Java對象序列化是JDK1.1中引入的一組開創(chuàng)性特性之一，之前51CTO也曾介紹過Java序列化的機制和原理，這里我們將使用Person來發(fā)現(xiàn)您可能不知道的關(guān)于Java對象序列化的5件事。

51CTO推薦專題：Java基礎(chǔ)教程

實際上，序列化的思想是“凍結(jié)”對象狀態(tài)，傳輸對象狀態(tài)（寫到磁盤、通過網(wǎng)絡(luò)傳輸?shù)鹊龋?，然?ldquo;解凍”狀態(tài)，重新獲得可用的Java對象。所有這些事情的發(fā)生有點像是魔術(shù)，這要歸功于ObjectInputStream/ObjectOutputStream類、完全保真的元數(shù)據(jù)以及程序員愿意用Serializable標識接口標記他們的類，從而“參與”這個過程。清單1顯示一個實現(xiàn)Serializable的Person類。

清單1.SerializablePerson  
packagecom.tedneward;  
 
publicclassPerson  
implementsjava.io.Serializable  
{  
publicPerson(Stringfn,Stringln,inta)  
{  
this.firstName=fn;this.lastName=ln;this.age=a;  
}  
 
publicStringgetFirstName(){returnfirstName;}  
publicStringgetLastName(){returnlastName;}  
publicintgetAge(){returnage;}  
publicPersongetSpouse(){returnspouse;}  
 
publicvoidsetFirstName(Stringvalue){firstName=value;}  
publicvoidsetLastName(Stringvalue){lastName=value;}  
publicvoidsetAge(intvalue){age=value;}  
publicvoidsetSpouse(Personvalue){spouse=value;}  
 
publicStringtoString()  
{  
return"[Person:firstName="+firstName+  
"lastName="+lastName+  
"age="+age+  
"spouse="+spouse.getFirstName()+  
"]";  
}  
 
privateStringfirstName;  
privateStringlastName;  
privateintage;  
privatePersonspouse;  
 
} 

將Person序列化后，很容易將對象狀態(tài)寫到磁盤，然后重新讀出它，下面的JUnit4單元測試對此做了演示。

清單2.對Person進行反序列化  
publicclassSerTest  
{  
@TestpublicvoidserializeToDisk()  
{  
try  
{  
com.tedneward.Personted=newcom.tedneward.Person("Ted","Neward",39);  
com.tedneward.Personcharl=newcom.tedneward.Person("Charlotte",  
"Neward",38);  
 
ted.setSpouse(charl);charl.setSpouse(ted);  
 
FileOutputStreamfos=newFileOutputStream("tempdata.ser");  
ObjectOutputStreamoos=newObjectOutputStream(fos);  
oos.writeObject(ted);  
oos.close();  
}  
catch(Exceptionex)  
{  
fail("Exceptionthrownduringtest:"+ex.toString());  
}  
 
try  
{  
FileInputStreamfis=newFileInputStream("tempdata.ser");  
ObjectInputStreamois=newObjectInputStream(fis);  
com.tedneward.Personted=(com.tedneward.Person)ois.readObject();  
ois.close();  
 
assertEquals(ted.getFirstName(），"Ted");  
assertEquals(ted.getSpouse().getFirstName(），"Charlotte");  
 
//Cleanupthefile  
newFile("tempdata.ser").delete();  
}  
catch(Exceptionex)  
{  
fail("Exceptionthrownduringtest:"+ex.toString());  
}  
}  
} 

到現(xiàn)在為止，還沒有看到什么新鮮的或令人興奮的事情，但是這是一個很好的出發(fā)點。

1.序列化允許重構(gòu)

序列化允許一定數(shù)量的類變種，甚至重構(gòu)之后也是如此，ObjectInputStream仍可以很好地將其讀出來。JavaObjectSerialization規(guī)范可以自動管理的關(guān)鍵任務(wù)是：

