Java序列化与反序列化
- 序列化
序列化时间对象转换为字节流的过程。这样对象就可以通过网络传输、持久化存储或者缓存。Java 提供了 java.io.Serializable 接口来指出序列化。只要实现了该接口,就可以将类的对象进行序列化。
- 反序列化
反序列化是将字节流重新转换为对象的过程,即从存储中读取数据并重新创建对象。
通俗理解就是:序列化就是将“立体”的对象转换成可传输的字节序列格式,便于存储和传输。对象在JVM中可以认为其是“立体”存在的,会有各种引用,比如在内存地址 Ox123 引用了某对象,那此时这个对象要传输到网络的另一端的时候就需要把这些引用“压扁”。因为在网络另一端的内存地址 Ox123 中可能没有该对象,所以传输的对象需要包含这些信息,然后接收端需要将这些扁平的信息再反序列化成为“立体”对象。
序列化与反序列化通常在网络传输、远程调用、持久化存储以及分布式系统中用于数据交换。 一个类只有实现了 Serializable 接口才能被序列化。如果在序列化过程中有些字段不需要被序列化,比如某些敏感数据,则可以使用 transient 关键字标记这些不需要被序列化的字段。
每个 Serializable 类都应该定义一个 serialVersionUID,用于在反序列化时验证版本一致性。如果没有明确指定,Java 会根据类的定义自动生成哟个 UID,版本不匹配可能导致反序列化失败。反序列化是一个潜在的安全风险,因为通过恶意构造的字节流,可能会加载不安全的类或执行不期望的代码。因此,反序列化过程需要进行输入验证,避免反序列化漏洞。