夯实Java基础系列22:一文读懂Java序列化和反序列化
本系列文章将整理到我在GitHub上的《Java面试指南》仓库,更多精彩内容请到个人仓库里查看html
https://github.com/h2pl/Java-...
喜欢的话麻烦点下Star哈java
文章首发于个人我的博客:git
www.how2playlife.com
<!-- more -->程序员
本文参考 http://www.importnew.com/1796...
https://www.ibm.com/developer...github
序列化与反序列化概念
序列化 (Serialization)是将对象的状态信息转换为能够存储或传输的形式的过程。通常将一个对象存储至一个储存媒介,例如档案或是记亿体缓冲等。在网络传输过程当中,能够是字节或是XML等格式。而字节的或XML编码格式能够还原彻底相等的对象。这个相反的过程又称为反序列化。面试
Java对象的序列化与反序列化
在Java中,咱们能够经过多种方式来建立对象,而且只要对象没有被回收咱们均可以复用该对象。可是,咱们建立出来的这些Java对象都是存在于JVM的堆内存中的。segmentfault
只有JVM处于运行状态的时候,这些对象才可能存在。一旦JVM中止运行,这些对象的状态也就随之而丢失了。后端
可是在真实的应用场景中,咱们须要将这些对象持久化下来,而且可以在须要的时候把对象从新读取出来。Java的对象序列化能够帮助咱们实现该功能。数组
对象序列化机制(object serialization)是Java语言内建的一种对象持久化方式,经过对象序列化,能够把对象的状态保存为字节数组,而且能够在有须要的时候将这个字节数组经过反序列化的方式再转换成对象。
对象序列化能够很容易的在JVM中的活动对象和字节数组(流)之间进行转换。安全
在Java中,对象的序列化与反序列化被普遍应用到RMI(远程方法调用)及网络传输中。
相关接口及类
Java为了方便开发人员将Java对象进行序列化及反序列化提供了一套方便的API来支持。其中包括如下接口和类:
java.io.Serializable java.io.Externalizable ObjectOutput ObjectInput ObjectOutputStream ObjectInputStream Serializable 接口
类经过实现 java.io.Serializable 接口以启用其序列化功能。
未实现此接口的类将没法使其任何状态序列化或反序列化。可序列化类的全部子类型自己都是可序列化的。序列化接口没有方法或字段,仅用于标识可序列化的语义。 (该接口并无方法和字段,为何只有实现了该接口的类的对象才能被序列化呢?)
当试图对一个对象进行序列化的时候,若是遇到不支持 Serializable 接口的对象。在此状况下,将抛出NotSerializableException。
若是要序列化的类有父类,要想同时将在父类中定义过的变量持久化下来,那么父类也应该集成java.io.Serializable接口。
下面是一个实现了java.io.Serializable接口的类
public class 序列化和反序列化 {
public static void main(String[] args) {
}
//注意,内部类不能进行序列化,由于它依赖于外部类
@Test
public void test() throws IOException {
A a = new A();
a.i = 1;
a.s = "a";
FileOutputStream fileOutputStream = null;
FileInputStream fileInputStream = null;
try {
//将obj写入文件
fileOutputStream = new FileOutputStream("temp");
ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream);
objectOutputStream.writeObject(a);
fileOutputStream.close();
//经过文件读取obj
fileInputStream = new FileInputStream("temp");
ObjectInputStream objectInputStream = new ObjectInputStream(fileInputStream);
A a2 = (A) objectInputStream.readObject();
fileInputStream.close();
System.out.println(a2.i);
System.out.println(a2.s);
//打印结果和序列化以前相同
} catch (IOException e) {
e.printStackTrace();
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
}
}
class A implements Serializable {
int i;
String s;
}
Externalizable接口
除了Serializable 以外,java中还提供了另外一个序列化接口Externalizable
为了了解Externalizable接口和Serializable接口的区别,先来看代码,咱们把上面的代码改为使用Externalizable的形式。
class B implements Externalizable {
//必需要有公开无参构造函数。不然报错
public B() {
}
int i;
String s;
@Override
public void writeExternal(ObjectOutput out) throws IOException {
}
@Override
public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {
}
}
@Test
public void test2() throws IOException, ClassNotFoundException {
B b = new B();
b.i = 1;
b.s = "a";
//将obj写入文件
FileOutputStream fileOutputStream = new FileOutputStream("temp");
ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream);
objectOutputStream.writeObject(b);
