Java序列化和反序列化

一、簡介

Java序列化是將對象轉換為字節序列的過程，以便在網絡上傳輸或保存到文件中。反序列化是將字節序列轉換回對象的過程。它們是Java中非常重要的特性，可以幫助我們方便地將對象進行傳輸和保存，同時也是Java RMI（遠程方法調用）的基礎之一。

二、序列化實現

在Java中，我們可以將一個類序列化並保存到文件中，以便以後使用。這需要先實現 java.io.Serializable 接口，該接口沒有任何方法，只是一個標記接口。實現了 java.io.Serializable 接口的類才能被序列化。接着就可以使用 java.io.ObjectOutputStream 對象的 writeObject() 方法將對象序列化為字節序列。

public class Student implements Serializable {
    private String name;
    private int age;
    private String address;

    public Student(String name, int age, String address) {
        this.name = name;
        this.age = age;
        this.address = address;
    }

    // getters and setters

    public static void main(String[] args) {
        Student student = new Student("張三", 18, "北京市");
        try {
            FileOutputStream fos = new FileOutputStream("student.dat");
            ObjectOutputStream oos = new ObjectOutputStream(fos);
            oos.writeObject(student);
            oos.close();
            fos.close();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
}

在上述示例中，我們實現了 Student 類並實現了 Serializable 接口。接下來，在 main 方法中創建了一個 Student 對象，然後將其寫入到名為 student.dat 的文件中。這個文件就是序列化後的字節流。

三、反序列化實現

反序列化是將一個序列化的對象還原成原有的對象。需要使用 java.io.ObjectInputStream 對象的 readObject() 方法。在這之前，需要創建一個與序列化時相同的類，並且實現 Serializable 接口。

public static void main(String[] args) {
    try {
        FileInputStream fis = new FileInputStream("student.dat");
        ObjectInputStream ois = new ObjectInputStream(fis);
        Student student = (Student) ois.readObject();
        System.out.println(student.getName());
        ois.close();
        fis.close();
    } catch (IOException e) {
        e.printStackTrace();
    } catch (ClassNotFoundException e) {
        e.printStackTrace();
    }
}

在上述代碼中，我們首先讀取 student.dat 文件，然後使用 ObjectInputStream 對象的 readObject() 方法反序列化出一個Student 對象。最後打印該對象的姓名。

四、序列化UID的作用

Java序列化機制提供了一個叫做 serialVersionUID 的序列化版本號。這個版本號在序列化時會一起保存到文件中，反序列化時也會對比版本號是否一致，如果不一致，則會拋出一個InvalidClassException。

當一個類的實例被序列化時，serialVersionUID 的值也會被序列化保存下來。如果類的實現發生了變化（例如增加或刪除了字段），它的 serialVersionUID 可能會發生變化。因此，我們應該總是手動聲明 serialVersionUID，以確保正確性。

public class Student implements Serializable {
    private static final long serialVersionUID = 1L;

    private String name;
    private int age;
    private String address;

    // constructors and methods
}

五、transient關鍵字的作用

在Java中，有時候我們不想將某些字段序列化，這時候可以使用 transient 關鍵字。被 transient 修飾的字段會被忽略並跳過序列化過程。

public class Student implements Serializable {
    private String name;
    private int age;
    private transient String address;

    // constructors and methods
}

六、序列化的風險與預防措施

因為Java序列化會將對象的狀態以二進制數據的形式保存在磁盤上或在網絡中進行傳輸，因此可能會存在安全隱患，主要包括以下方面：

1. 反序列化漏洞：通過精心構造的序列化數據，黑客可以觸發執行任意的代碼。這個問題已在Java 8及以上版本中得到修復，但仍然需要對舊版本的代碼進行升級。

2. 替換可以序列化的類：如果需要序列化的類沒有明確指定 serialVersionUID，那麼在該類發生變化後（增加或刪除字段），反序列化時可能會導致程序崩潰。此時，黑客可以使用可序列化的替代類來執行攻擊。

3. 盜取會話信息：網站可能會將認證信息序列化後保存到Cookie中，如果黑客獲取了這個Cookie並解析出認證信息，就可以劫持用戶的會話。

為了解決上述問題，可以採取以下預防措施：

1. 明確指定 serialVersionUID：默認情況下，Java會通過計算類的哈希值來生成一個 serialVersionUID。因此，如果在類中增加或刪除變量，可能會導致 serialVersionUID 的變化，進而導致對象不能被反序列化。因此，建議明確指定 serialVersionUID 的值。

2. 使用白名單過濾類：在服務器端，可以對反序列化的類進行白名單過濾，只允許反序列化指定的類。

3. 針對特定場景開啟安全機制：對於需要保證安全的場景，可以開啟Java安全機制。例如，在Tomcat中可以開啟安全管理模塊，限制運行權限。

七、總結

Java序列化和反序列化是Java中非常重要的特性，可以幫助我們方便地將對象進行傳輸和保存。序列化時需要實現 java.io.Serializable 接口，並使用 java.io.ObjectOutputStream 對象將對象序列化為字節序列；反序列化時需要使用 java.io.ObjectInputStream 對象將字節序列反序列化為對象。為了保證安全性，需要手動指定 serialVersionUID，並在服務器端對反序列化的類進行白名單過濾。此外，也可以設置 transient 關鍵字來忽略某些字段的序列化，避免數據泄露。