Effective Java-序列化

Java序列化机制提供了一个框架,用来将对象编码成字节流,并从字节流编码中重新构建对象。一旦对象被序列化之后,就可以被存储在磁盘上,或者网络另外一台计算机上。序列化技术为远程通信提供了标准的线路级对象表示法,也为JavaBeans组件提供了标准的持久化数据格式。
本章内容导图:

1.谨慎地实现Serializable接口

使一个类的实例可被序列化,只需要让它实现Serializable接口即可。因为简单,程序员普遍对序列化存在误解,以为不需要做什么工作就可以实现序列化,实际的情形却复杂的多。

实现Serializable的代价有:
1.一旦一个类被发布,就大大降低了改变这个类的实现的灵活性
一个类实现了Serializable接口,它的字节流编码就变成了导出API的一部分。一旦这个类被广泛使用,就必须永远支持这种序列化形式。如果不认真设计一种自定义的序列化形式,而仅仅接受默认的序列化形式,这种序列化形式将被永远地束缚在该类最初的内部表示法上。
2.它增加了出现bug和安全漏洞的可能性
通常是用构造器来构建对象的,序列化机制提供一种语言之外的对象创建机制,反序列化机制是一个隐藏的构造器,具备与其他构造器相同的特点。默认的反序列化机制很容易使对象的约束关系遭到破坏,也易遭受非法访问。
3.随着类发行新的版本,相关的测试负担也增加了
一旦发布,需要确保各版本的兼容性

每当实现一个类的时候,都需要权衡一下实现序列化所付出的代价和带来的好处。

内部类不应该实现Serializable。
静态成员类可以实现Serializable。

实现Serializable接口代表一个承诺,必须仔细考虑。
如果一个类是为了继承而设计的,需要倍加留意子类序列化的需求。对于为继承而设计的不可序列化的类,应该考虑提供一个无参构造器,否则子类就无法进行序列化。

2.考虑使用自定义的序列化形式

如果没有认真考虑默认的序列化形式是否合适,就不要贸然接受。接受默认的序列化形式是一个非常重要的决定,需要从灵活性、性能和正确性多个角度对这种编码形式进行考察。一般来讲,只有当你自行设计的自定义序列化形式与默认的序列化形式基本相同时,才能接受默认的序列化形式。

即便是确定了默认的序列化形式是合适的,通常还必须提供一个readObject方法以保证约束关系和安全性。

当一个对象的物理表示法与它的逻辑数据内容有实质性的区别时,使用默认序列化形式有以下4个缺点:
1.它使这个类的导出API永远地束缚在该类的内部表示法上
序列化字节流也是导出API的一部分,也代表一种约定。
2.它会消耗过多的空间
例如链表的序列化,不仅表示链表中的每个项,还要表示所有的连接关系,这是不必要的。
3.它会消耗过多的时间
序列化逻辑并不了解对象图的拓扑结构,所以它必须要经过一个昂贵的图遍历过程。
4.它会引起栈溢出
默认的序列化过程要对对象图执行一次递归遍历,即使对于中等规模的对象图,这样的操作也可能会引起栈溢出。

无论是否使用默认的序列化形式,当defaultWriteObject方法被调用的时候,每一个未被标记为transient的实例域都会被序列化。

不管选择哪种序列化形式,都要为自己编写的每个可序列化的类声明一个显式的序列版本UID。

当决定要将一个类做成可序列化的时候,应该仔细考虑采用什么样的序列化形式。只有当默认的序列化形式能够合理地描述对象的逻辑状态时,才能使用默认的序列化形式;否则就要设计一个自定义的序列化形式,通过它合理地描述对象的状态。
应该分配足够多的时间来设计类的序列化形式,就像要分配足够多的时间来设计它的导出API一样。你无法在将来的版本中去掉导出方法,也不能去掉序列化形式中的域,它们必须被永久地保留下去,以确保序列化兼容性。选择错误的序列化形式对于一个类的复杂性和性能都会有永久的负面影响

3.保护性地编写readObject方法

readObject相当于另一个公有的构造器,如同其他的构造器一样,它也要求注意同样的所有注意事项:必须检查参数的有效性,必要的时候对参数进行保护性拷贝。如果readObject无法做到这两点,就易遭受攻击。

编写健壮readObject方法的指导方针:
1.对于对象引用域必须保持为私有的类,要保护性地拷贝这些域中的每个对象。不可变类的可变组件就属于这一类别。
2.对于任何约束条件,如果检查失败,则抛出一个InvalidObjectException异常。这些检查应该跟在所有的保护性拷贝之后。
3.如果整个对象图在被反序列化之后必须进行验证,就应该使用ObjectInputValidation接口。
4.无论是直接方式还是间接方式,都不要调用类中任何可覆盖的方法。

