Java使用序列化的私有方法巧妙解决部分属性持久化问题
部分属性持久化问题看似很简单,只要把不需要的持久化的属性加上瞬态关键字(transient关键字)即可,没错,这也是一种解决方案,但在有的时候行不通,例如在一个计税系统和人力系统对接的时候,计税系统需要从人力系统获得人员的姓名和基本工资,作为纳税的一句,而人力系统的工资分成 分成两个部分:基本工资和绩效工资,基本工资没有什么秘密,一般都是直接跟年限挂钩,但是绩效工资一般来说是保密的,不能泄露到外系统,话不多说,上代码
import lombok.AllArgsConstructor; import lombok.Getter; import lombok.NoArgsConstructor; import lombok.Setter; import java.io.Serializable; @Getter @Setter @NoArgsConstructor @AllArgsConstructor public class Salary implements Serializable { private static final long serialVersionUID = 75632L; // 基本工资 private Integer basePay; // 绩效工资 private Integer bonus; }
import lombok.AllArgsConstructor; import lombok.Getter; import lombok.NoArgsConstructor; import lombok.Setter; import java.io.Serializable; @Getter @Setter @NoArgsConstructor @AllArgsConstructor public class Person implements Serializable { private static final long serialVersionUID =45829L; // 员工姓名 private String name; // 员工薪资 private Salary salary; }
如上所示,他们都序列化了,都基本了持久化的条件,计税系统请求人力系统,然后人力系统后将人员和工资信息传递到计税系统中,做一个测试,代码如下:
import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; @RestController @RequestMapping("/demo") public class UserController { @GetMapping("/get-user") public Person getUser() { // 基本工资 1000 绩效3000 Salary salary = new Salary(1000,3000); Person person = new Person("小哇",salary); return person; } }
在通过网络传输的计税系统中,进行反序列化,代码如下:
import com.cp.security.user.common.JsonUtil; public class TestController { public static void main(String[] args) { String personJson = HttpRequest.sendGet("http://localhost:8080/demo/get-user",""); Person person = JsonUtil.str2Obj(personJson); StringBuffer sb = new StringBuffer(); sb.append("name"+person.getName()); sb.append("基本工资"+person.getSalary().getBasePay()); sb.append("绩效工资"+person.getSalary().getBonus()); System.out.println(sb); } //运行结果如下: // name 小哇 基本工资1000 绩效工资3000
很明显这不符合要求,存在严重的信息泄露问题,那么怎么解决呢?提供以下思路:
1.在bonus(绩效工资)前面加上transient关键字进行修饰
这的确是一个办法,但不是一个好的办法,在分布式部署的时候性能很差,不推荐
2.新增一个业务对象(*)
新增一个对象,该对象只有姓名和基本工资两个属性,符合开闭原则,对原来系统也没有侵入性,只是增加了工作量,相比较来说,这个是目前最受欢迎的方式了
3.在请求端进行过滤
在计税系统得到Person对象之后,对立面的绩效薪资进行隐藏,可行但是很危险,业务交由其他系统处理,对外依旧是暴露的,差评
4.引出本文重点,采用Serializable接口中的两个私有方法writeObject和readObject,我们将Person稍作修改,上代码
import lombok.AllArgsConstructor; import lombok.Getter; import lombok.NoArgsConstructor; import lombok.Setter; import java.io.IOException; import java.io.ObjectInputStream; import java.io.ObjectOutputStream; import java.io.Serializable; @Getter @Setter @NoArgsConstructor @AllArgsConstructor public class Person implements Serializable { private static final long serialVersionUID =45829L; // 员工姓名 private String name; // 员工薪资 private Salary salary; private void writeObject(ObjectOutputStream out)throws IOException { out.defaultWriteObject(); out.writeInt(salary.getBasePay()); } private void readObject(ObjectInputStream in)throws IOException,ClassNotFoundException{ in.defaultReadObject(); salary = new Salary(in.readInt(),0); }
}
// 此时运行的结果 // name 小哇 基本工资1000 绩效工资0
总结:
我们在Person类中增加了writeObject和readObject两个方法,并且访问权限都是私有级别的,为什么能够改变程序的运行结果呢?其实这里使用了序列化的独有机制,序列化毁掉,java中调用ObjectOutputStream类把一个对象转换成流数据时,会通过反射检查被序列化的类是否有writeObject方法,并且检查其是否符合私有、无返回的特性,若符合,则会委托该方法将对象进行序列化,若没有,则由ObjectOutputStream按照默认的规则继续序列化,同样,从流数据恢复成实力对象时,也会检查是否有一个私有的readObject方法,如果有,则会通过该方法读取属性值,此处有几个关键点需要说明:
a> out.defaultWriteObject();
告知JVM按照默认的规则写入对象,惯例写法是写在第一句话里
b>in.defaultReadObject();
告知JVM按照默认的规则读入对象,惯例写法是写在第一句话里
c>依然存在分布式部署的问题,只是提供一个思路而已,正常情况下依然推荐使用第二种方式,重新声明一个对象返回