fileOutputStream.close();
//经过文件读取obj
FileInputStream fileInputStream = new FileInputStream("temp");
ObjectInputStream objectInputStream = new ObjectInputStream(fileInputStream);
B b2 = (B) objectInputStream.readObject();
fileInputStream.close();
System.out.println(b2.i);
System.out.println(b2.s);
//打印结果为0和null,即初始值,没有被赋值
//0
//null
}
经过上面的实例能够发现,对B类进行序列化及反序列化以后获得的对象的全部属性的值都变成了默认值。也就是说,以前的那个对象的状态并无被持久化下来。这就是Externalizable接口和Serializable接口的区别:
Externalizable继承了Serializable,该接口中定义了两个抽象方法:writeExternal()与readExternal()。
当使用Externalizable接口来进行序列化与反序列化的时候须要开发人员重写writeExternal()与readExternal()方法。因为上面的代码中,并无在这两个方法中定义序列化实现细节,因此输出的内容为空。
还有一点值得注意:在使用Externalizable进行序列化的时候,在读取对象时,会调用被序列化类的无参构造器去建立一个新的对象,而后再将被保存对象的字段的值分别填充到新对象中。因此,实现Externalizable接口的类必需要提供一个public的无参的构造器。
class C implements Externalizable {
int i;
int j;
String s;
public C() {
}
//实现下面两个方法能够选择序列化中须要被复制的成员。
//而且,写入顺序和读取顺序要一致,不然报错。
//能够写入多个同类型变量,顺序保持一致便可。
@Override
public void writeExternal(ObjectOutput out) throws IOException {
out.writeInt(i);
out.writeInt(j);
out.writeObject(s);
}
@Override
public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {
i = in.readInt();
j = in.readInt();
s = (String) in.readObject();
}
}
@Test
public void test3() throws IOException, ClassNotFoundException {
C c = new C();
c.i = 1;
c.j = 2;
c.s = "a";
//将obj写入文件
FileOutputStream fileOutputStream = new FileOutputStream("temp");
ObjectOutputStream objectOutputStream = new ObjectOutputStream(fileOutputStream);
objectOutputStream.writeObject(c);
fileOutputStream.close();
//经过文件读取obj
FileInputStream fileInputStream = new FileInputStream("temp");
ObjectInputStream objectInputStream = new ObjectInputStream(fileInputStream);
C c2 = (C) objectInputStream.readObject();
fileInputStream.close();
System.out.println(c2.i);
System.out.println(c2.j);
System.out.println(c2.s);
//打印结果为0和null,即初始值,没有被赋值
//0
//null
}
序列化ID
序列化 ID 问题
情境:两个客户端 A 和 B 试图经过网络传递对象数据,A 端将对象 C 序列化为二进制数据再传给 B,B 反序列化获得 C。
问题:C 对象的全类路径假设为 com.inout.Test,在 A 和 B 端都有这么一个类文件,功能代码彻底一致。也都实现了 Serializable 接口,可是反序列化时老是提示不成功。
解决:虚拟机是否容许反序列化,不只取决于类路径和功能代码是否一致,一个很是重要的一点是两个类的序列化 ID 是否一致(就是 private static final long serialVersionUID = 1L)。清单 1 中,虽然两个类的功能代码彻底一致,可是序列化 ID 不一样,他们没法相互序列化和反序列化。
package com.inout;
import java.io.Serializable;
public class A implements Serializable {
private static final long serialVersionUID = 1L;
private String name;
public String getName()
{
return name;
}
public void setName(String name)
{
this.name = name;
}
}
package com.inout;
import java.io.Serializable;
public class A implements Serializable {
private static final long serialVersionUID = 2L;
private String name;
public String getName()
{
return name;
}
public void setName(String name)
{
this.name = name;
}
}
静态变量不参与序列化
清单 2 中的 main 方法,将对象序列化后,修改静态变量的数值,再将序列化对象读取出来,而后经过读取出来的对象得到静态变量的数值并打印出来。依照清单 2,这个 System.out.println(t.staticVar) 语句输出的是 10 仍是 5 呢?
