Java使用序列化的私有方法巧妙解决部分属性持久化问题

部分属性持久化问题看似很简单,只要把不需要的持久化的属性加上瞬态关键字(transient关键字)即可,没错,这也是一种解决方案,但在有的时候行不通,例如在一个计税系统和人力系统对接的时候,计税系统需要从人力系统获得人员的姓名和基本工资,作为纳税的一句,而人力系统的工资分成 分成两个部分:基本工资和绩效工资,基本工资没有什么秘密,一般都是直接跟年限挂钩,但是绩效工资一般来说是保密的,不能泄露到外系统,话不多说,上代码

import lombok.AllArgsConstructor;
import lombok.Getter;
import lombok.NoArgsConstructor;
import lombok.Setter;

import java.io.Serializable;

@Getter
@Setter
@NoArgsConstructor
@AllArgsConstructor
public class Salary implements Serializable {
    private static final long serialVersionUID = 75632L;
    // 基本工资
    private Integer basePay;
    // 绩效工资
    private Integer bonus;
}
import lombok.AllArgsConstructor;
import lombok.Getter;
import lombok.NoArgsConstructor;
import lombok.Setter;

import java.io.Serializable;

@Getter
@Setter
@NoArgsConstructor
@AllArgsConstructor
public class Person implements Serializable {
    private static final long serialVersionUID =45829L;
    // 员工姓名
    private String name;
    // 员工薪资
    private Salary salary;
    
}

 

如上所示,他们都序列化了,都基本了持久化的条件,计税系统请求人力系统,然后人力系统后将人员和工资信息传递到计税系统中,做一个测试,代码如下:

import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
@RequestMapping("/demo")
public class UserController {

    @GetMapping("/get-user")
    public Person getUser() {
        // 基本工资 1000 绩效3000
        Salary salary = new Salary(1000,3000);
        Person person = new Person("小哇",salary);
        return person;
    }
}

 

在通过网络传输的计税系统中,进行反序列化,代码如下:

import com.cp.security.user.common.JsonUtil;

public class TestController {

    public static void main(String[] args) {
        String personJson = HttpRequest.sendGet("http://localhost:8080/demo/get-user","");
        Person person = JsonUtil.str2Obj(personJson);
        StringBuffer sb = new StringBuffer();
        sb.append("name"+person.getName());
        sb.append("基本工资"+person.getSalary().getBasePay());
        sb.append("绩效工资"+person.getSalary().getBonus());
        System.out.println(sb);
    }


//运行结果如下:
// name 小哇 基本工资1000 绩效工资3000

很明显这不符合要求,存在严重的信息泄露问题,那么怎么解决呢?提供以下思路:

1.在bonus(绩效工资)前面加上transient关键字进行修饰

  这的确是一个办法,但不是一个好的办法,在分布式部署的时候性能很差,不推荐

2.新增一个业务对象(*)

  新增一个对象,该对象只有姓名和基本工资两个属性,符合开闭原则,对原来系统也没有侵入性,只是增加了工作量,相比较来说,这个是目前最受欢迎的方式了

3.在请求端进行过滤

  在计税系统得到Person对象之后,对立面的绩效薪资进行隐藏,可行但是很危险,业务交由其他系统处理,对外依旧是暴露的,差评

4.引出本文重点,采用Serializable接口中的两个私有方法writeObject和readObject,我们将Person稍作修改,上代码

import lombok.AllArgsConstructor;
import lombok.Getter;
import lombok.NoArgsConstructor;
import lombok.Setter;

import java.io.IOException;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.io.Serializable;

@Getter
@Setter
@NoArgsConstructor
@AllArgsConstructor
public class Person implements Serializable {
    private static final long serialVersionUID =45829L;
    // 员工姓名
    private String name;
    // 员工薪资
    private Salary salary;

    private void writeObject(ObjectOutputStream out)throws IOException {
        out.defaultWriteObject();
        out.writeInt(salary.getBasePay());
    }
    private void readObject(ObjectInputStream in)throws IOException,ClassNotFoundException{
        in.defaultReadObject();
        salary = new Salary(in.readInt(),0);
    }
}
// 此时运行的结果
// name 小哇 基本工资1000 绩效工资0

总结:

我们在Person类中增加了writeObject和readObject两个方法,并且访问权限都是私有级别的,为什么能够改变程序的运行结果呢?其实这里使用了序列化的独有机制,序列化毁掉,java中调用ObjectOutputStream类把一个对象转换成流数据时,会通过反射检查被序列化的类是否有writeObject方法,并且检查其是否符合私有、无返回的特性,若符合,则会委托该方法将对象进行序列化,若没有,则由ObjectOutputStream按照默认的规则继续序列化,同样,从流数据恢复成实力对象时,也会检查是否有一个私有的readObject方法,如果有,则会通过该方法读取属性值,此处有几个关键点需要说明:

a> out.defaultWriteObject();

  告知JVM按照默认的规则写入对象,惯例写法是写在第一句话里

b>in.defaultReadObject();

  告知JVM按照默认的规则读入对象,惯例写法是写在第一句话里

c>依然存在分布式部署的问题,只是提供一个思路而已,正常情况下依然推荐使用第二种方式,重新声明一个对象返回

 

posted @ 2019-03-17 22:24  秋风催落叶  阅读(720)  评论(2编辑  收藏  举报