e2

滴滴侠,fai抖

  博客园 :: 首页 :: 博问 :: 闪存 :: 新随笔 :: 联系 :: 订阅 订阅 :: 管理 ::

序列化代理简单来说,A有序列化的需求,但是不直接序列化A,而是序列化一个A的代理对象B,我们可以将A的信息保存在B中,在反序列化时,再通过B得到A的信息,实例化一个A对象
为什么这么费劲呢?因为反序列化是Java机制之外的东西,不通过构造方法生成实例,这样有机会被入侵(具体说不上,就是有可能被黑的意思吧),采用序列化代理可以有效的避免通过反序列化来生成实例,所有的实例都通过构造函数来生成,这样就可以保证所有的实例都遵守构造函数的约束。
具体实现呢 通过例子来说吧:

package test3;

import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.io.Serializable;

/**
 * 1. 序列化Dog时, 会调用调用writeReplace()生成一个DogProxy对象, 然后对此对象进行序列化 (不是对Dog类对象进行序列化,
 *      由序列化文件的内容可以得知, 可以查看序列化生成的文件, 文件中内容为如下图 (代码之后的图)
 * 2. 反序列化时, 会调用DogProxy的readResolve()方法生成一个Dog对象, 
 *      最后返回此对象的拷贝 (通过DogProxy类的readResolve方法和main方法中的输出可以看出)
 * 3. 因此, Dog类的序列化工作完全交给DogProxy类, 正如此模式的名称所表达的一样
 */
public class Dog implements Serializable{
    private static final long serialVersionUID = -8424740460257438938L;
    
    private String name;
    private int age;
    
    public Dog(String name,int age) {
        //约束条件
        if(age < 0 || age > 100) {
            throw new IllegalArgumentException("非法年龄");
        }
        this.name = name;
        this.age = age;
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public int getAge() {
        return age;
    }

    public void setAge(int age) {
        this.age = age;
    }

    /** 序列化代理内部类 */
    private static class DogProxy implements Serializable{
        private static final long serialVersionUID = -8883457811799334207L;

        private String name;
        private int age;

        public DogProxy(Dog dog) {
            this.name = dog.getName();
            this.age = dog.getAge();
        }
        
        /** 反序列化时, 替换返回的对象(比喻偷天换日吧) */
        private Object readResolve() {
            return new Dog(name,age);
        }

        /** 自定义序列化形式 */
        private void writeObject(ObjectOutputStream out) throws IOException {
            out.defaultWriteObject();
            System.out.println("SerializationProxy writeObject, 调用");
        }

        /** 自定义反序列化形式 */
        private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
            in.defaultReadObject();
            System.out.println("SerializationProxy readObject, 调用");
        }
        
    }

    /** 序列化时, 把this=Dog对象替换为序列化代理对象 */
    private Object writeReplace() {
        return new DogProxy(this);//readObject的时候是调用, DogProxy的readResolve()
    }

    /** 此方法不会执行 */
    private void writeObject(ObjectOutputStream out) {
        System.out.println("Dog writeObject, 不会调用");
    }
    
    /** 防止攻击者伪造数据, 企图违反约束条件 (如: 违反年龄约束) */
    private void readObject(ObjectInputStream in) throws Exception {
        throw new Exception("proxy required");
    }
    
}

定义了一个内部类,DogProxy 作为Dog 的序列化代理
如果试图序列化一个Dog,由于Dog中定义了

    private Object writeReplace() {
        return new DogProxy(this);
    }

则实际会序列化一个Dog的序列化代理,而这个序列化代理是通过Dog对象来构造的(保存了Dog的信息),上节说到,之后的过程都会依赖实际被序列化类的序列化实现,也就是会依赖于Dog序列化代理的序列化实现,反序列化Dog序列化代理时由于

        private Object readResolve() {
            return new Dog(name,age);
        }

实际会返回一个Dog对象,这样原来保存的Dog信息又回来了,而且新的Dog实例是通过构造方法生成的。

如何使用呢,其实完全看不出来,正常用就行了

package test3;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

public class Test {

    public static void main(String[] args) throws IOException, ClassNotFoundException {
        Dog dog = new Dog("小白",12);
        ObjectOutputStream out = new ObjectOutputStream(new FileOutputStream("D:\\temp"));
        out.writeObject(dog);
        out.flush();
        out.close();
        
        
        ObjectInputStream in = new ObjectInputStream(new FileInputStream("D:\\temp"));
        Dog deserDog = (Dog)in.readObject();
        in.close();
        
        System.out.println(deserDog.getAge());
        System.out.println(deserDog.getName());
        
        if(dog == deserDog) {
            System.out.println("序列化前后是同一个对象");
        } else {
            //程序会走这一段, 反序列化会创建对象, 但是不会执行类的构造方法, 而是使用输入流构造对象
            System.out.println("序列化前后不是同一个对象, 哈哈哈");
        }
        
    }
    
}

用法呢其实都是相同的,关键是序列化类wirteObject和readObject的实现。

posted on 2017-06-01 19:41  纯黑Se丶  阅读(155)  评论(0编辑  收藏  举报