java反序列化,java反序列化漏洞

本文目錄一覽：

• 1、求教：java序列化和反序列化
• 2、什麼是Java中的序列化和反序列化？
• 3、Java的json反序列化：Java數據類可以和json數據結構不一致嗎？
• 4、在JAVA中什麼叫序列化和反序列化？
• 5、java中什麼是序列化，怎麼通俗理解序列化和反序列化？
• 6、在JAVA中什麼叫序列化和反序列化

求教：java序列化和反序列化

概念：Java序列化是指把Java對象轉換為位元組序列的過程；而Java反序列化是指把位元組序列恢復為Java對象的過程。

如何實現Java序列化與反序列化？

1）JDK類庫中序列化API

java.io.ObjectOutputStream：表示對象輸出流

它的writeObject(Object obj)方法可以對參數指定的obj對象進行序列化，把得到的位元組序列寫到一個目標輸出流中。

java.io.ObjectInputStream：表示對象輸入流

它的readObject()方法源輸入流中讀取位元組序列，再把它們反序列化成為一個對象，並將其返回。

2）實現序列化的要求

只有實現了Serializable或Externalizable接口的類的對象才能被序列化，否則拋出異常。

3）實現Java對象序列化與反序列化的方法

假定一個Student類，它的對象需要序列化，可以有如下三種方法：

方法一：若Student類僅僅實現了Serializable接口，則可以按照以下方式進行序列化和反序列化

ObjectOutputStream採用默認的序列化方式，對Student對象的非transient的實例變量進行序列化。

ObjcetInputStream採用默認的反序列化方式，對對Student對象的非transient的實例變量進行反序列化。

方法二：若Student類僅僅實現了Serializable接口，並且還定義了readObject(ObjectInputStream in)和writeObject(ObjectOutputSteam out)，則採用以下方式進行序列化與反序列化。

ObjectOutputStream調用Student對象的writeObject(ObjectOutputStream out)的方法進行序列化。

ObjectInputStream會調用Student對象的readObject(ObjectInputStream in)的方法進行反序列化。

方法三：若Student類實現了Externalnalizable接口，且Student類必須實現readExternal(ObjectInput in)和writeExternal(ObjectOutput out)方法，則按照以下方式進行序列化與反序列化。

ObjectOutputStream調用Student對象的writeExternal(ObjectOutput out))的方法進行序列化。

ObjectInputStream會調用Student對象的readExternal(ObjectInput in)的方法進行反序列化。

什麼是Java中的序列化和反序列化？

序列化就是一種用來處理對象流的機制，所謂對象流也就是將對象的內容進行流化。可以對流化後的對象進行讀寫操作，也可將流化後的對象傳輸於網絡之間。序列化是為了解決在對對象流進行讀寫操作時所引發的問題。

序列化的實現：將需要被序列化的類實現Serializable接口，該接口沒有需要實現的方法，implements

Serializable只是為了標註該對象是可被序列化的，然後使用一個輸出流(如：FileOutputStream)來構造一個ObjectOutputStream(對象流)對象，接着，使用ObjectOutputStream對象的writeObject(Object

obj)方法就可以將參數為obj的對象寫出(即保存其狀態)，要恢復的話則用輸入流。

Java的json反序列化：Java數據類可以和json數據結構不一致嗎？

由於時間關係我也沒有寫全，這裡提供一個思路吧。代碼如下：

Account.java：

@Data

public class Account {

private int id;

private String name;

// @PowerfulAnnotation註解是我臆想的

@PowerfulAnnotation(“token.id”)

private String tokenId;

@PowerfulAnnotation(“token.key”)

private String key;

}

PowerfulAnnotation.java：

@Target(ElementType.FIELD)

@Retention(RetentionPolicy.RUNTIME)

@Documented

public @interface PowerfulAnnotation {

String value() default “”;

}

測試類Main.java:

public class Main {

public static void main(String[] args) throws Exception {

Account account = new Account();

String ori = “{\n” +

“\”id\”: 11111,\n” +

“\”name\”: \”小李\”,\n” +

“\”token\”: {\n” +

“\”id\”: 22222222,\n” +

“\”key\”: \”ddddddddd\”\n” +

“}\n” +

“}”;

Gson gson = new Gson();

//字符串json轉JsonObject

JsonObject jsonObject = gson.fromJson(ori, JsonObject.class);

//反射獲取目標對象屬性

for (Field field : account.getClass().getDeclaredFields()) {

String fieldName = field.getName();

Class fieldClass = field.getType();

System.out.print(“當前field名：[” + fieldName + “]，”);

System.out.println(“當前field類型：[” + fieldClass + “]”);

