手把手教你玩转Java自定义序列化：writeObject使用详解

掌握Java自定义序列化技巧，提升对象持久化与传输的灵活性和安全性！本文手把手教你`writeObject`用法，深入理解Java序列化的核心机制。自定义序列化允许开发者通过实现`writeObject`和`readObject`方法，精细控制Java对象到字节流的转换过程，从而满足加密敏感数据、排除特定字段等需求。文章详细讲解了如何实现`Serializable`接口，利用`transient`关键字，以及处理版本兼容性问题的`serialVersionUID`。此外，还介绍了`Externalizable`接口，提供完全手动控制序列化的方式。更重要的是，本文强调了避免序列化安全漏洞的关键措施，助你编写更健壮的Java应用。

自定义序列化是指通过实现writeObject和readObject方法，由开发者决定Java对象如何转换为字节流及如何还原。1. 要实现自定义序列化，需让类实现Serializable接口，并定义private的writeObject和readObject方法以控制序列化过程；2. transient关键字用于标记不参与默认序列化的字段，但可通过自定义方法手动处理；3. 为解决版本兼容性问题，应使用serialVersionUID标识版本，并在结构变更时更新其值；4. 另一种方式是实现Externalizable接口，通过writeExternal和readExternal方法完全手动控制序列化，同时必须提供无参构造函数；5. 避免安全漏洞的方法包括避免序列化敏感数据、使用安全库、对数据签名或加密、限制反序列化类并及时更新库。掌握自定义序列化机制有助于更灵活、安全地处理对象持久化与传输需求。

自定义序列化，简单来说，就是让你自己来决定Java对象怎么转换成字节流，以及如何从字节流还原成对象。writeObject 方法是实现自定义序列化的关键。

解决方案

要自定义序列化，你需要让你的类实现 java.io.Serializable 接口。这只是一个标记接口，告诉JVM这个类的对象可以被序列化。然后，你需要在类中定义一个 private void writeObject(java.io.ObjectOutputStream out) throws IOException 方法和一个 private void readObject(java.io.ObjectInputStream in) throws IOException, ClassNotFoundException 方法。

writeObject 方法负责将对象的状态写入 ObjectOutputStream，而 readObject 方法负责从 ObjectInputStream 读取状态并恢复对象。

一个简单的例子：

import java.io.*;

public class MyObject implements Serializable {

    private String name;
    private int age;
    private transient String secret; // transient 关键字，不参与默认序列化

    public MyObject(String name, int age, String secret) {
        this.name = name;
        this.age = age;
        this.secret = secret;
    }

    public String getName() {
        return name;
    }

    public int getAge() {
        return age;
    }

    public String getSecret() {
        return secret;
    }

    private void writeObject(ObjectOutputStream out) throws IOException {
        // 先执行默认的序列化
        out.defaultWriteObject();

        // 自定义序列化 secret 字段
        String encodedSecret = encrypt(secret); // 假设encrypt方法存在
        out.writeObject(encodedSecret);
    }

    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        // 先执行默认的反序列化
        in.defaultReadObject();

        // 自定义反序列化 secret 字段
        String encodedSecret = (String) in.readObject();
        this.secret = decrypt(encodedSecret); // 假设decrypt方法存在
    }

    private String encrypt(String data) {
        // 简单的加密示例，实际应用中需要更安全的加密算法
        return new StringBuilder(data).reverse().toString();
    }

    private String decrypt(String data) {
        // 简单的解密示例
        return new StringBuilder(data).reverse().toString();
    }

    public static void main(String[] args) throws IOException, ClassNotFoundException {
        MyObject obj = new MyObject("Alice", 30, "MySecret");

        // 序列化
        ByteArrayOutputStream bos = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(bos);
        oos.writeObject(obj);
        oos.close();

        // 反序列化
        ByteArrayInputStream bis = new ByteArrayInputStream(bos.toByteArray());
        ObjectInputStream ois = new ObjectInputStream(bis);
        MyObject deserializedObj = (MyObject) ois.readObject();
        ois.close();

        System.out.println("Name: " + deserializedObj.getName());
        System.out.println("Age: " + deserializedObj.getAge());
        System.out.println("Secret: " + deserializedObj.getSecret()); // 解密后的 secret
    }
}