◆將新字段添加到類中。

◆將字段從static改為非static。

◆將字段從transient改為非transient。

◆取決于所需的向后兼容程度，轉(zhuǎn)換字段形式（從非static轉(zhuǎn)換為static或從非transient轉(zhuǎn)換為transient）或者刪除字段需要額外的消息傳遞。

重構(gòu)序列化類

既然已經(jīng)知道序列化允許重構(gòu)，我們來看看當把新字段添加到Person類中時，會發(fā)生什么事情。如清單3所示，PersonV2在原先Person類的基礎(chǔ)上引入一個表示性別的新字段。

清單3.將新字段添加到序列化的Person中  
enumGender  
{  
MALE,FEMALE  
}  
 
publicclassPerson  
implementsjava.io.Serializable  
{  
publicPerson(Stringfn,Stringln,inta,Genderg)  
{  
this.firstName=fn;this.lastName=ln;this.age=a;this.gender=g;  
}  
 
publicStringgetFirstName(){returnfirstName;}  
publicStringgetLastName(){returnlastName;}  
publicGendergetGender(){returngender;}  
publicintgetAge(){returnage;}  
publicPersongetSpouse(){returnspouse;}  
 
publicvoidsetFirstName(Stringvalue){firstName=value;}  
publicvoidsetLastName(Stringvalue){lastName=value;}  
publicvoidsetGender(Gendervalue){gender=value;}  
publicvoidsetAge(intvalue){age=value;}  
publicvoidsetSpouse(Personvalue){spouse=value;}  
 
publicStringtoString()  
{  
return"[Person:firstName="+firstName+  
"lastName="+lastName+  
"gender="+gender+  
"age="+age+  
"spouse="+spouse.getFirstName()+  
"]";  
}  
 
privateStringfirstName;  
privateStringlastName;  
privateintage;  
privatePersonspouse;  
privateGendergender;  
} 

序列化使用一個hash，該hash是根據(jù)給定源文件中幾乎所有東西—方法名稱、字段名稱、字段類型、訪問修改方法等—計算出來的，序列化將該hash值與序列化流中的hash值相比較。

為了使Java運行時相信兩種類型實際上是一樣的，第二版和隨后版本的Person必須與第一版有相同的序列化版本hash（存儲為privatestaticfinalserialVersionUID字段）。因此，我們需要serialVersionUID字段，它是通過對原始（或V1）版本的Person類運行JDKserialver命令計算出的。

一旦有了Person的serialVersionUID，不僅可以從原始對象Person的序列化數(shù)據(jù)創(chuàng)建PersonV2對象（當出現(xiàn)新字段時，新字段被設(shè)為缺省值，最常見的是“null”），還可以反過來做：即從PersonV2的數(shù)據(jù)通過反序列化得到Person，這毫不奇怪。

#p#

2.序列化并不安全

讓Java開發(fā)人員詫異并感到不快的是，序列化二進制格式完全編寫在文檔中，并且完全可逆。實際上，只需將二進制序列化流的內(nèi)容轉(zhuǎn)儲到控制臺，就足以看清類是什么樣子，以及它包含什么內(nèi)容。

這對于安全性有著不良影響。例如，當通過RMI進行遠程方法調(diào)用時，通過連接發(fā)送的對象中的任何private字段幾乎都是以明文的方式出現(xiàn)在套接字流中，這顯然容易招致哪怕最簡單的安全問題。

幸運的是，序列化允許“hook”序列化過程，并在序列化之前和反序列化之后保護（或模糊化）字段數(shù)據(jù)。可以通過在Serializable對象上提供一個writeObject方法來做到這一點。

模糊化序列化數(shù)據(jù)

假設(shè)Person類中的敏感數(shù)據(jù)是age字段。畢竟，女士忌談年齡。我們可以在序列化之前模糊化該數(shù)據(jù)，將數(shù)位循環(huán)左移一位，然后在反序列化之后復(fù)位。（您可以開發(fā)更安全的算法，當前這個算法只是作為一個例子。）