每当编写readObject方法的时候,要想到正在编写一个公有的构造器,无论给它传递什么样的字节流,它都必须产生一个有效的实例。

4.对于实例控制,枚举类型优先于readResolve

不管是采用默认的序列化方式,还是自定义的序列化方式,都相当于对外部提供了一个公有的构造器。对于可序列化的实例受控类(如可序列化的单例类),readResolve方法提供了一种控制实例构建的方法。
readResolve方法允许你用readObject创建的实例代替另一个实例。对于一个正在被反序列化的对象,如果它的类定义了一个readResolve方法,并且具备正确的声明,那么在反序列化之后,新建对象上的readResolve方法就会被调用,该方法返回的对象引用将被返回,取代新建的对象。在这个特性的绝大多数用法中,指向新建对象的引用不需要再被引用,立即成为垃圾回收的对象

如果依赖readResolve进行实例控制,带有对象引用的所有实例域都必须声明为transient的,否则就可能会被攻击。

将一个可序列化的实例受控类编写成枚举,就可以绝对保证除了所声明的常量之外,不会有别的实例,这是由JVM保障的。

public enum Elvis {
    INSTANCE;

    private String[] favoriteSongs = {"Hound Dog", "Heartbreak Hotel"};

    public void printFavorites() {
        System.out.println(Arrays.toString(favoriteSongs));
    }
}

应该尽可能地使用枚举类型来实施实例控制的约束条件。如果做不到,同时又需要一个既可序列化又是实例受控的类,就必须提供一个readResolve方法,并确保该类的所有实例域都为基本类型,或者是transient的。

5.考虑用序列化代理代替序列化实例

实现Serializable接口,会增加出错和出现安全问题的可能性,因为它是利用语言之外的机制来创建对象的,而不是使用普通的构造器。序列化代理模式可以极大地减少上述风险的发生。

实现序列化代理模式的方法:
1.为可序列化的类设计一个私有的静态嵌套类,精确地表示外围类实例的逻辑状态。
2.将writeReplace方法添加到外围类中:

private Object writeReplace() {
    return new SerializationProxy(this);
}

3.在外围类中添加如下readObject方法:

private void readObject(ObjectInputStream in) throws InvalidObjectException {
    throw new InvalidObjectException("Proxy required");
}

4.在代理类中提供一个readResolve方法,它返回一个逻辑上相当的外围类实例:

private Object readResolve() {
    return new Period(start, end);
}

序列化代理模式的完整实现为:

public final class Period implements Serializable {
    private final Date start;
    private final Date end;
    
    public Period(Date start, Date end) {
        this.start = new Date(start.getTime());
        this.end = new Date(end.getTime());
        
        if (this.start.compareTo(this.end) > 0) {
            throw new IllegalArgumentException(start + " after " + end);
        }
    }
    
    public Date start() {
        return new Date(start.getTime());
    }
    
    public Date end() {
        return new Date(end.getTime());
    }
    
    private void readObject(ObjectInputStream in) throws InvalidObjectException {
        throw new InvalidObjectException("Proxy required");
    }
    
    //将外围类的实例转变成了它的序列化代理
    private Object writeReplace() {
        return new SerializationProxy(this);
    }
    
    
    private static class SerializationProxy implements Serializable {
        private final Date start;
        private final Date end;
        
        SerializationProxy(Period p) {
            this.start = p.start;
            this.end = p.end;
        }
        
        private Object readResolve() {
            return new Period(start, end);
        }
        
        private static final long serialVersionUID = 234098243823485285L;
    }
}

如果必须在一个不能被客户端扩展的类上编写readObject或者writeObject方法的时候,就应该考虑使用序列化代理模式。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 212,686评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,668评论 3 385
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,160评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,736评论 1 284
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,847评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,043评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,129评论 3 410
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,872评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,318评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,645评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,777评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,470评论 4 333
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,126评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,861评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,095评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,589评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,687评论 2 351

推荐阅读更多精彩内容

  • JAVA序列化机制的深入研究 对象序列化的最主要的用处就是在传递,和保存对象(object)的时候,保证对象的完整...
    时待吾阅读 10,844评论 0 24
  • 将一个对象编码成字节流称作将该对象「序列化」。相反,从字节流编码中重新构建对象被称作「反序列化」。一旦对象被「序列...
    Alent阅读 777评论 0 1
  • 正如前文《Java序列化心得(一):序列化设计和默认序列化格式的问题》中所提到的,默认序列化方法存在各种各样的问题...
    登高且赋阅读 8,363评论 0 19
  • 在Java中,我们可以通过多种方式来创建对象,并且只要对象没有被回收我们都可以复用该对象。但是,我们创建出来的这些...
    懒癌正患者阅读 1,526评论 0 12
  • 陪读,其实就是帮助她们度过学习一个又一个的平台期。我本是最厌恶长期的人,长期的坚持,长期的爱,长期的恨,对我来说都...
    方糖唐阅读 284评论 0 0