为什么需要自定义序列化？

默认的序列化机制可能不满足所有需求。比如，你可能想加密某些敏感数据，或者排除某些字段不被序列化（使用 transient 关键字）。自定义序列化允许你完全控制序列化的过程。另外，如果你的对象包含一些非Serializable的字段，你必须使用自定义序列化来处理这些字段。

transient 关键字的作用是什么？

transient 关键字用于标记不应该被序列化的字段。当一个字段被标记为 transient，默认的序列化机制会忽略它。这意味着在反序列化时，该字段的值将是其类型的默认值（例如，null 对于对象类型，0 对于 int 类型）。在上面的例子中，secret 字段被标记为 transient，即使没有自定义序列化，它也不会被默认序列化。但通过自定义的 writeObject 和 readObject 方法，我们仍然可以控制它的序列化和反序列化。

如何处理序列化中的版本兼容性问题？

当类的结构发生变化时，例如添加、删除或修改字段，可能会导致序列化版本不兼容。为了解决这个问题，你可以使用 serialVersionUID。serialVersionUID 是一个静态常量，用于标识类的序列化版本。

private static final long serialVersionUID = 1L;

如果类的结构发生变化，你应该更新 serialVersionUID 的值。这样，当尝试反序列化旧版本的对象时，JVM会检测到版本不匹配，并抛出 InvalidClassException 异常。

如果你希望兼容旧版本，可以谨慎地添加或删除字段，并确保 readObject 方法能够正确处理旧版本的数据。通常，添加字段是相对安全的，但删除字段可能会导致反序列化失败。

private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
    in.defaultReadObject();
    try {
        // 尝试读取新字段
        this.newField = in.readObject();
    } catch (java.io.OptionalDataException e) {
        // 如果旧版本没有这个字段，则忽略异常
        if (!e.eof) throw e;
        this.newField = null; // 设置为默认值
    }
}

除了writeObject和readObject，还有其他自定义序列化的方式吗？

除了 writeObject 和 readObject 方法，还可以实现 Externalizable 接口。Externalizable 接口继承自 Serializable 接口，但它提供了更强的控制权。当你实现 Externalizable 接口时，你需要实现 writeExternal 和 readExternal 方法。

import java.io.*;

public class MyExternalizable implements Externalizable {

    private String name;
    private int age;

    public MyExternalizable() {
        // 必须提供一个无参构造函数
    }

    public MyExternalizable(String name, int age) {
        this.name = name;
        this.age = age;
    }

    public String getName() {
        return name;
    }

    public int getAge() {
        return age;
    }

    @Override
    public void writeExternal(ObjectOutput out) throws IOException {
        out.writeObject(name);
        out.writeInt(age);
    }

    @Override
    public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {
        this.name = (String) in.readObject();
        this.age = in.readInt();
    }

    public static void main(String[] args) throws IOException, ClassNotFoundException {
        MyExternalizable obj = new MyExternalizable("Bob", 40);

        // 序列化
        ByteArrayOutputStream bos = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(bos);
        oos.writeObject(obj);
        oos.close();

        // 反序列化
        ByteArrayInputStream bis = new ByteArrayInputStream(bos.toByteArray());
        ObjectInputStream ois = new ObjectInputStream(bis);
        MyExternalizable deserializedObj = (MyExternalizable) ois.readObject();
        ois.close();

        System.out.println("Name: " + deserializedObj.getName());
        System.out.println("Age: " + deserializedObj.getAge());
    }
}

实现 Externalizable 接口时，需要注意以下几点：

• 必须提供一个无参构造函数。在反序列化时，JVM会先调用无参构造函数创建一个对象，然后再调用 readExternal 方法恢复对象的状态。
• 你需要手动序列化和反序列化所有字段，包括父类的字段。
• Externalizable 接口提供了更大的灵活性，但也需要更多的代码。

如何避免序列化中的安全漏洞？

序列化和反序列化可能会引入安全漏洞，例如反序列化漏洞。攻击者可以构造恶意的序列化数据，导致在反序列化时执行任意代码。

为了避免这些漏洞，可以采取以下措施：

• 尽量避免序列化敏感数据。
• 使用安全的序列化库，例如 JSON 或 Protocol Buffers。
• 对序列化数据进行签名或加密，以防止篡改。
• 限制可以反序列化的类，使用白名单机制。
• 定期更新序列化库，以修复已知的安全漏洞。

总而言之，理解并掌握 Java 中的自定义序列化机制，特别是 writeObject 方法，对于编写健壮、安全、可维护的应用程序至关重要。它允许你精确控制对象的序列化和反序列化过程，从而满足各种复杂的需求。

本篇关于《手把手教你玩转Java自定义序列化：writeObject使用详解》的介绍就到此结束啦，但是学无止境，想要了解学习更多关于文章的相关知识，请关注golang学习网公众号！