一篇文章帶你瞭解Java 中序列化與反序列化

一、 序列化和反序列化概念

Serialization(序列化)是一種將對象以一連串的字節描述的過程;反序列化deserialization是一種將這些字節重建成一個對象的過程。將程序中的對象,放入文件中保存就是序列化,將文件中的字節碼重新轉成對象就是反序列化。

二、 序列化和反序列化的必要性

當兩個進程進行遠程通信時,可以相互發送各種類型的數據,包括文本、圖片、音頻、視頻等, 而這些數據都會以二進制序列的形式在網絡上傳送。

而java是面向對象的開發方式,一切都是java對象,想要實現java對象的網絡傳輸,就可以使用序列化和反序列化來實現。發送方將需要發送的Java對象序列化轉換為字節序列,然後在網絡上傳送;接收方接收到字符序列後,使用反序列化從字節序列中恢復出Java對象。

當我們瞭解瞭為什麼需要Java序列化和反序列化後,我們很自然地會想Java序列化的好處。

一是實現瞭數據的持久化,通過序列化可以把數據永久地保存到硬盤上(通常存放在文件裡);

二是利用序列化實現遠程通信,即在網絡上傳送對象的字節序列。

總結,在網絡中數據的傳輸必須是序列化形式來進行的。其他序列化的方式可以是json傳輸,xml形式傳輸。

三、 序列化和反序列化的實現

1. JDK類庫提供的序列化API

java.io.ObjectOutputStream:表示對象輸出流它的writeObject(Object obj)方法可以對參數指定的obj對象進行序列化,把得到的字節序列寫到一個目標輸出流中。

java.io.ObjectInputStream:表示對象輸入流它的readObject()方法從源輸入流中讀取字節序列,再把它們反序列化成為一個對象,並將其返回。

2. 實現序列化的要求

隻有實現瞭Serializable或Externalizable接口的類的對象才能被序列化,否則拋出異常。

3. 實現Java對象序列化與反序列化的方法

假定一個Student類,它的對象需要序列化,可以有如下三種方法:

方法一:

若Student類僅僅實現瞭Serializable接口,則可以按照以下方式進行序列化和反序列化。 ObjectOutputStream采用默認的序列化方式,對Student對象的非transient的實例變量進行序列化。 ObjcetInputStream采用默認的反序列化方式,對對Student對象的非transient的實例變量進行反序列化。

方法二:

若Student類僅僅實現瞭Serializable接口,並且還定義瞭readObject(ObjectInputStream in)writeObject(ObjectOutputSteam out),則采用以下方式進行序列化與反序列化。 ObjectOutputStream調用Student對象的writeObject(ObjectOutputStream out)的方法進行序列化。 ObjectInputStream會調用Student對象的readObject(ObjectInputStream in)的方法進行反序列化。

方法三:

若Student類實現瞭Externalnalizable接口,且Student類必須實現readExternal(ObjectInput in)writeExternal(ObjectOutput out)方法,則按照以下方式進行序列化與反序列化。 ObjectOutputStream調用Student對象的writeExternal(ObjectOutput out))的方法進行序列化。 ObjectInputStream會調用Student對象的readExternal(ObjectInput in)的方法進行反序列化。

4. JDK類庫中序列化的步驟

步驟一:創建一個對象輸出流,它可以包裝一個其它類型的目標輸出流,如文件輸出流:

ObjectOutputStream out = new ObjectOutputStream(new fileOutputStream(“D:\\objectfile.obj”));

步驟二:通過對象輸出流的writeObject()方法寫對象:

out.writeObject(“Hello”); out.writeObject(new Date());

5. JDK類庫中反序列化的步驟

步驟一:創建一個對象輸入流,它可以包裝一個其它類型輸入流,如文件輸入流:

ObjectInputStream in = new ObjectInputStream(new fileInputStream(“D:\\objectfile.obj”));

步驟二:通過對象輸出流的readObject()方法讀取對象:

String obj1 = (String)in.readObject(); Date obj2 = (Date)in.readObject();

說明:為瞭正確讀取數據,完成反序列化,必須保證向對象輸出流寫對象的順序與從對象輸入流中讀對象的順序一致。為瞭更好地理解Java序列化與反序列化,選擇方法一編碼實現。

Student類定義如下:

