首页 > 其他分享 >序列化

序列化

时间:2023-04-17 23:13:07浏览次数:36  
标签:JAVA 对象 二进制 JSON 序列化 Hessian

      内存中的数据对象只有转换为二进制流才可以进行数据持久化和网络传输。将数据对象转换为二进制流的过程成为对象的序列化(Serialization)。反之,将二进制流恢复为数据对象的过程称为反序列化(Deserialization)。序列化需要保留充分的信息以恢复数据对象,但是为了节约存储空间和网络带宽,序列化后的二进制流又要尽可能小。序列化常见的场景是RPC框架的数据传输。常见的序列化有三种:
      (1) Java原生序列化。Java类通过实现Serialization接口来是实现该类对象的序列化,这个接口非常特殊,没有任何方法,只起标识作用。java序列化保留了对象类的元数据(如类、成员变量、继承类信息),以及对象数据等,兼容性最好,但不支持跨语言,而且性能一般。
      实现Serializable接口的类建议设置serivalVersionUID字段值,如果不设置,那么每次运行时,编译器会根据类的内部实现,包括类名、接口名、方法和属性等来自动生成的serialVersionUID。如果类的源代码有修改,那么重新编译后serialVersionUID的取值可能会发生变化。因此实现Serializable接口的类一定要显式地定义serialVersionUID属性值。修改类时需要根据兼容性决定是否修改serialVersion:
      · 如果是兼容性升级,请不要修改serivalVersionUID字段,避免反序列失败。
      · 如果不是兼容性升级,需要修改serivalVersionUID字段,避免反序列混乱。
    使用JAVA原生序列化需注意,Java反序列化不会调用类的无参构造方法,而是调用native方法将成员变量赋值为对应类型的初始值。基于性能及兼容性考虑,不推荐使用JAVA原生序列化。
      (2) Hessian序列化。 Hessian序列化是一种支持动态类型、跨语言、基于对象传输的网络协议。JAVA对象序列化的二进制流可以被其他语言(如C++ 、Python )反序列化。Hessian协议具有如下特性:
      · 自描述序列化类型。不依赖外部描述文件或接口定义,用一个字节表示常用基础类型,极大缩短二进制流。
      · 语言无关,支持脚本语言。
      · 协议简单,比JAVA原生序列化高效。
      相比Hessian 1.0,Hessian 2.0中增加了压缩编码,其序列化二进制流大小是JAVA序列化的50%,序列化耗时是JAVA序列化的30%,反序列化耗时是JAVA反序列化的20%。
   Hessian会把复杂对象所有属性存储在一个MAP中进行序列化。所以在父类、在类存在同名成员变量的情况下,Hessian序列化时,先序列化子类,然后序列化父类,因此序列化结果会导致子类同名成员变量被父类的值覆盖。
      (3) JSON序列化。 JSON(JavaScript Object Notation)是一种轻量级的数据交互格式。JSON序列化就是将数据对象转换为JSON字符串。在序列化过程中抛弃了类型信息,所以反序列化时只是提供类型信息才能准确地反序列化。相比前两者方式,JSON可读性比较好,方便调试。
    序列化通常会通过网络传输对象,而对象中往往有敏感数据,所以序列化常常称为黑客的攻击点,攻击者巧妙地利用反序列过程构造恶意代码,使得程序在反序列化的过程中执行任意代码。JAVA工程中广泛使用的Apache Commons Collections、Jackson、fastjson等都出现过反序列化漏洞。如何防范这种黑客攻击呢?有些对象的敏感属性不需要进行序列化传输,可以加transient关键字,避免把此属性信息转化为序列化的二进制流。如果一定要传递对象的敏感属性,可以使用对称与非对称加密方式独立传输,再使用某个方法把属性还原到对象中。应用开发者对序列化要有一定的安全防范意识,对传入数据的内容进行校验或权限控制,及时更新安全漏洞,避免受到攻击。