為了“hook”序列化過程，我們將在Person上實現(xiàn)一個writeObject方法；為了“hook”反序列化過程，我們將在同一個類上實現(xiàn)一個readObject方法。重要的是這兩個方法的細節(jié)要正確—如果訪問修改方法、參數(shù)或名稱不同于清單4中的內(nèi)容，那么代碼將不被察覺地失敗，Person的age將暴露。

清單4.模糊化序列化數(shù)據(jù)  
publicclassPerson  
implementsjava.io.Serializable  
{  
publicPerson(Stringfn,Stringln,inta)  
{  
this.firstName=fn;this.lastName=ln;this.age=a;  
}  
 
publicStringgetFirstName(){returnfirstName;}  
publicStringgetLastName(){returnlastName;}  
publicintgetAge(){returnage;}  
publicPersongetSpouse(){returnspouse;}  
 
publicvoidsetFirstName(Stringvalue){firstName=value;}  
publicvoidsetLastName(Stringvalue){lastName=value;}  
publicvoidsetAge(intvalue){age=value;}  
publicvoidsetSpouse(Personvalue){spouse=value;}  
 
privatevoidwriteObject(java.io.ObjectOutputStreamstream)  
throwsjava.io.IOException  
{  
//"Encrypt"/obscurethesensitivedata  
ageage=age<<2;  
stream.defaultWriteObject();  
}  
 
privatevoidreadObject(java.io.ObjectInputStreamstream)  
throwsjava.io.IOException,ClassNotFoundException  
{  
stream.defaultReadObject();  
 
//"Decrypt"/de-obscurethesensitivedata  
ageage=age<<2;  
}  
 
publicStringtoString()  
{  
return"[Person:firstName="+firstName+  
"lastName="+lastName+  
"age="+age+  
"spouse="+(spouse!=null?spouse.getFirstName():"[null]")+  
"]";  
}  
 
privateStringfirstName;  
privateStringlastName;  
privateintage;  
privatePersonspouse;  
} 

如果需要查看被模糊化的數(shù)據(jù)，總是可以查看序列化數(shù)據(jù)流/文件。而且，由于該格式被完全文檔化，即使不能訪問類本身，也仍可以讀取序列化流中的內(nèi)容。

3.序列化的數(shù)據(jù)可以被簽名和密封

上一個技巧假設(shè)您想模糊化序列化數(shù)據(jù)，而不是對其加密或者確保它不被修改。當然，通過使用writeObject和readObject可以實現(xiàn)密碼加密和簽名管理，但其實還有更好的方式。

如果需要對整個對象進行加密和簽名，最簡單的是將它放在一個javax.crypto.SealedObject和/或java.security.SignedObject包裝器中。兩者都是可序列化的，所以將對象包裝在SealedObject中可以圍繞原對象創(chuàng)建一種“包裝盒”。必須有對稱密鑰才能解密，而且密鑰必須單獨管理。同樣，也可以將SignedObject用于數(shù)據(jù)驗證，并且對稱密鑰也必須單獨管理。結(jié)合使用這兩種對象，便可以輕松地對序列化數(shù)據(jù)進行密封和簽名，而不必強調(diào)關(guān)于數(shù)字簽名驗證或加密的細節(jié)。很簡潔，是吧？

#p#

4.序列化允許將代理放在流中

很多情況下，類中包含一個核心數(shù)據(jù)元素，通過它可以派生或找到類中的其他字段。在此情況下，沒有必要序列化整個對象?？梢詫⒆侄螛擞洖閠ransient，但是每當有方法訪問一個字段時，類仍然必須顯式地產(chǎn)生代碼來檢查它是否被初始化。

如果首要問題是序列化，那么最好指定一個flyweight或代理放在流中。為原始Person提供一個writeReplace方法，可以序列化不同類型的對象來代替它。類似地，如果反序列化期間發(fā)現(xiàn)一個readResolve方法，那么將調(diào)用該方法，將替代對象提供給調(diào)用者。

打包和解包代理

writeReplace和readResolve方法使Person類可以將它的所有數(shù)據(jù)（或其中的核心數(shù)據(jù)）打包到一個PersonProxy中，將它放入到一個流中，然后在反序列化時再進行解包。