/**
 * 實現瞭序列化接口的學生類
 */
public class Student implements Serializable {
    private String name;
    private char sex;
    private int year;
    private double gpa;
    public Student() {
    }
    public Student(String name,char sex,int year,double gpa) {
        this.name = name;
        this.sex = sex;
        this.year = year;
        this.gpa = gpa;
    }
    public void setName(String name) {
        this.name = name;
    }
    public void setSex(char sex) {
        this.sex = sex;
    }
    public void setYear(int year) {
        this.year = year;
    }
    public void setGpa(double gpa) {
        this.gpa = gpa;
    }
    public String getName() {
        return this.name;
    }
    public char getSex() {
        return this.sex;
    }
    public int getYear() {
        return this.year;
    }
    public double getGpa() {
        return this.gpa;
    }
}

把Student類的對象序列化到文件/Users/sschen/Documents/student.txt,並從該文件中反序列化,向console顯示結果。代碼如下:

public class UserStudent {
    public static void main(String[] args) {
        Student st = new Student("Tom",'M',20,3.6);
        File file = new File("/Users/sschen/Documents/student.txt");
        try {
            file.createNewFile();
        }
        catch(IOException e) {
            e.printStackTrace();
        }
        try {
            //Student對象序列化過程
            FileOutputStream fos = new FileOutputStream(file);
            ObjectOutputStream oos = new ObjectOutputStream(fos);
            oos.writeObject(st);
            oos.flush();
            oos.close();
            fos.close();
            //Student對象反序列化過程
            FileInputStream fis = new FileInputStream(file);
            ObjectInputStream ois = new ObjectInputStream(fis);
            Student st1 = (Student) ois.readObject();
            System.out.println("name = " + st1.getName());
            System.out.println("sex = " + st1.getSex());
            System.out.println("year = " + st1.getYear());
            System.out.println("gpa = " + st1.getGpa());
            ois.close();
            fis.close();
        }
        catch(ClassNotFoundException e) {
            e.printStackTrace();
        }
        catch (IOException e) {
            e.printStackTrace();
        }
    }
}

而查看文件/Users/sschen/Documents/student.txt,其內保存的內容並不是可以容易閱讀的內容:

aced 0005 7372 001f 636f 6d2e 7373 6368 656e 2e53 6572 6961 6c69 7a61 626c 652e 5374 7564 656e 74f1 5dbd a4a0 3472 4d02 0004 4400 0367 7061 4300 0373 6578 4900 0479 6561 724c 0004 6e61 6d65 7400 124c 6a61 7661 2f6c 616e 672f 5374 7269 6e67 3b78 7040 0ccc cccc cccc cd00 4d00 0000 1474 0003 546f 6d

四、序列化的必要條件

1、必須是同包,同名。

2、serialVersionUID必須一致。有時候兩個類的屬性稍微不一致的時候,可以通過將此屬性寫死值,實現序列化和反序列化。

五、序列化高級,使用情境分析

1. 序列化ID問題

情境:兩個客戶端 A 和 B 試圖通過網絡傳遞對象數據,A 端將對象 C 序列化為二進制數據再傳給 B,B 反序列化得到 C。

問題:C 對象的全類路徑假設為 com.inout.Test,在 A 和 B 端都有這麼一個類文件,功能代碼完全一致。也都實現瞭 Serializable 接口,但是反序列化時總是提示不成功。

解決:虛擬機是否允許反序列化,不僅取決於類路徑和功能代碼是否一致,一個非常重要的一點是兩個類的序列化 ID 是否一致(就是 private static final long serialVersionUID = 1L)。下面的代碼中,雖然兩個類的功能代碼完全一致,但是序列化 ID 不同,他們無法相互序列化和反序列化。

簡單來說,Java的序列化機制是通過在運行時判斷類的serialVersionUID來驗證版本一致性的。在進行反序列化時,JVM會把傳來的字節流中的serialVersionUID與本地相應實體(類)的serialVersionUID進行比較,如果相同就認為是一致的,可以進行反序列化,否則就會出現序列化版本不一致的異常。

當實現java.io.Serializable接口的實體(類)沒有顯式地定義一個名為serialVersionUID,類型為long的變量時,Java序列化機制會根據編譯的class自動生成一個serialVersionUID作序列化版本比較用,這種情況下,隻有同一次編譯生成的class才會生成相同的serialVersionUID 。

如果我們不希望通過編譯來強制劃分軟件版本,即實現序列化接口的實體能夠兼容先前版本,未作更改的類,就需要顯式地定義一個名為serialVersionUID,類型為long的變量,不修改這個變量值的序列化實體都可以相互進行串行化和反串行化。相同功能代碼不同序列化 ID 的類對比,代碼如下:

public class SerialVersionIDA implements Serializable {
    private static final long serialVersionUID=1L;
    private String name;
    public String getName() {
        return name;
    }
    public void setName(String name) {
        this.name = name;
    }
    public SerialVersionIDA() {
    }
    public SerialVersionIDA(String name) {
        this.name = name;
    }
}
public class SerialVersionIDA implements Serializable {
    private static final long serialVersionUID=2L;
    private String name;
    public String getName() {
        return name;
    }
    public void setName(String name) {
        this.name = name;
    }
    public SerialVersionIDA() {
    }
    public SerialVersionIDA(String name) {
        this.name = name;
    }
}

