作者:釋懷 來(lái)源:
創(chuàng)新互聯(lián)建站專注于網(wǎng)站建設(shè)|成都網(wǎng)站維護(hù)|優(yōu)化|托管以及網(wǎng)絡(luò)推廣,積累了大量的網(wǎng)站設(shè)計(jì)與制作經(jīng)驗(yàn),為許多企業(yè)提供了網(wǎng)站定制設(shè)計(jì)服務(wù)�,案例作品覆蓋成都葡萄架等行業(yè)��。能根據(jù)企業(yè)所處的行業(yè)與銷售的產(chǎn)品�����,結(jié)合品牌形象的塑造�,量身制作品質(zhì)網(wǎng)站��。
http://www.topthink.com/topic/11361.htmll
(本文版權(quán)歸原作者所有��。轉(zhuǎn)載文章僅為傳播更多信息之目的�����,如有侵權(quán)請(qǐng)與我們聯(lián)系�����,我們將及時(shí)處理�����。)
您覺(jué)得自己懂 Java 編程�����?事實(shí)上,大多數(shù)程序員對(duì)于 Java 平臺(tái)都是淺嘗則止���,只學(xué)習(xí)了足以完成手頭上任務(wù)的知識(shí)而已���。在本系列 中,Ted Neward 深入挖掘 Java 平臺(tái)的核心功能��,揭示一些鮮為人知的事實(shí)�����,幫助您解決最棘手的編程挑戰(zhàn)��。
關(guān)于本系列
大約一年前�����,一個(gè)負(fù)責(zé)管理應(yīng)用程序所有用戶設(shè)置的開(kāi)發(fā)人員���,決定將用戶設(shè)置存儲(chǔ)在一個(gè) Hashtable中�����,然后將這個(gè) Hashtable 序列化到磁盤�����,以便持久化�����。當(dāng)用戶更改設(shè)置時(shí)�,便重新將 Hashtable 寫到磁盤��。
這是一個(gè)優(yōu)雅的�、開(kāi)放式的設(shè)置系統(tǒng),但是���,當(dāng)團(tuán)隊(duì)決定從 Hashtable 遷移到 Java Collections 庫(kù)中的HashMap 時(shí)��,這個(gè)系統(tǒng)便面臨崩潰����。
Hashtable 和 HashMap 在磁盤上的格式是不相同��、不兼容的���。除非對(duì)每個(gè)持久化的用戶設(shè)置運(yùn)行某種類型的數(shù)據(jù)轉(zhuǎn)換實(shí)用程序(極其龐大的任務(wù))����,否則以后似乎只能一直用Hashtable 作為應(yīng)用程序的存儲(chǔ)格式。
團(tuán)隊(duì)感到陷入僵局�,但這只是因?yàn)樗麄儾恢狸P(guān)于 Java 序列化的一個(gè)重要事實(shí):Java 序列化允許隨著時(shí)間的推移而改變類型。當(dāng)我向他們展示如何自動(dòng)進(jìn)行序列化替換后��,他們終于按計(jì)劃完成了向 HashMap 的轉(zhuǎn)變�。
本文是本系列的第一篇文章,這個(gè)系列專門揭示關(guān)于 Java 平臺(tái)的一些有用的小知識(shí) — 這些小知識(shí)不易理解�����,但對(duì)于解決 Java 編程挑戰(zhàn)遲早有用�����。
將 Java 對(duì)象序列化 API 作為開(kāi)端是一個(gè)不錯(cuò)的選擇����,因?yàn)樗鼜囊婚_(kāi)始就存在于 JDK 1.1 中。本文介紹的關(guān)于序列化的 5 件事情將說(shuō)服您重新審視那些標(biāo)準(zhǔn) Java API��。
Java 序列化簡(jiǎn)介
Java 對(duì)象序列化是 JDK 1.1 中引入的一組開(kāi)創(chuàng)性特性之一��,用于作為一種將 Java 對(duì)象的狀態(tài)轉(zhuǎn)換為字節(jié)數(shù)組,以便存儲(chǔ)或傳輸?shù)臋C(jī)制�,以后,仍可以將字節(jié)數(shù)組轉(zhuǎn)換回 Java 對(duì)象原有的狀態(tài)��。
實(shí)際上�����,序列化的思想是 “凍結(jié)” 對(duì)象狀態(tài)�,傳輸對(duì)象狀態(tài)(寫到磁盤��、通過(guò)網(wǎng)絡(luò)傳輸?shù)鹊龋?����,然?“解凍” 狀態(tài)�����,重新獲得可用的 Java 對(duì)象���。所有這些事情的發(fā)生有點(diǎn)像是魔術(shù)���,這要?dú)w功于 ObjectInputStream/ObjectOutputStream 類�����、完全保真的元數(shù)據(jù)以及程序員愿意用Serializable 標(biāo)識(shí)接口標(biāo)記他們的類�����,從而 “參與” 這個(gè)過(guò)程���。
清單 1 顯示一個(gè)實(shí)現(xiàn) Serializable 的 Person 類。
清單 1. Serializable Person
package com.tedneward;
public class Person
implements java.io.Serializable
{
