序列化
是将对象转换为字节流的过程,这样对象可以通过网络传输、持久化存储或者缓存。Java提供了java.io.Serializable接口来支持序列化,只要类实现这个接口,就可以将该类的对象进行序列化。
反序列化
是将字节流重新转换为对象的过程,即从存储中读取数据并重新创建对象。
其他
- 应用场景:包括网络传输、远程调用、持久化存储(如保存到文件或数据库)、以及分布式系统中数据交换。
- Java序列化关键类和接口:ObjectOutputStream用于序列化,ObjectInputStream用于反序列化。类必须实现Serializable接口才能被序列化。
- transient关键字:在序列化过程中,有些字段不需要被序列化,例如敏感数据,可以使用transient关键字标记不需要序列化的字段。
- serialVersionUID:每个Serialozable类都应该定义一个serialVersionUID,用于在反序列化时验证版本一致性。如果没有明确指定,Java会根据类的定义自动生成一个UID,版本不匹配可能导致反序列化失败。
- 序列化性能问题:Java的默认序列化机制可能比较慢,尤其是对于大规模分布式系统,可能会选择更加高效的序列化框架(如Protobuf、Kryo)。
- 安全性:反序列化是一个潜在的安全风险,因为通过恶意构造的字节流,可能会加载不安全的类或执行不期望的代码。因此,反序列化过程需要进行输入验证,避免反序列化漏洞。
扩展知识
序列化与反序列化理解
序列化其实就是将对象转化为可传输的字节序列格式,以便于存储和传输。
因为对象在JVM中可以认为是“立体”的,会有各种引用,比如在内存地址Ox1234引用了某某对象,那此时这个对象要传输到网络的另一端时候就需要吧这些引用“压扁”。
因为网络的另一端的内存地址Ox1234可以没有某某对象,所以传输的对象需要包含这些信息,然后接收端将这些扁平的信息再反序列化得到对象。
所以,反序列化就是将字节序列格式转换为对象的过程。
Java序列化Serializable的意义
首先说一下Serializable,这个接口没有什么实际的含义,就是起标记作用。
来看一下源码就很清楚了,除了String、数组和枚举之外,如果实现了这个接口就走writeOrdinaryObject,否则就序列化就抛错。
serialVersionUID又有什么用?
private static final long serialVersionUID = 1L;
想必经常会看到这样的代码,这个ID其实就是用来验证序列化的对象和反序列化对应的对象的ID是否是一致的。
所以这个ID的数字其实不重要,无论是1L还是idea自动生成的,只要序列化的时候对象的serialVersionUID和反序列化的时候的对象的serialVersionUID一致的话就行。
如果没有显式指定serialVersionUID,则编译器会根据类的相关信息自动生成一个,可以认为是一个指纹。
所以如果你没有定义一个serialVersionUID然后序列化一个对象之后,在反序列化之前把对象的类的结构改了,比如增加了一个成员变量,则此时反序列化会失败。
因为类的结构变了,生成的指纹就变了,所以serialVersionUID就不一致了。
所以serialVersionUID就是起验证作用。
标签:Java,字节,对象,什么,接口,序列化,serialVersionUID From: https://www.cnblogs.com/qimoxuan/p/18529613