使用serialVersionUID為1L的類進行序列化,而使用serialVersionUID為2L的類進行反序列化,會提示異常,異常內容為:

java.io.InvalidClassException: com.sschen.Serializable.SerialVersionIDA; local class incompatible: stream classdesc serialVersionUID = 2, local class serialVersionUID = 1 at java.io.ObjectStreamClass.initNonProxy(ObjectStreamClass.java:616) at java.io.ObjectInputStream.readNonProxyDesc(ObjectInputStream.java:1630) at java.io.ObjectInputStream.readClassDesc(ObjectInputStream.java:1521) at java.io.ObjectInputStream.readOrdinaryObject(ObjectInputStream.java:1781) at java.io.ObjectInputStream.readObject0(ObjectInputStream.java:1353) at java.io.ObjectInputStream.readObject(ObjectInputStream.java:373) at com.sschen.Serializable.SerialVersionTest.main(SerialVersionTest.java:30) at sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method) at sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62) at sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43) at java.lang.reflect.Method.invoke(Method.java:498) at com.intellij.rt.execution.application.AppMain.main(AppMain.java:147)

序列化 ID 在 Eclipse 下提供瞭兩種生成策略,一個是固定的 1L,一個是隨機生成一個不重復的 long 類型數據(實際上是使用 JDK 工具生成),在這裡有一個建議,如果沒有特殊需求,就是用默認的 1L 就可以,這樣可以確保代碼一致時反序列化成功。那麼隨機生成的序列化 ID 有什麼作用呢,有些時候,通過改變序列化 ID 可以用來限制某些用戶的使用。

特性使用案例

讀者應該聽過 Façade 模式,它是為應用程序提供統一的訪問接口,案例程序中的 Client 客戶端使用瞭該模式,案例程序結構圖下圖所示。

Client 端通過 Façade Object 才可以與業務邏輯對象進行交互。而客戶端的 Façade Object 不能直接由 Client 生成,而是需要 Server 端生成,然後序列化後通過網絡將二進制對象數據傳給 Client,Client 負責反序列化得到 Façade 對象。該模式可以使得 Client 端程序的使用需要服務器端的許可,同時 Client 端和服務器端的 Façade Object 類需要保持一致。當服務器端想要進行版本更新時,隻要將服務器端的 Façade Object 類的序列化 ID 再次生成,當 Client 端反序列化 Façade Object 就會失敗,也就是強制 Client 端從服務器端獲取最新程序。

2. 靜態變量序列化

public class SerialStaticTest implements Serializable {
    private static final long serialVersionUID = 1L;
    public static int staticVar = 5;
    public static void main(String[] args) {
        try {
            File file = new File("/Users/sschen/Documents/student.txt");
            try {
                file.createNewFile();
            }
            catch(IOException e) {
                e.printStackTrace();
            }
            //初始時staticVar為5
            ObjectOutputStream out = new ObjectOutputStream(
                    new FileOutputStream(file));
            out.writeObject(new SerialStaticTest());
            out.close();
            //序列化後修改為10
            SerialStaticTest.staticVar = 10;
            ObjectInputStream oin = new ObjectInputStream(new FileInputStream(file));
            SerialStaticTest t = (SerialStaticTest) oin.readObject();
            oin.close();
            //再讀取,通過t.staticVar打印新的值
            System.out.println(t.staticVar);
        } catch (FileNotFoundException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }
}

上面代碼中的 main 方法,將對象序列化保存到文件後,修改靜態變量的數值,再將序列化對象讀取出來,然後通過讀取出來的對象獲得靜態變量的數值並打印出來。依照代碼,這個 System.out.println(t.staticVar) 語句輸出的是 10 還是 5 呢?最後的輸出是 10,對於無法理解的讀者認為,打印的 staticVar 是從讀取的對象裡獲得的,應該是保存時的狀態才對。之所以打印 10 的原因在於序列化時,並不保存靜態變量,這其實比較容易理解,序列化保存的是對象的狀態,靜態變量屬於類的狀態,因此 序列化並不保存靜態變量。

3. 父類的序列化與 Transient 關鍵字

情境:一個子類實現瞭 Serializable 接口,它的父類都沒有實現 Serializable 接口,序列化該子類對象,然後反序列化後輸出父類定義的某變量的數值,該變量數值與序列化時的數值不同。