public Person(String fn, String ln, int a)
{
this.firstName = fn; this.lastName = ln; this.age = a;
}
public String getFirstName() { return firstName; }
public String getLastName() { return lastName; }
public int getAge() { return age; }
public Person getSpouse() { return spouse; }
public void setFirstName(String value) { firstName = value; }
public void setLastName(String value) { lastName = value; }
public void setAge(int value) { age = value; }
public void setSpouse(Person value) { spouse = value; }
public String toString()
{
return "[Person: firstName=" + firstName +
" lastName=" + lastName +
" age=" + age +
" spouse=" + spouse.getFirstName() +
"]";
}
private String firstName;
private String lastName;
private int age;
private Person spouse;
}
將 Person 序列化后��,很容易將對(duì)象狀態(tài)寫到磁盤����,然后重新讀出它,下面的 JUnit 4 單元測(cè)試對(duì)此做了演示����。
清單 2. 對(duì) Person 進(jìn)行反序列化
public class SerTest
{
@Test public void serializeToDisk()
{
try
{
com.tedneward.Person ted = new com.tedneward.Person("Ted", "Neward", 39);
com.tedneward.Person charl = new com.tedneward.Person("Charlotte",
"Neward", 38);
ted.setSpouse(charl); charl.setSpouse(ted);
FileOutputStream fos = new FileOutputStream("tempdata.ser");
ObjectOutputStream oos = new ObjectOutputStream(fos);
oos.writeObject(ted);
oos.close();
}
catch (Exception ex)
{
fail("Exception thrown during test: " + ex.toString());
}
try
{
FileInputStream fis = new FileInputStream("tempdata.ser");
ObjectInputStream ois = new ObjectInputStream(fis);
com.tedneward.Person ted = (com.tedneward.Person) ois.readObject();
ois.close();
assertEquals(ted.getFirstName(), "Ted");
assertEquals(ted.getSpouse().getFirstName()��, "Charlotte");
// Clean up the file
new File("tempdata.ser").delete();
}
catch (Exception ex)
{
fail("Exception thrown during test: " + ex.toString());
}
}
}
到現(xiàn)在為止�����,還沒(méi)有看到什么新鮮的或令人興奮的事情,但是這是一個(gè)很好的出發(fā)點(diǎn)�����。我們將使用 Person 來(lái)發(fā)現(xiàn)您可能不知道的關(guān)于 Java 對(duì)象序列化的 5 件事��。
1. 序列化允許重構(gòu)
序列化允許一定數(shù)量的類變種���,甚至重構(gòu)之后也是如此���,ObjectInputStream 仍可以很好地將其讀出來(lái)。
Java Object Serialization 規(guī)范可以自動(dòng)管理的關(guān)鍵任務(wù)是:
取決于所需的向后兼容程度��,轉(zhuǎn)換字段形式(從非 static 轉(zhuǎn)換為 static 或從非 transient 轉(zhuǎn)換為 transient)或者刪除字段需要額外的消息傳遞����。
重構(gòu)序列化類
既然已經(jīng)知道序列化允許重構(gòu)����,我們來(lái)看看當(dāng)把新字段添加到 Person 類中時(shí),會(huì)發(fā)生什么事情�����。
