out.println(t1 == t2);

清單3中對(duì)同一對(duì)象兩次寫入文件，打印出寫入一次對(duì)象后的存儲(chǔ)大小和寫入兩次后的存儲(chǔ)大小，然后從文件中反序列化出兩個(gè)對(duì)象，比較這兩個(gè)對(duì)象是否為同一對(duì)象。一般的思維是，兩次寫入對(duì)象，文件大小會(huì)變?yōu)閮杀兜拇笮?，反序列化時(shí)，由于從文件讀取，生成了兩個(gè)對(duì)象，判斷相等時(shí)應(yīng)該是輸入false才對(duì)，但是最后結(jié)果輸出：

31
36
true

我們看到，第二次寫入對(duì)象時(shí)文件只增加了5字節(jié)，并且兩個(gè)對(duì)象是相等的，這是為什么呢？

解答：Java序列化機(jī)制為了節(jié)省磁盤空間，具有特定的存儲(chǔ)規(guī)則，當(dāng)寫入文件的為同一對(duì)象時(shí)，并不會(huì)再將對(duì)象的內(nèi)容進(jìn)行存儲(chǔ)，而只是再次存儲(chǔ)一份引用，上面增加的5字節(jié)的存儲(chǔ)空間就是新增引用和一些控制信息的空間。反序列化時(shí)，恢復(fù)引用關(guān)系，使得清單3中的t1和t2指向唯一的對(duì)象，二者相等，輸出true。該存儲(chǔ)規(guī)則極大的節(jié)省了存儲(chǔ)空間。

特性案例分析

清單5.案例代碼

ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("result.obj"));
Test test = new Test();
test.i = 1;
out.writeObject(test);
out.flush();
test.i = 2;
out.writeObject(test);
out.close();
ObjectInputStream oin = new ObjectInputStream(new FileInputStream(
"result.obj"));
Test t1 = (Test) oin.readObject();
Test t2 = (Test) oin.readObject();
System.out.println(t1.i);
System.out.println(t2.i);

本案例的目的是希望將test對(duì)象兩次保存到result.obj文件中，寫入一次以后修改對(duì)象屬性值再次保存第二次，然后從result.obj中再依次讀出兩個(gè)對(duì)象，輸出這兩個(gè)對(duì)象的i屬性值。案例代碼的目的原本是希望一次性傳輸對(duì)象修改前后的狀態(tài)。

結(jié)果兩個(gè)輸出的都是1，原因就是第一次寫入對(duì)象以后，第二次再試圖寫的時(shí)候，虛擬機(jī)根據(jù)引用關(guān)系知道已經(jīng)有一個(gè)相同對(duì)象已經(jīng)寫入文件，因此只保存第二次寫的引用，所以讀取時(shí)，都是第一次保存的對(duì)象。讀者在使用一個(gè)文件多次writeObject需要特別注意這個(gè)問(wèn)題。

以上就是關(guān)于千鋒扣丁學(xué)堂Java培訓(xùn)之深入了解java序列化的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，想要了解更多關(guān)于Java開發(fā)方面內(nèi)容的小伙伴，請(qǐng)關(guān)注扣丁學(xué)堂Java培訓(xùn)官網(wǎng)、微信等平臺(tái)，扣丁學(xué)堂IT職業(yè)在線學(xué)習(xí)教育有專業(yè)的Java講師為您指導(dǎo)，此外扣丁學(xué)堂老師精心推出的Java視頻教程定能讓你快速掌握J(rèn)ava從入門到精通開發(fā)實(shí)戰(zhàn)技能?？鄱W(xué)堂Java技術(shù)交流群：850353792。

                        

     【關(guān)注微信公眾號(hào)獲取更多學(xué)習(xí)資料】       【掃碼進(jìn)入JavaEE/微服務(wù)VIP免費(fèi)公開課】  

查看更多關(guān)于“Java開發(fā)資訊”的相關(guān)文章>>