.jpg)
序列化是將Java對(duì)象轉(zhuǎn)換為字節(jié)流以便存儲(chǔ)或傳輸?shù)倪^程,反序列化則是將其還原為對(duì)象。要實(shí)現(xiàn)序列化,類需實(shí)現(xiàn)serializable接口,如public class myobject implements serializable,并可顯式聲明serialversionuid以保證版本一致性。可通過transient關(guān)鍵字忽略某些字段,或通過自定義writeobject和readobject方法控制序列化邏輯。反序列化存在安全風(fēng)險(xiǎn),應(yīng)避免反序列化不受信任的數(shù)據(jù)、使用安全框架、白名單機(jī)制、升級(jí)java版本及利用工具檢測(cè)漏洞。
序列化,簡單來說,就是把Java對(duì)象轉(zhuǎn)換成字節(jié)流的過程,方便存儲(chǔ)或者網(wǎng)絡(luò)傳輸。反序列化則是反過來,把字節(jié)流還原成Java對(duì)象。要讓一個(gè)Java對(duì)象可以被序列化,就得讓它的類實(shí)現(xiàn) Serializable 接口。
Serializable 接口本身是個(gè)標(biāo)記接口,里面沒有任何方法需要實(shí)現(xiàn)。它的作用就像蓋了個(gè)章,告訴jvm:“嘿,這個(gè)類的對(duì)象可以被序列化!”
解決方案
立即學(xué)習(xí)“Java免費(fèi)學(xué)習(xí)筆記(深入)”;
-
實(shí)現(xiàn) Serializable 接口:
import java.io.Serializable; public class MyObject implements Serializable { private String name; private int age; public MyObject(String name, int age) { this.name = name; this.age = age; } // Getters and setters (optional, but recommended) public String getName() { return name; } public void setName(String name) { this.name = name; } public int getAge() { return age; } public void setAge(int age) { this.age = age; } @Override public String toString() { return "MyObject{" + "name='" + name + ''' + ", age=" + age + '}'; } } -
序列化對(duì)象:
import java.io.*; public class SerializationExample { public static void main(String[] args) { MyObject obj = new MyObject("Alice", 30); try (FileOutputStream fileOut = new FileOutputStream("myobject.ser"); ObjectOutputStream out = new ObjectOutputStream(fileOut)) { out.writeObject(obj); System.out.println("Serialized data is saved in myobject.ser"); } catch (IOException i) { i.printStackTrace(); } } } -
反序列化對(duì)象:
import java.io.*; public class DeserializationExample { public static void main(String[] args) { MyObject obj = NULL; try (FileInputStream fileIn = new FileInputStream("myobject.ser"); ObjectInputStream in = new ObjectInputStream(fileIn)) { obj = (MyObject) in.readObject(); System.out.println("Deserialized MyObject..."); System.out.println(obj); // Output: MyObject{name='Alice', age=30} } catch (IOException i) { i.printStackTrace(); return; } catch (ClassNotFoundException c) { System.out.println("MyObject class not found"); c.printStackTrace(); return; } } }
什么是 serialVersionUID,為什么需要它?
serialVersionUID 是一個(gè)序列化版本號(hào)。如果你的類在序列化之后進(jìn)行了修改(比如新增了字段),那么在反序列化的時(shí)候,JVM會(huì)檢查這個(gè)版本號(hào)。如果版本號(hào)不一致,就會(huì)拋出 InvalidClassException 異常。
簡單來說,就是為了保證序列化和反序列化的一致性。 建議顯式地聲明一個(gè) serialVersionUID,即使類結(jié)構(gòu)發(fā)生變化,只要這個(gè)ID不變,反序列化就能成功(當(dāng)然,前提是修改不是特別劇烈)。
import java.io.Serializable; public class MyObject implements Serializable { private static final long serialVersionUID = 1L; // 顯式聲明 private String name; private int age; // ... (rest of the class) }
如何控制序列化過程,比如忽略某些字段?
有時(shí)候,你可能不想序列化某個(gè)字段,比如密碼或者一些敏感信息。這時(shí)候,你可以使用 transient 關(guān)鍵字來標(biāo)記這個(gè)字段。被 transient 標(biāo)記的字段在序列化的時(shí)候會(huì)被忽略,反序列化后會(huì)變成默認(rèn)值(比如 null 對(duì)于對(duì)象,0 對(duì)于 int)。
import java.io.Serializable; public class MyObject implements Serializable { private static final long serialVersionUID = 1L; private String name; private transient String password; // 不會(huì)被序列化 private int age; public MyObject(String name, String password, int age) { this.name = name; this.password = password; this.age = age; } // ... (rest of the class) }
你還可以通過實(shí)現(xiàn) writeObject 和 readObject 方法來完全控制序列化和反序列化的過程。這允許你自定義序列化的邏輯,比如加密某些字段,或者進(jìn)行一些數(shù)據(jù)轉(zhuǎn)換。
import java.io.*; public class MyObject implements Serializable { private static final long serialVersionUID = 1L; private String name; private String password; private int age; // ... (constructor and getters/setters) private void writeObject(ObjectOutputStream out) throws IOException { // 自定義序列化邏輯,比如加密 password String encryptedPassword = encrypt(password); out.defaultWriteObject(); // 先序列化其他字段 out.writeObject(encryptedPassword); // 序列化加密后的密碼 } private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException { // 自定義反序列化邏輯,比如解密 password in.defaultReadObject(); // 先反序列化其他字段 String encryptedPassword = (String) in.readObject(); // 讀取加密后的密碼 this.password = decrypt(encryptedPassword); // 解密密碼 } private String encrypt(String password) { // 實(shí)際的加密邏輯 return "ENCRYPTED_" + password; } private String decrypt(String encryptedPassword) { // 實(shí)際的解密邏輯 return encryptedPassword.substring(10); // 簡單地移除 "ENCRYPTED_" 前綴 } }
序列化與反序列化有哪些安全風(fēng)險(xiǎn),如何避免?
序列化和反序列化最大的安全風(fēng)險(xiǎn)在于反序列化漏洞。攻擊者可以構(gòu)造惡意的序列化數(shù)據(jù),在反序列化過程中執(zhí)行任意代碼。
避免反序列化漏洞的一些方法:
- 盡量避免反序列化不受信任的數(shù)據(jù): 這是最有效的防御手段。
- 使用安全的序列化框架: 比如 json 或者 Protocol Buffers,它們沒有反序列化漏洞。
- 使用白名單機(jī)制: 只允許反序列化特定的類。
- 升級(jí)到最新版本的Java: 新版本的Java通常會(huì)修復(fù)一些已知的反序列化漏洞。
- 使用工具檢測(cè)潛在的漏洞: 比如 ysoserial,可以生成各種payload來測(cè)試你的應(yīng)用是否存在反序列化漏洞。
總而言之,理解序列化的機(jī)制,以及潛在的安全風(fēng)險(xiǎn),才能更好地保護(hù)你的應(yīng)用。
.png)