如清單 3 所示,PersonV2 在原先 Person 類的基礎(chǔ)上引入一個(gè)表示性別的新字段�。
清單 3. 將新字段添加到序列化的 Person 中
enum Gender
{
MALE, FEMALE
}
public class Person
implements java.io.Serializable
{
public Person(String fn, String ln, int a, Gender g)
{
this.firstName = fn; this.lastName = ln; this.age = a; this.gender = g;
}
public String getFirstName() { return firstName; }
public String getLastName() { return lastName; }
public Gender getGender() { return gender; }
public int getAge() { return age; }
public Person getSpouse() { return spouse; }
public void setFirstName(String value) { firstName = value; }
public void setLastName(String value) { lastName = value; }
public void setGender(Gender value) { gender = value; }
public void setAge(int value) { age = value; }
public void setSpouse(Person value) { spouse = value; }
public String toString()
{
return "[Person: firstName=" + firstName +
" lastName=" + lastName +
" gender=" + gender +
" age=" + age +
" spouse=" + spouse.getFirstName() +
"]";
}
private String firstName;
private String lastName;
private int age;
private Person spouse;
private Gender gender;
}
序列化使用一個(gè) hash,該 hash 是根據(jù)給定源文件中幾乎所有東西 — 方法名稱�����、字段名稱�、字段類型、訪問(wèn)修改方法等 — 計(jì)算出來(lái)的�,序列化將該 hash 值與序列化流中的 hash 值相比較。
為了使 Java 運(yùn)行時(shí)相信兩種類型實(shí)際上是一樣的�����,第二版和隨后版本的 Person 必須與第一版有相同的序列化版本 hash(存儲(chǔ)為 private static final serialVersionUID 字段)��。
因此��,我們需要 serialVersionUID 字段���,它是通過(guò)對(duì)原始(或 V1)版本的 Person 類運(yùn)行 JDK serialver命令計(jì)算出的�����。
一旦有了 Person 的 serialVersionUID���,不僅可以從原始對(duì)象 Person 的序列化數(shù)據(jù)創(chuàng)建 PersonV2 對(duì)象(當(dāng)出現(xiàn)新字段時(shí)�,新字段被設(shè)為缺省值��,最常見(jiàn)的是“null”)�����,還可以反過(guò)來(lái)做:即從 PersonV2 的數(shù)據(jù)通過(guò)反序列化得到 Person�,這毫不奇怪。
2. 序列化并不安全
讓 Java 開(kāi)發(fā)人員詫異并感到不快的是��,序列化二進(jìn)制格式完全編寫在文檔中�����,并且完全可逆�����。實(shí)際上��,只需將二進(jìn)制序列化流的內(nèi)容轉(zhuǎn)儲(chǔ)到控制臺(tái)����,就足以看清類是什么樣子,以及它包含什么內(nèi)容����。
這對(duì)于安全性有著不良影響。例如���,當(dāng)通過(guò) RMI 進(jìn)行遠(yuǎn)程方法調(diào)用時(shí)�����,通過(guò)連接發(fā)送的對(duì)象中的任何 private 字段幾乎都是以明文的方式出現(xiàn)在套接字流中��,這顯然容易招致哪怕最簡(jiǎn)單的安全問(wèn)題�����。
幸運(yùn)的是����,序列化允許 “hook” 序列化過(guò)程��,并在序列化之前和反序列化之后保護(hù)(或模糊化)字段數(shù)據(jù)�����。可以通過(guò)在 Serializable 對(duì)象上提供一個(gè) writeObject 方法來(lái)做到這一點(diǎn)���。
模糊化序列化數(shù)據(jù)
假設(shè) Person 類中的敏感數(shù)據(jù)是 age 字段����。畢竟��,女士忌談年齡�。 我們可以在序列化之前模糊化該數(shù)據(jù),將數(shù)位循環(huán)左移一位�,然后在反序列化之后復(fù)位。(您可以開(kāi)發(fā)更安全的算法��,當(dāng)前這個(gè)算法只是作為一個(gè)例子��。)
為了 “hook” 序列化過(guò)程���,我們將在 Person 上實(shí)現(xiàn)一個(gè) writeObject 方法���;為了 “hook” 反序列化過(guò)程���,我們將在同一個(gè)類上實(shí)現(xiàn)一個(gè)readObject 方法��。重要的是這兩個(gè)方法的細(xì)節(jié)要正確 — 如果訪問(wèn)修改方法���、參數(shù)或名稱不同于清單 4 中的內(nèi)容���,那么代碼將不被察覺(jué)地失敗,Person 的 age 將暴露�����。
清單 4. 模糊化序列化數(shù)據(jù)
public class Person
implements java.io.Serializable
{
public Person(String fn, String ln, int a)
{
this.firstName = fn; this.lastName = ln; this.age = a;
}
public String getFirstName() { return firstName; }
public String getLastName() { return lastName; }
public int getAge() { return age; }
public Person getSpouse() { return spouse; }
public void setFirstName(String value) { firstName = value; }
public void setLastName(String value) { lastName = value; }
public void setAge(int value) { age = value; }
public void setSpouse(Person value) { spouse = value; }
private void writeObject(java.io.ObjectOutputStream stream)
throws java.io.IOException
{
// "Encrypt"/obscure the sensitive data
age = age << 2;
stream.defaultWriteObject();
}
private void readObject(java.io.ObjectInputStream stream)
throws java.io.IOException, ClassNotFoundException
{
stream.defaultReadObject();
// "Decrypt"/de-obscure the sensitive data
age = age << 2;
}
public String toString()
{
return "[Person: firstName=" + firstName +
" lastName=" + lastName +
" age=" + age +
" spouse=" + (spouse!=null ? spouse.getFirstName() : "[null]") +
"]";
}
private String firstName;
private String lastName;
private int age;
private Person spouse;
}
如果需要查看被模糊化的數(shù)據(jù)�,總是可以查看序列化數(shù)據(jù)流/文件。而且�����,由于該格式被完全文檔化���,即使不能訪問(wèn)類本身���,也仍可以讀取序列化流中的內(nèi)容。
3. 序列化的數(shù)據(jù)可以被簽名和密封
上一個(gè)技巧假設(shè)您想模糊化序列化數(shù)據(jù)��,而不是對(duì)其加密或者確保它不被修改。當(dāng)然���,通過(guò)使用 writeObject 和 readObject 可以實(shí)現(xiàn)密碼加密和簽名管理���,但其實(shí)還有更好的方式。
如果需要對(duì)整個(gè)對(duì)象進(jìn)行加密和簽名����,最簡(jiǎn)單的是將它放在一個(gè) javax.crypto.SealedObject 和/或 java.security.SignedObject 包裝器中。兩者都是可序列化的�,所以將對(duì)象包裝在 SealedObject 中可以圍繞原對(duì)象創(chuàng)建一種“包裝盒”。必須有對(duì)稱密鑰才能解密�����,而且密鑰必須單獨(dú)管理���。同樣�,也可以將 SignedObject 用于數(shù)據(jù)驗(yàn)證���,并且對(duì)稱密鑰也必須單獨(dú)管理����。
結(jié)合使用這兩種對(duì)象,便可以輕松地對(duì)序列化數(shù)據(jù)進(jìn)行密封和簽名��,而不必強(qiáng)調(diào)關(guān)于數(shù)字簽名驗(yàn)證或加密的細(xì)節(jié)����。很簡(jiǎn)潔�����,是吧�?