解決:要想將父類對象也序列化,就需要讓父類也實現Serializable 接口。如果父類不實現的話的,就 需要有默認的無參的構造函數。在父類沒有實現 Serializable 接口時,虛擬機是不會序列化父對象的,而一個 Java 對象的構造必須先有父對象,才有子對象,反序列化也不例外。所以反序列化時,為瞭構造父對象,隻能調用父類的無參構造函數作為默認的父對象。因此當我們取父對象的變量值時,它的值是調用父類無參構造函數後的值。如果你考慮到這種序列化的情況,在父類無參構造函數中對變量進行初始化,否則的話,父類變量值都是默認聲明的值,如 int 型的默認是 0,string 型的默認是 null。

Transient 關鍵字的作用是控制變量的序列化,在變量聲明前加上該關鍵字,可以阻止該變量被序列化到文件中,在被反序列化後,transient 變量的值被設為初始值,如 int 型的是 0,對象型的是 null。

特性使用案例

我們熟悉使用 Transient 關鍵字可以使得字段不被序列化,那麼還有別的方法嗎?根據父類對象序列化的規則,我們可以將不需要被序列化的字段抽取出來放到父類中,子類實現 Serializable 接口,父類不實現,根據父類序列化規則,父類的字段數據將不被序列化,形成類圖如圖 2 所示。

上圖中可以看出,attr1、attr2、attr3、attr5 都不會被序列化,放在父類中的好處在於當有另外一個 Child 類時,attr1、attr2、attr3 依然不會被序列化,不用重復抒寫 transient,代碼簡潔。

4. 對敏感字段加密

情境:服務器端給客戶端發送序列化對象數據,對象中有一些數據是敏感的,比如密碼字符串等,希望對該密碼字段在序列化時,進行加密,而客戶端如果擁有解密的密鑰,隻有在客戶端進行反序列化時,才可以對密碼進行讀取,這樣可以一定程度保證序列化對象的數據安全。

解決:在序列化過程中,虛擬機會試圖調用對象類裡的 writeObject 和 readObject 方法,進行用戶自定義的序列化和反序列化,如果沒有這樣的方法,則默認調用是 ObjectOutputStream 的 defaultWriteObject 方法以及 ObjectInputStream 的 defaultReadObject 方法。用戶自定義的 writeObject 和 readObject 方法可以允許用戶控制序列化的過程,比如可以在序列化的過程中動態改變序列化的數值。基於這個原理,可以在實際應用中得到使用,用於敏感字段的加密工作,下面的代碼展示瞭這個過程。

public class SerialPwdTest implements Serializable {
    private static final long serialVersionUID = 1L;
    private String password = "pass";
    public String getPassword() {
        return password;
    }
    public void setPassword(String password) {
        this.password = password;
    }
    private void writeObject(ObjectOutputStream out) {
        try {
            ObjectOutputStream.PutField putFields = out.putFields();
            System.out.println("原密碼:" + password);
            password = "encryption";//模擬加密
            putFields.put("password", password);
            System.out.println("加密後的密碼" + password);
            out.writeFields();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    private void readObject(ObjectInputStream in) {
        try {
            ObjectInputStream.GetField readFields = in.readFields();
            Object object = readFields.get("password", "");
            System.out.println("要解密的字符串:" + object.toString());
            password = "pass";//模擬解密,需要獲得本地的密鑰
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }
    public static void main(String[] args) {
        File file = new File("/Users/sschen/Documents/student.txt");
        try {
            file.createNewFile();
        }
        catch(IOException e) {
            e.printStackTrace();
        }
        try {
            ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(file));
            out.writeObject(new SerialPwdTest());
            out.close();
            ObjectInputStream oin = new ObjectInputStream(new FileInputStream(file));
            SerialPwdTest t = (SerialPwdTest) oin.readObject();
            System.out.println("解密後的字符串:" + t.getPassword());
            oin.close();
        } catch (FileNotFoundException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }
}

SerialPwdTest的 writeObject 方法中,對密碼進行瞭加密,在加密後進行序列化保存到文件中,在 readObject 中則在讀取到密碼後,對 password 進行解密,隻有擁有密鑰的客戶端,才可以正確的解析出密碼,確保瞭數據的安全。上面代碼的執行結果為:

原密碼:pass 加密後的密碼encryption 要解密的字符串:encryption 解密後的字符串:pass

特性使用案例

RMI 技術是完全基於 Java 序列化技術的,服務器端接口調用所需要的參數對象來至於客戶端,它們通過網絡相互傳輸。這就涉及 RMI 的安全傳輸的問題。一些敏感的字段,如用戶名密碼(用戶登錄時需要對密碼進行傳輸),我們希望對其進行加密,這時,就可以采用本節介紹的方法在客戶端對密碼進行加密,服務器端進行解密,確保數據傳輸的安全性。

5. 序列化存儲規則

情境:問題代碼如清單 4 所示。

清單 4. 存儲規則問題代碼

public class SerialSaveTest implements Serializable {
    public static void main(String[] args) {
        File file = new File("/Users/sschen/Documents/student.txt");
        try {
            file.createNewFile();
        }
        catch(IOException e) {
            e.printStackTrace();
        }
        try {
            ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(file));
            SerialSaveTest test = new SerialSaveTest();
            //試圖將對象兩次寫入文件
            out.writeObject(test);
            out.flush();
            System.out.println(file.length());
            out.writeObject(test);
            out.close();
            System.out.println(file.length());
            ObjectInputStream oin = new ObjectInputStream(new FileInputStream(file));
            //從文件依次讀出兩個文件
            SerialSaveTest t1 = (SerialSaveTest) oin.readObject();
            SerialSaveTest t2 = (SerialSaveTest) oin.readObject();
            oin.close();
            //判斷兩個引用是否指向同一個對象
            System.out.println(t1 == t2);
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }
}

清單4中對同一對象兩次寫入文件,打印出寫入一次對象後的存儲大小和寫入兩次後的存儲大小,然後從文件中反序列化出兩個對象,比較這兩個對象是否為同一對象。一般的思維是,兩次寫入對象,文件大小會變為兩倍的大小,反序列化時,由於從文件讀取,生成瞭兩個對象,判斷相等時應該是輸入 false 才對,但是最後結果輸出如下:

59 64 true

我們看到,第二次寫入對象時文件隻增加瞭 5 字節,並且兩個對象是相等的,這是為什麼呢?

解答:Java 序列化機制為瞭節省磁盤空間,具有特定的存儲規則,當寫入文件的為同一對象時,並不會再將對象的內容進行存儲,而隻是再次存儲一份引用,上面增加的 5 字節的存儲空間就是新增引用和一些控制信息的空間。反序列化時,恢復引用關系,使得清單 3 中的 t1 和 t2 指向唯一的對象,二者相等,輸出 true。該存儲規則極大的節省瞭存儲空間。

特性案例分析

查看清單 5 的代碼。

清單5. 案例代碼

public class SerialSaveTest implements Serializable {
    private int id;
    public int getId() {
        return id;
    }
    public void setId(int id) {
        this.id = id;
    }
    public static void main(String[] args) {
        File file = new File("/Users/sschen/Documents/student.txt");
        try {
            file.createNewFile();
        }
        catch(IOException e) {
            e.printStackTrace();
        }
        try {
            ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream(file));
            SerialSaveTest test = new SerialSaveTest();
            test.setId(1);
            //試圖將對象兩次寫入文件
            out.writeObject(test);
            out.flush();
            System.out.println(file.length());
            test.setId(5);
            out.writeObject(test);
            out.close();
            System.out.println(file.length());
            ObjectInputStream oin = new ObjectInputStream(new FileInputStream(file));
            //從文件依次讀出兩個文件
            SerialSaveTest t1 = (SerialSaveTest) oin.readObject();
            SerialSaveTest t2 = (SerialSaveTest) oin.readObject();
            oin.close();
            //判斷兩個引用是否指向同一個對象
            System.out.println(t1 == t2);
            System.out.println(t1.getId());
            System.out.println(t2.getId());
        } catch (IOException e) {
            e.printStackTrace();
        } catch (ClassNotFoundException e) {
            e.printStackTrace();
        }
    }
}

清單 4 的目的是希望將 test 對象兩次保存到/Users/sschen/Documents/student.txt文件中,寫入一次以後修改對象屬性值再次保存第二次,然後從/Users/sschen/Documents/student.txt中再依次讀出兩個對象,輸出這兩個對象的 i 屬性值。案例代碼的目的原本是希望一次性傳輸對象修改前後的狀態。

結果兩個輸出的都是 1, 原因就是第一次寫入對象以後,第二次再試圖寫的時候,虛擬機根據引用關系知道已經有一個相同對象已經寫入文件,因此隻保存第二次寫的引用,所以讀取時,都是第一次保存的對象。讀者在使用一個文件多次 writeObject 需要特別註意這個問題。

總結

本篇文章就到這裡瞭,希望能給你帶來幫助,也希望您能夠多多關註WalkonNet的更多內容!

推薦閱讀: