您好,欢迎访问三七文档
当前位置:首页 > 行业资料 > 交通运输 > 关于Java您不知道的5件事
关于Java对象序列化您不知道的5件事序列化的数据是安全的?不见得吧。简介:Java对象序列化(JavaObjectSerialization)在Java编程中是如此基本,以致于很容易让人想当然。但是,和Java平台的很多方面一样,只要肯深入挖掘,序列化总能给予回报。在这个新系列的第一篇文章中,TedNeward给出5个需重新审视Java对象序列化的理由,并提供重构、加密和验证序列化数据的技巧(和代码)。发布日期:2010年5月04日级别:初级其他语言版本:英文数年前,当和一个软件团队一起用Java语言编写一个应用程序时,我体会到比一般程序员多知道一点关于Java对象序列化的知识所带来的好处。关于本系列您觉得自己懂Java编程?事实上,大多数程序员对于Java平台都是浅尝则止,只学习了足以完成手头上任务的知识而已。在本系列中,TedNeward深入挖掘Java平台的核心功能,揭示一些鲜为人知的事实,帮助您解决最棘手的编程挑战。大约一年前,一个负责管理应用程序所有用户设置的开发人员,决定将用户设置存储在一个Hashtable中,然后将这个Hashtable序列化到磁盘,以便持久化。当用户更改设置时,便重新将Hashtable写到磁盘。这是一个优雅的、开放式的设置系统,但是,当团队决定从Hashtable迁移到JavaCollections库中的HashMap时,这个系统便面临崩溃。Hashtable和HashMap在磁盘上的格式是不相同、不兼容的。除非对每个持久化的用户设置运行某种类型的数据转换实用程序(极其庞大的任务),否则以后似乎只能一直用Hashtable作为应用程序的存储格式。团队感到陷入僵局,但这只是因为他们不知道关于Java序列化的一个重要事实:Java序列化允许随着时间的推移而改变类型。当我向他们展示如何自动进行序列化替换后,他们终于按计划完成了向HashMap的转变。本文是本系列的第一篇文章,这个系列专门揭示关于Java平台的一些有用的小知识—这些小知识不易理解,但对于解决Java编程挑战迟早有用。将Java对象序列化API作为开端是一个不错的选择,因为它从一开始就存在于JDK1.1中。本文介绍的关于序列化的5件事情将说服您重新审视那些标准JavaAPI。Java序列化简介Java对象序列化是JDK1.1中引入的一组开创性特性之一,用于作为一种将Java对象的状态转换为字节数组,以便存储或传输的机制,以后,仍可以将字节数组转换回Java对象原有的状态。实际上,序列化的思想是“冻结”对象状态,传输对象状态(写到磁盘、通过网络传输等等),然后“解冻”状态,重新获得可用的Java对象。所有这些事情的发生有点像是魔术,这要归功于ObjectInputStream/ObjectOutputStream类、完全保真的元数据以及程序员愿意用Serializable标识接口标记他们的类,从而“参与”这个过程。清单1显示一个实现Serializable的Person类。清单1.SerializablePersonpackagecom.tedneward;publicclassPersonimplementsjava.io.Serializable{publicPerson(Stringfn,Stringln,inta){this.firstName=fn;this.lastName=ln;this.age=a;}publicStringgetFirstName(){returnfirstName;}publicStringgetLastName(){returnlastName;}publicintgetAge(){returnage;}publicPersongetSpouse(){returnspouse;}publicvoidsetFirstName(Stringvalue){firstName=value;}publicvoidsetLastName(Stringvalue){lastName=value;}publicvoidsetAge(intvalue){age=value;}publicvoidsetSpouse(Personvalue){spouse=value;}publicStringtoString(){return[Person:firstName=+firstName+lastName=+lastName+age=+age+spouse=+spouse.getFirstName()+];}privateStringfirstName;privateStringlastName;privateintage;privatePersonspouse;}将Person序列化后,很容易将对象状态写到磁盘,然后重新读出它,下面的JUnit4单元测试对此做了演示。清单2.对Person进行反序列化publicclassSerTest{@TestpublicvoidserializeToDisk(){try{com.tedneward.Personted=newcom.tedneward.Person(Ted,Neward,39);com.tedneward.Personcharl=newcom.tedneward.Person(Charlotte,Neward,38);ted.setSpouse(charl);charl.setSpouse(ted);FileOutputStreamfos=newFileOutputStream(tempdata.ser);ObjectOutputStreamoos=newObjectOutputStream(fos);oos.writeObject(ted);oos.close();}catch(Exceptionex){fail(Exceptionthrownduringtest:+ex.toString());}try{FileInputStreamfis=newFileInputStream(tempdata.ser);ObjectInputStreamois=newObjectInputStream(fis);com.tedneward.Personted=(com.tedneward.Person)ois.readObject();ois.close();assertEquals(ted.getFirstName(),Ted);assertEquals(ted.getSpouse().getFirstName(),Charlotte);//CleanupthefilenewFile(tempdata.ser).delete();}catch(Exceptionex){fail(Exceptionthrownduringtest:+ex.toString());}}}到现在为止,还没有看到什么新鲜的或令人兴奋的事情,但是这是一个很好的出发点。我们将使用Person来发现您可能不知道的关于Java对象序列化的5件事。1.序列化允许重构序列化允许一定数量的类变种,甚至重构之后也是如此,ObjectInputStream仍可以很好地将其读出来。JavaObjectSerialization规范可以自动管理的关键任务是:•将新字段添加到类中•将字段从static改为非static•将字段从transient改为非transient取决于所需的向后兼容程度,转换字段形式(从非static转换为static或从非transient转换为transient)或者删除字段需要额外的消息传递。重构序列化类既然已经知道序列化允许重构,我们来看看当把新字段添加到Person类中时,会发生什么事情。如清单3所示,PersonV2在原先Person类的基础上引入一个表示性别的新字段。清单3.将新字段添加到序列化的Person中enumGender{MALE,FEMALE}publicclassPersonimplementsjava.io.Serializable{publicPerson(Stringfn,Stringln,inta,Genderg){this.firstName=fn;this.lastName=ln;this.age=a;this.gender=g;}publicStringgetFirstName(){returnfirstName;}publicStringgetLastName(){returnlastName;}publicGendergetGender(){returngender;}publicintgetAge(){returnage;}publicPersongetSpouse(){returnspouse;}publicvoidsetFirstName(Stringvalue){firstName=value;}publicvoidsetLastName(Stringvalue){lastName=value;}publicvoidsetGender(Gendervalue){gender=value;}publicvoidsetAge(intvalue){age=value;}publicvoidsetSpouse(Personvalue){spouse=value;}publicStringtoString(){return[Person:firstName=+firstName+lastName=+lastName+gender=+gender+age=+age+spouse=+spouse.getFirstName()+];}privateStringfirstName;privateStringlastName;privateintage;privatePersonspouse;privateGendergender;}序列化使用一个hash,该hash是根据给定源文件中几乎所有东西—方法名称、字段名称、字段类型、访问修改方法等—计算出来的,序列化将该hash值与序列化流中的hash值相比较。为了使Java运行时相信两种类型实际上是一样的,第二版和随后版本的Person必须与第一版有相同的序列化版本hash(存储为privatestaticfinalserialVersionUID字段)。因此,我们需要serialVersionUID字段,它是通过对原始(或V1)版本的Person类运行JDKserialver命令计算出的。一旦有了Person的serialVersionUID,不仅可以从原始对象Person的序列化数据创建PersonV2对象(当出现新字段时,新字段被设为缺省值,最常见的是“null”),还可以反过来做:即从PersonV2的数据通过反序列化得到Person,这毫不奇怪。2.序列化并不安全让Java开发人员诧异并感到不快的是,序列化二进制格式完全编写在文档中,并且完全可逆。实际上,只需将二进制序列化流的内容转储到控制台,就足以看清类是什么样子,以及它包含什么内容。这对于安全性有着不良影响。例如,当通过RMI进行远程方法调用时,通过连接发送的对象中的任何private字段几乎都是以明文的方式出现在套接字流中,这显然容易招致哪怕最简单的安全问题。幸运的是,序列化允许“hook”序列化过程,并在序列化之前和反序列化之后保护(或模糊化)字段数据。可以通过在Serializable对象上提供一个writeObject方法来做到这一点。模糊化序列化数据假设Person类中的敏感数据是age字段。毕竟,女士忌谈年龄。我们可以在序列化之前模糊化该数据,将数位循环左移一位,然后在反序列化之后复位。(您可以开发更安全的算法,当前这个算法只是作为一个例子。)为了“hook”序列化过程,我们将在Person上实现一个writeObject方法;为了“hook”反序列化过程,我们将在同一个类上实现一个readObject方法。重要的是这两个
本文标题:关于Java您不知道的5件事
链接地址:https://www.777doc.com/doc-5390494 .html