清單5.你完整了我，我代替了你  
classPersonProxy  
implementsjava.io.Serializable  
{  
publicPersonProxy(Personorig)  
{  
data=orig.getFirstName()+","+orig.getLastName()+","+orig.getAge();  
if(orig.getSpouse()!=null)  
{  
Personspouse=orig.getSpouse();  
datadata=data+","+spouse.getFirstName()+","+spouse.getLastName()+","  
+spouse.getAge();  
}  
}  
 
publicStringdata;  
privateObjectreadResolve()  
throwsjava.io.ObjectStreamException  
{  
String[]pieces=data.split(",");  
Personresult=newPerson(pieces[0],pieces[1],Integer.parseInt(pieces[2]));  
if(pieces.length>3)  
{  
result.setSpouse(newPerson(pieces[3],pieces[4],Integer.parseInt  
(pieces[5])));  
result.getSpouse().setSpouse(result);  
}  
returnresult;  
}  
}  
 
publicclassPerson  
implementsjava.io.Serializable  
{  
publicPerson(Stringfn,Stringln,inta)  
{  
this.firstName=fn;this.lastName=ln;this.age=a;  
}  
 
publicStringgetFirstName(){returnfirstName;}  
publicStringgetLastName(){returnlastName;}  
publicintgetAge(){returnage;}  
publicPersongetSpouse(){returnspouse;}  
 
privateObjectwriteReplace()  
throwsjava.io.ObjectStreamException  
{  
returnnewPersonProxy(this);  
}  
 
publicvoidsetFirstName(Stringvalue){firstName=value;}  
publicvoidsetLastName(Stringvalue){lastName=value;}  
publicvoidsetAge(intvalue){age=value;}  
publicvoidsetSpouse(Personvalue){spouse=value;}  
 
publicStringtoString()  
{  
return"[Person:firstName="+firstName+  
"lastName="+lastName+  
"age="+age+  
"spouse="+spouse.getFirstName()+  
"]";  
}  
 
privateStringfirstName;  
privateStringlastName;  
privateintage;  
privatePersonspouse;  
} 

注意，PersonProxy必須跟蹤Person的所有數(shù)據(jù)。這通常意味著代理需要是Person的一個內(nèi)部類，以便能訪問private字段。有時候，代理還需要追蹤其他對象引用并手動序列化它們，例如Person的spouse。

這種技巧是少數(shù)幾種不需要讀/寫平衡的技巧之一。例如，一個類被重構(gòu)成另一種類型后的版本可以提供一個readResolve方法，以便靜默地將被序列化的對象轉(zhuǎn)換成新類型。類似地，它可以采用writeReplace方法將舊類序列化成新版本。

#p#

5.信任，但要驗證

認為序列化流中的數(shù)據(jù)總是與最初寫到流中的數(shù)據(jù)一致，這沒有問題。但是，正如一位美國前總統(tǒng)所說的，“信任，但要驗證”。

對于序列化的對象，這意味著驗證字段，以確保在反序列化之后它們?nèi)跃哂姓_的值，“以防萬一”。為此，可以實現(xiàn)ObjectInputValidation接口，并覆蓋validateObject()方法。如果調(diào)用該方法時發(fā)現(xiàn)某處有錯誤，則拋出一個InvalidObjectException。

結(jié)束語

Java對象序列化比大多數(shù)Java開發(fā)人員想象的更靈活，這使我們有更多的機會解決棘手的情況。幸運的是，像這樣的編程妙招在JVM中隨處可見。關(guān)鍵是要知道它們，在遇到難題的時候能用上它們。

【編輯推薦】

1. Java序列化的機制和原理
2. Java對象序列化使用基礎(chǔ)
3. Java對象的序列化和反序列化實踐
4. Java Socket通信的序列化和反序列化代碼介紹
5. Java Socket網(wǎng)絡(luò)傳輸?shù)男蛄谢瘷C制