Annotation annotation = field.getDeclaredAnnotation(PowerfulAnnotation.class);

//檢查是否有PowerfulAnnotation註解

if (annotation != null) {

PowerfulAnnotation powerful = (PowerfulAnnotation) annotation;

String powerfulValue = powerful.value();

System.out.println(“發現PowerfulAnnotation註解，值為：[” + powerfulValue + “]”);

String[] tmp = powerfulValue.split(“\\.”);

//聲明一個臨時JsonObject，將用於獲取下一層json對象

JsonObject tmpJson = jsonObject;

for (int i = 0; i tmp.length; i++) {

//目標值是在powerfulValue的最後一個字段，例如powerfulValue為token.id的話，目標的值就是id，所以先獲取token這個jsonObject，並賦值給臨時tmpJson

if (i != tmp.length – 1) {

tmpJson = jsonObject.get(tmp[i]).getAsJsonObject();

} else {

//到達powerfulValue的最後一個字段，檢查其類型，並賦值給目標對象

Object value = checkFieldType(tmpJson, tmp[i], fieldClass);

//從目標對象中獲取目標屬性

Field targetField = account.getClass().getDeclaredField(field.getName());

targetField.setAccessible(true);//解除私有限制

System.out.println(“將[” + powerfulValue + “]的值[” + value + “]賦給目標對象的[” + fieldName + “]”);

//將值賦值給目標屬性

targetField.set(account, value);

}

}

}

//屬性上沒有PowerfulAnnotation註解

else {

//檢查當前屬性的類型

Object value = checkFieldType(jsonObject, fieldName, fieldClass);

//從目標對象中獲取目標屬性

Field targetField = account.getClass().getDeclaredField(field.getName());

targetField.setAccessible(true);//解除私有限制

System.out.println(“直接將值[” + value + “]賦給目標對象的[” + fieldName + “]”);

//將值賦值給目標屬性

targetField.set(account, value);

}

System.out.println(“*********************************************\n”);

}

System.out.println(“目標對象最終值：” + account);

}

/**

* 檢查當前屬性的類型

* （這裡由於時間關係，我沒有寫全，只檢查了String、int、boolean類型，全類型應包括boolean、char、byte、short、int、long、float、double，你有時間自己補充一下）

*

* 如果發現當前屬性是一個對象，那麼應該將JsonObject轉換成對應的對象再返回（由於時間關係，這裡我也沒有試過，總之思路是這樣）

*/

private static Object checkFieldType(JsonObject field, String fieldName, Class fieldClass) {

if (fieldClass == String.class) {

return field.get(fieldName).getAsString();

}

if (fieldClass == int.class) {

return field.get(fieldName).getAsInt();

}

if (fieldClass == boolean.class) {

return field.get(fieldName).getAsBoolean();

}

return new Gson().fromJson(field.get(fieldName), fieldClass);

}

}

代碼還沒寫完，主要集中在沒有對JsonArray進行處理，當json串里包含數組時會報錯，另外一些沒寫完的我在注釋里寫了點，你可以參照一下。整體思路還是利用java反射機制進行。

以上代碼運行結果：

在JAVA中什麼叫序列化和反序列化？

java對象實現了序列化就可以以對象的形式在流中傳輸。不管是文件流，還是Socket流都可以

用ObjectInputStream ObjectOutputStream 來讀寫對象。

並不是所以類都可以序列化，一般需要序列化的對象是那些實體類。什麼Bean，pojo，vo貌似都是一個意思吧。。。還是有一些對象是不能序列化的，Socket對象是不能的。

實現序列化只要實現一個Serializable的接口就行，這是個標誌接口，裏面沒有方法需要實現，主要的作用就是標識這兒類可以序列化。

1、在打開的ie瀏覽器窗口右上方點擊齒輪圖標，選擇「Internet選項」，如下圖所示：

2、在打開的Internet選項窗口中，切換到安全欄，在安全選卡中點擊「自定義級別」，如下圖所示：

3、在「安全設置-Internet 區域」界面找到「Java 小程序腳本」、「活動腳本」，並將這兩個選項都選擇為「禁用」，然後點擊確定,如下圖所示：

java中什麼是序列化，怎麼通俗理解序列化和反序列化？

Java是通過IO流實現序列化的，序列化其實就是將內存中的Java對象拆分通過輸出流傳輸到硬盤上保存起來，反序列化就是將硬盤中保存的Java對象組裝通過輸入流傳輸回內存中。

在JAVA中什麼叫序列化和反序列化

序列化是將對象狀態轉換為可保持或傳輸的格式的過程。與序列化相對的是反序列化，它將流轉換為對象。這兩個過程結合起來，可以輕鬆地存儲和傳輸數據。