文档章节

Java序列化的机制和原理(转)

司马有专属
 司马有专属
发布于 2014/01/04 17:44
字数 1898
阅读 19
收藏 1
点赞 0
评论 0

有关Java对象的序列化和反序列化也算是Java基础的一部分,下面对Java序列化的机制和原理进行一些介绍。 Java序列化算法透析 Serialization(序列化)是一种将对象以一连串的字节描述的过程;反序列化deserialization是一种将这些字节重建成一个对象的过程。Java序列化API提供一种处理对象序列化的标准机制。在这里你能学到如何序列化一个对象,什么时候需要序列化以及Java序列化的算法,我们用一个实例来示范序列化以后的字节是如何描述一个对象的信息的。 序列化的必要性 Java中,一切都是对象,在分布式环境中经常需要将Object从这一端网络或设备传递到另一端。这就需要有一种可以在两端传输数据的协议。Java序列化机制就是为了解决这个问题而产生。 如何序列化一个对象 一个对象能够序列化的前提是实现Serializable接口,Serializable接口没有方法,更像是个标记。有了这个标记的Class就能被序列化机制处理。 import java.io.Serializable;   class TestSerial implements Serializable {          public byte version = 100;          public byte count = 0;   } 然后我们写个程序将对象序列化并输出。ObjectOutputStream能把Object输出成Byte流。我们将Byte流暂时存储到temp.out文件里。 public static void main(String args[]) throws IOException {          FileOutputStream fos = new FileOutputStream("temp.out");          ObjectOutputStream oos = new ObjectOutputStream(fos);          TestSerial ts = new TestSerial();          oos.writeObject(ts);          oos.flush();          oos.close();   } 如果要从持久的文件中读取Bytes重建对象,我们可以使用ObjectInputStream。   public static void main(String args[]) throws IOException {          FileInputStream fis = new FileInputStream("temp.out");          ObjectInputStream oin = new ObjectInputStream(fis);          TestSerial ts = (TestSerial) oin.readObject();          System.out.println("version="+ts.version);   } 执行结果为 100. 对象的序列化格式 将一个对象序列化后是什么样子呢?打开刚才我们将对象序列化输出的temp.out文件,以16进制方式显示。内容应该如下: AC ED 00 05 73 72 00 0A 53 65 72 69 61 6C 54 65 73 74 A0 0C 34 00 FE B1 DD F9 02 00 02 42 00 05 63 6F 75 6E 74 42 00 07 76 65 72 73 69 6F 6E 78 70 00 64 这一坨字节就是用来描述序列化以后的 TestSerial对象的,我们注意到TestSerial类中只有两个域: public byte version = 100; public byte count = 0; 且都是byte型,理论上存储这两个域只需要2个byte,但是实际上temp.out占据空间为51bytes,也就是说除了数据以外,还包括了对序列化对象的其他描述。 Java的序列化算法 序列化算法一般会按步骤做如下事情: ◆将对象实例相关的类元数据输出。 ◆递归地输出类的超类描述直到不再有超类。 ◆类元数据完了以后,开始从最顶层的超类开始输出对象实例的实际数据值。 ◆从上至下递归输出实例的数据 我们用另一个更完整覆盖所有可能出现的情况的例子来说明: class parent implements Serializable {          int parentVersion = 10;   }       class contain implements Serializable{          int containVersion = 11;   }   public class SerialTest extends parent implements Serializable {          int version = 66;          contain con = new contain();              public int getVersion() {                 return version;          }          public static void main(String args[]) throws IOException {                 FileOutputStream fos = new FileOutputStream("temp.out");                 ObjectOutputStream oos = new ObjectOutputStream(fos);                 SerialTest st = new SerialTest();                 oos.writeObject(st);                 oos.flush();                 oos.close();          }   } 这个例子是相当的直白啦。SerialTest类实现了Parent超类,内部还持有一个Container对象。 序列化后的格式如下: AC ED 00 05 73 72 00 0A 53 65 72 69 61 6C 54 65 73 74 05 52 81 5A AC 66 02 F6 02 00 02 49 00 07 76 65 72 73 69 6F 6E 4C 00 03 63 6F 6E 74 00 09 4C 63 6F 6E 74 61 69 6E 3B 78 72 00 06 70 61 72 65 6E 74 0E DB D2 BD 85 EE 63 7A 02 00 01 49 00 0D 70 61 72 65 6E 74 56 65 72 73 69 6F 6E 78 70 00 00 00 0A 00 00 00 42 73 72 00 07 63 6F 6E 74 61 69 6E FC BB E6 0E FB CB 60 C7 02 00 01 49 00 0E 63 6F 6E 74 61 69 6E 56 65 72 73 69 6F 6E 78 70 00 00 00 0B 我们来仔细看看这些字节都代表了啥。开头部分,见颜色: AC ED: STREAM_MAGIC. 声明使用了序列化协议. 00 05: STREAM_VERSION. 序列化协议版本. 0x73: TC_OBJECT. 声明这是一个新的对象.   序列化算法的第一步就是输出对象相关类的描述。例子所示对象为SerialTest类实例,因此接下来输出SerialTest类的描述。见颜色: 0x72: TC_CLASSDESC. 声明这里开始一个新Class。 00 0A: Class名字的长度. 53 65 72 69 61 6c 54 65 73 74: SerialTest,Class类名. 05 52 81 5A AC 66 02 F6: SerialVersionUID, 序列化ID,如果没有指定,则会由算法随机生成一个8byte的ID. 0x02: 标记号. 该值声明该对象支持序列化。 00 02: 该类所包含的域个数。 接下来,算法输出其中的一个域,int version=66;见颜色: 0x49: 域类型. 49 代表"I", 也就是Int. 00 07: 域名字的长度. 76 65 72 73 69 6F 6E: version,域名字描述. 然后,算法输出下一个域,contain con = new contain();这个有点特殊,是个对象。描述对象类型引用时需要使用JVM的标准对象签名表示法,见颜色: 0x4C: 域的类型. 00 03: 域名字长度. 63 6F 6E: 域名字描述,con 0x74: TC_STRING. 代表一个new String.用String来引用对象。 00 09: 该String长度. 4C 63 6F 6E 74 61 69 6E 3B: Lcontain;, JVM的标准对象签名表示法. 0x78: TC_ENDBLOCKDATA,对象数据块结束的标志 .接下来算法就会输出超类也就是Parent类描述了,见颜色: 0x72: TC_CLASSDESC. 声明这个是个新类. 00 06: 类名长度. 70 61 72 65 6E 74: parent,类名描述。 0E DB D2 BD 85 EE 63 7A: SerialVersionUID, 序列化ID. 0x02: 标记号. 该值声明该对象支持序列化. 00 01: 类中域的个数. 下一步,输出parent类的域描述,int parentVersion=100;同见颜色: 0x49: 域类型. 49 代表"I", 也就是Int. 00 0D: 域名字长度. 70 61 72 65 6E 74 56 65 72 73 69 6F 6E: parentVersion,域名字描述。 0x78: TC_ENDBLOCKDATA,对象块结束的标志。 0x70: TC_NULL, 说明没有其他超类的标志。. 到此为止,算法已经对所有的类的描述都做了输出。下一步就是把实例对象的实际值输出了。这时候是从parent Class的域开始的,见颜色: 00 00 00 0A: 10, parentVersion域的值. 还有SerialTest类的域: 00 00 00 42: 66, version域的值. 再往后的bytes比较有意思,算法需要描述contain类的信息,要记住,现在还没有对contain类进行过描述,见颜色: 0x73: TC_OBJECT, 声明这是一个新的对象. 0x72: TC_CLASSDESC声明这里开始一个新Class. 00 07: 类名的长度. 63 6F 6E 74 61 69 6E: contain,类名描述. FC BB E6 0E FB CB 60 C7: SerialVersionUID, 序列化ID. 0x02: Various flags. 标记号. 该值声明该对象支持序列化 00 01: 类内的域个数。 .输出contain的唯一的域描述,int containVersion=11; 0x49: 域类型. 49 代表"I", 也就是Int.. 00 0E: 域名字长度. 63 6F 6E 74 61 69 6E 56 65 72 73 69 6F 6E: containVersion, 域名字描述. 0x78: TC_ENDBLOCKDATA对象块结束的标志. 这时,序列化算法会检查contain是否有超类,如果有的话会接着输出。 0x70:TC_NULL,没有超类了。 最后,将contain类实际域值输出。 00 00 00 0B: 11, containVersion的值.

本文转载自:

共有 人打赏支持
司马有专属
粉丝 0
博文 4
码字总数 0
作品 0
朝阳
程序员
Java反序列化漏洞的原理分析

  *本文原创作者:Moonlightos,本文属FreeBuf原创奖励计划,未经许可禁止转载   世界上有三件事最难:      把别人的钱装进自己的口袋里   把自己的想法装进别人的脑袋里   让自...

FreeBuf ⋅ 05/04 ⋅ 0

大数据学习之(Storm)-原理详解!

角色 Client client的主要作用是提交topology到集群 Worker Worker是运行在Supervisor节点上的一个独立的JVM进程,主要作用是运行topology,一个topology可以包含多个worker,但一个worker只...

qq5af153121eb2c ⋅ 05/08 ⋅ 0

为什么我墙裂建议大家使用枚举来实现单例

我们知道,单例模式,一般有七种写法,那么这七种写法中,最好的是哪一种呢?为什么呢?本文就来抽丝剥茧一下。 哪种写单例的方式最好 在StakcOverflow中,有一个关于What is an efficient ...

冷_6986 ⋅ 06/13 ⋅ 0

spring-boot-starter-grpc 实现原理

RPC 流程 1、服务调用方(Client)将远程方法的信息(如类名、方法方法名、方法传入的参数)封装为统一的请求体; 2、序列化请求对象,转化为二进制串,方便传输; 3、通过 Client Stub 发送...

Anoyi ⋅ 05/20 ⋅ 0

为什么我墙裂建议大家使用枚举来实现单例。

关于单例模式,我的博客中有很多文章介绍过。作为23种设计模式中最为常用的设计模式,单例模式并没有想象的那么简单。因为在设计单例的时候要考虑很多问题,比如线程安全问题、序列化对单例的...