public class Test implements Serializable {
private static final long serialVersionUID = 1L;
public static int staticVar = 5;
public static void main(String[] args) {
try {
//初始时staticVar为5
ObjectOutputStream out = new ObjectOutputStream(
new FileOutputStream("result.obj"));
out.writeObject(new Test());
out.close();
//序列化后修改成10
Test.staticVar = 10;
ObjectInputStream oin = new ObjectInputStream(new FileInputStream(
"result.obj"));
Test t = (Test) oin.readObject();
oin.close();
//再读取,经过t.staticVar打印新的值
System.out.println(t.staticVar);
} catch (FileNotFoundException e) {
e.printStackTrace();
} catch (IOException e) {
e.printStackTrace();
} catch (ClassNotFoundException e) {
e.printStackTrace();
}
}
}
最后的输出是 10,对于没法理解的读者认为,打印的 staticVar 是从读取的对象里得到的,应该是保存时的状态才对。之因此打印 10 的缘由在于序列化时,并不保存静态变量,这其实比较容易理解,序列化保存的是对象的状态,静态变量属于类的状态,所以 序列化并不保存静态变量。
探究ArrayList的序列化
ArrayList的序列化
在介绍ArrayList序列化以前,先来考虑一个问题:
如何自定义的序列化和反序列化策略
带着这个问题,咱们来看java.util.ArrayList的源码
public class ArrayList<E> extends AbstractList<E>
implements List<E>, RandomAccess, Cloneable, java.io.Serializable
{
private static final long serialVersionUID = 8683452581122892189L;
transient Object[] elementData; // non-private to simplify nested class access
private int size;
}
笔者省略了其余成员变量,从上面的代码中能够知道ArrayList实现了java.io.Serializable接口,那么咱们就能够对它进行序列化及反序列化。
由于elementData是transient的(1.8好像改掉了这一点),因此咱们认为这个成员变量不会被序列化而保留下来。咱们写一个Demo,验证一下咱们的想法:
public class ArrayList的序列化 {
public static void main(String[] args) throws IOException, ClassNotFoundException {
ArrayList list = new ArrayList();
list.add("a");
list.add("b");
ObjectOutputStream objectOutputStream = new ObjectOutputStream(new FileOutputStream("arr"));
objectOutputStream.writeObject(list);
objectOutputStream.close();
ObjectInputStream objectInputStream = new ObjectInputStream(new FileInputStream("arr"));
ArrayList list1 = (ArrayList) objectInputStream.readObject();
objectInputStream.close();
System.out.println(Arrays.toString(list.toArray()));
//序列化成功,里面的元素保持不变。
}
了解ArrayList的人都知道,ArrayList底层是经过数组实现的。那么数组elementData其实就是用来保存列表中的元素的。经过该属性的声明方式咱们知道,他是没法经过序列化持久化下来的。那么为何code 4的结果却经过序列化和反序列化把List中的元素保留下来了呢?
writeObject和readObject方法
在ArrayList中定义了来个方法: writeObject和readObject。
这里先给出结论:
在序列化过程当中,若是被序列化的类中定义了writeObject 和 readObject 方法,虚拟机会试图调用对象类里的 writeObject 和 readObject 方法,进行用户自定义的序列化和反序列化。若是没有这样的方法,则默认调用是 ObjectOutputStream 的 defaultWriteObject 方法以及 ObjectInputStream 的 defaultReadObject 方法。
用户自定义的 writeObject 和 readObject 方法能够容许用户控制序列化的过程,好比能够在序列化的过程当中动态改变序列化的数值。
来看一下这两个方法的具体实现:
private void readObject(java.io.ObjectInputStream s)
throws java.io.IOException, ClassNotFoundException {
elementData = EMPTY_ELEMENTDATA;
// Read in size, and any hidden stuff
s.defaultReadObject();
// Read in capacity
s.readInt(); // ignored
if (size > 0) {
// be like clone(), allocate array based upon size not capacity
ensureCapacityInternal(size);
Object[] a = elementData;
// Read in all elements in the proper order.
for (int i=0; i<size; i++) {
a[i] = s.readObject();
}
}
}
private void writeObject(java.io.ObjectOutputStream s)
throws java.io.IOException{
// Write out element count, and any hidden stuff
int expectedModCount = modCount;
s.defaultWriteObject();
// Write out size as capacity for behavioural compatibility with clone()
s.writeInt(size);
// Write out all elements in the proper order.
for (int i=0; i<size; i++) {
s.writeObject(elementData[i]);
}
if (modCount != expectedModCount) {
throw new ConcurrentModificationException();
}
}
那么为何ArrayList要用这种方式来实现序列化呢?
