Java序列化及反序列化

介绍

Java序列化及反序列化是Java编程中经常用到的技术，它们允许对象以字节流的形式在网络上传输或持久化到磁盘。正是由于Java序列化能够将对象转换成磁盘上或网络上传输的字节流，使我们可以轻松地进行深度克隆、对象传输和数据交换等操作。

Java对象序列化机制是将对象的状态信息转换为可以存储在磁盘文件或在网络中传输的字节序列的过程。

序列化

Java对象序列化是Java API中提供的一种机制，依据该机制可以将任何实现了Serializable接口的Java对象转换为字节流表示，然后可以将字节流表示的对象保存到磁盘中，或通过网络传输到远程系统。

实现

实现Java对象序列化仅需以下简单步骤：

1. 创建实现序列化接口Serializable的类。
2. 实例化该类的对象。
3. 创建ObjectOutputStream对象。该对象用于将将对象写入流中。
4. 调用ObjectOutputStream.writeObject()方法，将对象写入流中。
5. 流刷新并关闭。

//创建一个User对象
public class User implements Serializable {
    private String username;
    private String password;
    private int age;

    //获取username、password、age等属性的getters和setters方法省略

    //toString方法
    public String toString() {
        return "username=" + username + ";password=" + password + ";age=" + age;
    }
}

//serializing代码
public class SerializingObject {
    public static void main(String[] args) {
        User user = new User("Tom", "123456", 18);
        ObjectOutputStream oos = null;
        try {
            oos = new ObjectOutputStream(new FileOutputStream("user.txt"));
            oos.writeObject(user);
            System.out.println("User对象序列化成功！");
        } catch (IOException e) {
            e.printStackTrace();
        } finally {
            try {
                oos.close();
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
    }
}

反序列化

反序列化是将字节数组还原成Java对象的过程。Java提供了一个ObjectInputStream类用于从流中反序列化对象。

实现

实现Java对象反序列化也很简单，仅需以下几个步骤：

1. 创建ObjectInputStream对象，该对象用于从流中读取对象。
2. 调用ObjectInputStream.readObject()方法，将对象还原成Java对象。

public class DeSerializingObject {
    public static void main(String[] args) {
        ObjectInputStream ois = null;
        try {
            ois = new ObjectInputStream(new FileInputStream("user.txt"));
            User user = (User) ois.readObject();
            System.out.println("User对象反序列化成功！对象信息如下：");
            System.out.println(user.toString());
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        } finally {
            try {
                ois.close();
            } catch (IOException e) {
                e.printStackTrace();
            }
        }
    }
}

要点

不适用于所有对象

Java序列化机制无法序列化static和transient修饰的成员变量，因为static修饰的成员变量不属于对象的状态，而transient修饰的成员变量代表不希望被序列化持久化。若序列化对象中带有以上修饰符修饰的成员变量，需要注意这些变量的序列化和反序列化使用。

版本控制

对象的版本控制对序列化和反序列化具有重要影响。当一个对象被序列化后被修改，反序列化可能会失败，因为反序列化时默认比较对象的serialVersionUID是否一致。若不一致，则反序列化失败无法还原Java对象。因此，在对优先序列化的对象进行版本控制时，需要指定serialVersionUID来保证版本的一致。

public class User implements Serializable {
    private static final long serialVersionUID = 143857367482L;
    //其他代码省略
}

安全问题

由于可以通过Java序列化机制将对象序列化成二进制码，因此Java序列化机制可能会带来安全问题。恶意攻击者可以序列化恶意对象并发送给接收者从而导致安全问题。针对该问题，可以使用Java对象序列化框架，如Hessian、Kryo等，去解决Java序列化安全问题。

总结

Java序列化及反序列化可将Java对象序列化成字节流从而便于传输、存储和分发。其序列化和反序列化过程非常简单，但需要注意一些使用小细节和实际安全问题。