4. 序列化允許將代理放在流中
很多情況下,類中包含一個(gè)核心數(shù)據(jù)元素����,通過(guò)它可以派生或找到類中的其他字段。在此情況下���,沒(méi)有必要序列化整個(gè)對(duì)象�����?���?梢詫⒆侄螛?biāo)記為 transient,但是每當(dāng)有方法訪問(wèn)一個(gè)字段時(shí)���,類仍然必須顯式地產(chǎn)生代碼來(lái)檢查它是否被初始化�����。
如果首要問(wèn)題是序列化����,那么最好指定一個(gè) flyweight 或代理放在流中�。為原始 Person 提供一個(gè) writeReplace 方法,可以序列化不同類型的對(duì)象來(lái)代替它����。類似地,如果反序列化期間發(fā)現(xiàn)一個(gè) readResolve 方法���,那么將調(diào)用該方法����,將替代對(duì)象提供給調(diào)用者���。
打包和解包代理
writeReplace 和 readResolve 方法使 Person 類可以將它的所有數(shù)據(jù)(或其中的核心數(shù)據(jù))打包到一個(gè) PersonProxy 中�����,將它放入到一個(gè)流中����,然后在反序列化時(shí)再進(jìn)行解包�。
清單 5. 你完整了我,我代替了你
class PersonProxy
implements java.io.Serializable
{
public PersonProxy(Person orig)
{
data = orig.getFirstName() + "," + orig.getLastName() + "," + orig.getAge();
if (orig.getSpouse() != null)
{
Person spouse = orig.getSpouse();
data = data + "," + spouse.getFirstName() + "," + spouse.getLastName() + ","
+ spouse.getAge();
}
}
public String data;
private Object readResolve()
throws java.io.ObjectStreamException
{
String[] pieces = data.split(",");
Person result = new Person(pieces[0], pieces[1], Integer.parseInt(pieces[2]));
if (pieces.length > 3)
{
result.setSpouse(new Person(pieces[3], pieces[4], Integer.parseInt
(pieces[5])));
result.getSpouse().setSpouse(result);
}
return result;
}
}
public class Person
implements java.io.Serializable
{
public Person(String fn, String ln, int a)
{
this.firstName = fn; this.lastName = ln; this.age = a;
}
public String getFirstName() { return firstName; }
public String getLastName() { return lastName; }
public int getAge() { return age; }
public Person getSpouse() { return spouse; }
private Object writeReplace()
throws java.io.ObjectStreamException
{
return new PersonProxy(this);
}
public void setFirstName(String value) { firstName = value; }
public void setLastName(String value) { lastName = value; }
public void setAge(int value) { age = value; }
public void setSpouse(Person value) { spouse = value; }
public String toString()
{
return "[Person: firstName=" + firstName +
" lastName=" + lastName +
" age=" + age +
" spouse=" + spouse.getFirstName() +
"]";
}
private String firstName;
private String lastName;
private int age;
private Person spouse;
}
注意�,PersonProxy 必須跟蹤 Person 的所有數(shù)據(jù)。這通常意味著代理需要是 Person 的一個(gè)內(nèi)部類�,以便能訪問(wèn) private 字段。有時(shí)候����,代理還需要追蹤其他對(duì)象引用并手動(dòng)序列化它們,例如 Person 的 spouse��。
這種技巧是少數(shù)幾種不需要讀/寫平衡的技巧之一��。例如�,一個(gè)類被重構(gòu)成另一種類型后的版本可以提供一個(gè) readResolve 方法,以便靜默地將被序列化的對(duì)象轉(zhuǎn)換成新類型�����。類似地,它可以采用 writeReplace 方法將舊類序列化成新版本��。
5. 信任���,但要驗(yàn)證
認(rèn)為序列化流中的數(shù)據(jù)總是與最初寫到流中的數(shù)據(jù)一致�����,這沒(méi)有問(wèn)題��。但是��,正如一位美國(guó)前總統(tǒng)所說(shuō)的����,“信任��,但要驗(yàn)證”��。
對(duì)于序列化的對(duì)象����,這意味著驗(yàn)證字段,以確保在反序列化之后它們?nèi)跃哂姓_的值�����,“以防萬(wàn)一”。為此��,可以實(shí)現(xiàn) ObjectInputValidation接口�,并覆蓋 validateObject() 方法。如果調(diào)用該方法時(shí)發(fā)現(xiàn)某處有錯(cuò)誤�����,則拋出一個(gè) InvalidObjectException���。
結(jié)束語(yǔ)
Java 對(duì)象序列化比大多數(shù) Java 開(kāi)發(fā)人員想象的更靈活,這使我們有更多的機(jī)會(huì)解決棘手的情況�����。
幸運(yùn)的是���,像這樣的編程妙招在 JVM 中隨處可見(jiàn)���。關(guān)鍵是要知道它們,在遇到難題的時(shí)候能用上它們����。
網(wǎng)頁(yè)名稱:關(guān)于Java序列化5點(diǎn)必知
分享路徑:
http://weahome.cn/article/ijhhpi.html
重慶分公司
重慶分公司