标签:JAVA,对象,二进制,JSON,序列化,Hessian
From: https://www.cnblogs.com/ganjing/p/17324513.html

相关文章

  • java反序列化(四) RMI反序列化
    RMIRMI(RemoteMethodInvocation),为远程方法调用,是允许运行在一个Java虚拟机的对象调用运行在另一个Java虚拟机上的对象的方法。这两个虚拟机可以是运行在相同计算机上的不同进程中,也可以是运行在网络上的不同计算机中。注册中心是一个特殊的服务端,一般与服务端在同一主机上......
  • 反序列化漏洞
    (176条消息)反序列化漏洞详解_一句话木马的博客-CSDN博客1、定义序列化是将对象转换为字符串以便存储传输的一种方式。而反序列化恰好就是序列化的逆过程,反序列化会将字符串转换为对象供程序使用。在PHP中序列化和反序列化对应的函数分别为serialize()和unserialize()。当程......
  • fastjson 1.2.24 反序列化漏洞(审计分析)
    环境JDK8u181Fastjson1.2.24POC跟进parse方法跟进到底层deserialze方法Poc中传入的dataSourceName:ldap://192.168.3.229:8084/vnSYPYwMs值这里实际对应setDataSourceName方法,调用此方法并传入ldap跟进setDataSourceName方法,这里只是简单赋值 步出......
  • java.io.Serializable(序列化)接口
     一、概念Java对象序列化的意思就是将对象的状态转化成字节流,以后可以通过这些值再生成相同状态的对象。对象序列化是对象持久化的一种实现方法,它是将对象的属性和方法转化为一种序列化的形式用于存储和传输。反序列化就是根据这些保存的信息重建对象的过程。序......
  • C# Json序列化,设置驼峰命名(字段首字母小写)
    相关代码:varserializerSettings=newJsonSerializerSettings{//设置为驼峰命名ContractResolver=newCamelCasePropertyNamesContractResolver()};varresult=JsonConvert.Ser......
  • (四)多进程的序列化
    给出cloudpickle的GitHub地址:https://github.com/cloudpipe/cloudpickle     =======================================================   单机的Python序列化模块有自带的pickle,但是在Python的分布式计算中进行序列化则是使用cloudpickle。之所以在分布式计......
  • (三)python多进程multiprocessing模块的变量传递问题:父进程中的numpy.array对象隐式序列
    参考:https://docs.python.org/zh-cn/3/library/multiprocessing.htmlcloudpickle——Python分布式序列化的专用模块python多进程multiprocessing模块的变量传递问题:父进程中的numpy.array对象隐式序列化到子进程后的inplace操作的问题-Death_Knight-博客园(cnblogs.com)......
  • 在C#中使用Attributes(特性)来控制枚举成员是否应该被序列化或映射
    如果标记了[NonSerialized]特性,会防止将该字段序列化。但是,该字段仍然可以用于foreach迭代,因为它仍然是枚举的有效成员。如果要防止特定枚举成员被foreach迭代,用[NonSerialized]特性是不起作用的。相反,可以创建一个自定义的Attribute继承自System.Attribute,并将其应用到需要隐藏的......
  • java反序列化(三) JDBC反序列化
    JDBC反序列化前置知识JDBCJDBC(JavaDatabaseConnectivity)是Java提供对数据库进行连接、操作的标准API。Java自身并不会去实现对数据库的连接、查询、更新等操作而是通过抽象出数据库操作的API接口(JDBC),不同的数据库提供商必须实现JDBC定义的接口从而也就实现了对数据库的......
  • C#数据序列化研究:改进版KLV
    所谓KLV即Key-Length-Value,以【键-数据长度-数据】的形式将数据序列化成字节流,这是一种高性能和兼容性的数据序列化方案,,缺点就是用起来很麻烦,其出现的需求场景如下:1,硬件和云端的数据交互,最开始是以流的形式顺序写入数据,但是由于版本迭代,数据字段难免出现新增插入更新移除等现......