⋅ 06/10 ⋅ 0

Java序列化技术即将被废除!!!

我们的对象并不只是存在内存中,还需要传输网络,或者保存起来下次再加载出来用,所以需要Java序列化技术。Java序列化技术正是将对象转变成一串由二进制字节组成的数组,可以通过将二进制数据...

Java技术栈 ⋅ 05/30 ⋅ 0

Java高级程序员面试大纲——错过了金三,你还要错过银四吗

跳槽时时刻刻都在发生,但是我建议大家跳槽之前,先想清楚为什么要跳槽。切不可跟风,看到同事一个个都走了,自己也盲目的开始面试起来(期间也没有准备充分),到底是因为技术原因(影响自己...

Java高级架构 ⋅ 04/27 ⋅ 0

甲骨文称 Java 序列化的存在是个错误,计划删除

甲骨文计划从 Java 中去除序列化功能,因其在安全方面一直是一个棘手的问题。 Java 序列化也称为 Java 对象序列化,该功能用于将对象编码为字节流...Oracle 的 Java 平台小组的首席架构师 Ma...

达尔文 ⋅ 05/28 ⋅ 0

Java程序员面试大纲—错过了金三银四,你还要错过2018吗?

跳槽时时刻刻都在发生,但是我建议大家跳槽之前,先想清楚为什么要跳槽。切不可跟风,看到同事一个个都走了,自己也盲目的开始面试起来(期间也没有准备充分),到底是因为技术原因(影响自己...

java高级架构牛人 ⋅ 04/27 ⋅ 0

Java序列化之Serializable

1.需求 1.什么是Java序列化 2.详解 1.序列化 理解为"打碎"即可 2.在书本上序列化的意思是将Java对象转为二进制 3.java平台允许我们在内存中创建对象,当JVM运行时对象才能存在,如果JVM停止,对...

村长大神 ⋅ 05/08 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

JDK1.6和JDK1.7中,Collections.sort的区别,

背景 最近,项目正在集成测试阶段,项目在服务器上运行了一段时间,点击表格的列进行排序的时候,有的列排序正常,有的列在排序的时候,在后台会抛出如下异常,查询到不到数据,而且在另外一...

tsmyk0715 ⋅ 32分钟前 ⋅ 0

spring RESTful

spring RESTful官方文档:http://spring.io/guides/gs/rest-service/ 1. 可以这么去理解RESTful:其实就是web对外提供的一种基于URL、URI的资源供给服务。不是一个原理性知识点。是一个方法论...

BobwithB ⋅ 34分钟前 ⋅ 0

C++ 中命名空间的 5 个常见用法

相信小伙伴们对C++已经非常熟悉,但是对命名空间经常使用到的地方还不是很明白,这篇文章就针对命名空间这一块做了一个叙述。 命名空间在1995年被引入到 c++ 标准中,通常是这样定义的: 命名...

柳猫 ⋅ 37分钟前 ⋅ 0

@Conditional派生注解

@Conditional派生注解(Spring注解版原生的@Conditional作用) 作用:必须是@Conditional指定的条件成立,才给容器中添加组件,配置配里面的所有内容才生效; @Conditional扩展注解 作用(判...

小致dad ⋅ 37分钟前 ⋅ 0

适配器模式

适配器模式 对象适配器 通过私有属性来实现的类适配器 通过继承来实现的接口适配器 通过继承一个默认实现的类实现的

Cobbage ⋅ 41分钟前 ⋅ 0

Java 限流策略

概要 在大数据量高并发访问时,经常会出现服务或接口面对暴涨的请求而不可用的情况,甚至引发连锁反映导致整个系统崩溃。此时你需要使用的技术手段之一就是限流,当请求达到一定的并发数或速...

轨迹_ ⋅ 45分钟前 ⋅ 0

GridView和子View之间的间隙

默认的情况下GridView和子View之间会有一个间隙,原因是GridView为了在子View被选中时在子View周围显示一个框。去掉的办法如下: android:listSelector="#0000" 或 setSelector(new ColorDra...

国仔饼 ⋅ 48分钟前 ⋅ 0

idea插件开发

1 刷新页面要使用多线程 2 调试要使用restart bug 不要去关闭调试的idea 否则再次启动会卡住

林伟琨 ⋅ 48分钟前 ⋅ 0

Java 内存模型

物理机并发处理方案 绝大多数计算任务,并不是单纯依赖 cpu 的计算完成,不可避免需要与内存交互,获取数据。内存要拿到数据,需要和硬盘发生 I/O 操作。计算机存储设备与 cpu 之间的处理速度...

长安一梦 ⋅ 55分钟前 ⋅ 0

思路分析 如何通过反射 给 bean entity 对象 的List 集合属性赋值?

其实 这块 大家 去 看 springmvc 源码 肯定可以找到实现办法。 因为 spirngmvc 的方法 是可以 为 对象 参数里面的 list 属性赋值的。 我也没有看 具体的 mvc 源码实现,我这里只是 写一个 简...

之渊 ⋅ 今天 ⋅ 0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部