why transient ArrayList其实是动态数组,每次在放满之后自动增加设定的长度值,若是数组自动增加长度设为100,而实际只放了一个元素,那就会序列化99个null元素。为了保证在序列化的时候不会将这么多null同时进行序列化,ArrayList把元素数组设置为transient。 why writeObject and readObject 前面说过,为了防止一个包含大量空对象的数组被序列化,为了优化存储,因此,ArrayList使用transient来声明elementData。 可是,做为一个集合,在序列化过程当中还必须保证其中的元素能够被持久化下来,因此,经过重写writeObject 和 readObject方法的方式把其中的元素保留下来。 writeObject方法把elementData数组中的元素遍历的保存到输出流(ObjectOutputStream)中。 readObject方法从输入流(ObjectInputStream)中读出对象并保存赋值到elementData数组中。
如何自定义的序列化和反序列化策略
延续上一部分,刚刚咱们明白了ArrayList序列化数组元素的原理。
至此,咱们先试着来回答刚刚提出的问题:
如何自定义的序列化和反序列化策略
答:能够经过在被序列化的类中增长writeObject 和 readObject方法。那么问题又来了:
虽然ArrayList中写了writeObject 和 readObject 方法,可是这两个方法并无显示的被调用啊。那么若是一个类中包含writeObject 和 readObject 方法,那么这两个方法是怎么被调用的呢?
ObjectOutputStream
从code 4中,咱们能够看出,对象的序列化过程经过ObjectOutputStream和ObjectInputputStream来实现的,那么带着刚刚的问题,咱们来分析一下ArrayList中的writeObject 和 readObject 方法究竟是如何被调用的呢?
为了节省篇幅,这里给出ObjectOutputStream的writeObject的调用栈:
writeObject ---> writeObject0 --->writeOrdinaryObject--->writeSerialData--->invokeWriteObject
这里看一下invokeWriteObject:
void invokeWriteObject(Object obj, ObjectOutputStream out)
throws IOException, UnsupportedOperationException
{
if (writeObjectMethod != null) {
try {
writeObjectMethod.invoke(obj, new Object[]{ out });
} catch (InvocationTargetException ex) {
Throwable th = ex.getTargetException();
if (th instanceof IOException) {
throw (IOException) th;
} else {
throwMiscException(th);
}
} catch (IllegalAccessException ex) {
// should not occur, as access checks have been suppressed
throw new InternalError(ex);
}
} else {
throw new UnsupportedOperationException();
}
}
其中writeObjectMethod.invoke(obj, new Object[]{ out });是关键,经过反射的方式调用writeObjectMethod方法。官方是这么解释这个writeObjectMethod的:
class-defined writeObject method, or null if none
在咱们的例子中,这个方法就是咱们在ArrayList中定义的writeObject方法。经过反射的方式被调用了。
至此,咱们先试着来回答刚刚提出的问题:
若是一个类中包含writeObject 和 readObject 方法,那么这两个方法是怎么被调用的? 答:在使用ObjectOutputStream的writeObject方法和ObjectInputStream的readObject方法时,会经过反射的方式调用。
为何要实现Serializable
至此,咱们已经介绍完了ArrayList的序列化方式。那么,不知道有没有人提出这样的疑问:
Serializable明明就是一个空的接口,它是怎么保证只有实现了该接口的方法才能进行序列化与反序列化的呢?
Serializable接口的定义:
public interface Serializable {
}
读者能够尝试把code 1中的继承Serializable的代码去掉,再执行code 2,会抛出java.io.NotSerializableException。
其实这个问题也很好回答,咱们再回到刚刚ObjectOutputStream的writeObject的调用栈:
writeObject ---> writeObject0 --->writeOrdinaryObject--->writeSerialData--->invokeWriteObject
writeObject0方法中有这么一段代码:
if (obj instanceof String) {
writeString((String) obj, unshared);
} else if (cl.isArray()) {
writeArray(obj, desc, unshared);
} else if (obj instanceof Enum) {
writeEnum((Enum<?>) obj, desc, unshared);
} else if (obj instanceof Serializable) {
writeOrdinaryObject(obj, desc, unshared);
} else {
if (extendedDebugInfo) {
throw new NotSerializableException(
cl.getName() + "\n" + debugInfoStack.toString());
} else {
throw new NotSerializableException(cl.getName());
}
}
在进行序列化操做时,会判断要被序列化的类是不是Enum、Array和Serializable类型,若是不是则直接抛出NotSerializableException。
序列化知识点总结
一、若是一个类想被序列化,须要实现Serializable接口。不然将抛出NotSerializableException异常,这是由于,在序列化操做过程当中会对类型进行检查,要求被序列化的类必须属于Enum、Array和Serializable类型其中的任何一种。二、经过ObjectOutputStream和ObjectInputStream对对象进行序列化及反序列化
三、虚拟机是否容许反序列化,不只取决于类路径和功能代码是否一致,一个很是重要的一点是两个类的序列化 ID 是否一致(就是 private static final long serialVersionUID)
序列化 ID 在 Eclipse 下提供了两种生成策略,一个是固定的 1L,一个是随机生成一个不重复的 long 类型数据(其实是使用 JDK 工具生成),在这里有一个建议,若是没有特殊需求,就是用默认的 1L 就能够,这样能够确保代码一致时反序列化成功。那么随机生成的序列化 ID 有什么做用呢,有些时候,经过改变序列化 ID 能够用来限制某些用户的使用。
四、序列化并不保存静态变量。
五、要想将父类对象也序列化,就须要让父类也实现Serializable 接口。
六、Transient 关键字的做用是控制变量的序列化,在变量声明前加上该关键字,能够阻止该变量被序列化到文件中,在被反序列化后,transient 变量的值被设为初始值,如 int 型的是 0,对象型的是 null。
七、服务器端给客户端发送序列化对象数据,对象中有一些数据是敏感的,好比密码字符串等,但愿对该密码字段在序列化时,进行加密,而客户端若是拥有解密的密钥,只有在客户端进行反序列化时,才能够对密码进行读取,这样能够必定程度保证序列化对象的数据安全。
八、在类中增长writeObject 和 readObject 方法能够实现自定义序列化策略
参考文章
https://blog.csdn.net/qq_3498...
https://www.meiwen.com.cn/sub...
https://blog.csdn.net/qq_3498...
https://segmentfault.com/a/11...
https://my.oschina.net/wuxins...
https://blog.csdn.net/hukaile...
微信公众号
Java技术江湖
若是你们想要实时关注我更新的文章以及分享的干货的话,能够关注个人公众号【Java技术江湖】一位阿里 Java 工程师的技术小站,做者黄小斜,专一 Java 相关技术:SSM、SpringBoot、MySQL、分布式、中间件、集群、Linux、网络、多线程,偶尔讲点Docker、ELK,同时也分享技术干货和学习经验,致力于Java全栈开发!
Java工程师必备学习资源: 一些Java工程师经常使用学习资源,关注公众号后,后台回复关键字 “Java” 便可免费无套路获取。
我的公众号:黄小斜
做者是跨考软件工程的 985 硕士,自学 Java 两年,拿到了 BAT 等近十家大厂 offer,从技术小白成长为阿里工程师。
做者专一于 JAVA 后端技术栈,热衷于分享程序员干货、学习经验、求职心得和程序人生,目前黄小斜的CSDN博客有百万+访问量,知乎粉丝2W+,全网已有10W+读者。
黄小斜是一个斜杠青年,坚持学习和写做,相信终身学习的力量,但愿和更多的程序员交朋友,一块儿进步和成长!
关注公众号【黄小斜】后回复【原创电子书】便可领取我原创的电子书《菜鸟程序员修炼手册:从技术小白到阿里巴巴Java工程师》
程序员3T技术学习资源: 一些程序员学习技术的资源大礼包,关注公众号后,后台回复关键字 “资料” 便可免费无套路获取。
- 1. 夯实Java基础系列22:一文读懂Java序列化和反序列化
- 2. 【Java】Serializable序列化和反序列化
- 3. java序列化和反序列化
- 4. Java 序列化 和 反序列化
- 5. java的序列化和反序列化
- 6. Java序列化和反序列化
- 7. java--序列化和反序列化
- 8. [Java]序列化和反序列化
- 9. Java 序列化和反序列化
- 10. 【java基础知识】【java序列化与反序列化及序列化ID】
- 更多相关文章...
- • C# 排序列表(SortedList) - C#教程
- • Scala List(列表) - Scala教程
- • ☆基于Java Instrument的Agent实现
- • 算法总结-归并排序
-
每一个你不满意的现在,都有一个你没有努力的曾经。