love fish大鵬一曰同風(fēng)起，扶搖直上九萬里

java對象序列化(轉(zhuǎn))

所謂對象序列化就是將對象的狀態(tài)轉(zhuǎn)換成字節(jié)流，以后可以通過這些值再生成相同狀態(tài)的對象。這個過程也可以通過網(wǎng)絡(luò)實(shí)現(xiàn)，可以先在Windows機(jī)器上創(chuàng)建一個對象，對其序列化，然后通過網(wǎng)絡(luò)發(fā)給一臺Unix機(jī)器，然后在那里準(zhǔn)確無誤地重新"裝配"。像RMI、Socket、JMS、EJB它們中的一種，彼此為什么能夠傳遞Java對象，當(dāng)然都是對象序列化機(jī)制的功勞。??

java對象序列化機(jī)制一般來講有兩種用途：
?????? 1.Java的JavaBeans: Bean的狀態(tài)信息通常是在設(shè)計時配置的,Bean的狀態(tài)信息必須被存起來，以便當(dāng)程序運(yùn)行時能恢復(fù)這些狀態(tài)信息,這需要將對象的狀態(tài)保存到文件中，而后能夠通過讀入對象狀態(tài)來重新構(gòu)造對象，恢復(fù)程序狀態(tài)。
?????? 2.RMI允許象在本機(jī)上一樣操作遠(yuǎn)程機(jī)器上的對象;或使用套接字在網(wǎng)絡(luò)上傳送對象的程序來說，這些都是需要實(shí)現(xiàn)serializaiton機(jī)制的。
??????
?????? 我們通過讓類實(shí)現(xiàn)java.io.Serializable 接口可以將類序列化。這個接口是一個制造者（marker）接口。也就是說，對于要實(shí)現(xiàn)它的類來說，該接口不需要實(shí)現(xiàn)任何方法。它主要用來通知Java虛擬機(jī)(JVM)，需要將一個對象序列化。
?????? 對于這個，有幾點(diǎn)我們需要明確：
?????? (1).并非所有類都可以序列化，在cmd下，我們輸入serialver java.net.Socket，可以得到socket是否可序列化的信息，實(shí)際上socket是不可序列化的。
?????? (2).java有很多基礎(chǔ)類已經(jīng)實(shí)現(xiàn)了serializable接口，比如string,vector等。但是比如hashtable就沒有實(shí)現(xiàn)serializable接口。
?????? 將對象讀出或者寫入流的主要類有兩個: ObjectOutputStream與ObjectInputStream 。ObjectOutputStream 提供用來將對象寫入輸出流的writeObject方法， ObjectInputStream提供從輸入流中讀出對象的readObject方法。使用這些方法的對象必須已經(jīng)被序列化的。也就是說，必須已經(jīng)實(shí)現(xiàn)Serializable接口。如果你想writeobject一個hashtable對象，那么，會得到一個異常。


?序列化的過程就是對象寫入字節(jié)流和從字節(jié)流中讀取對象。將對象狀態(tài)轉(zhuǎn)換成字節(jié)流之后，可以用java.io包中的各種字節(jié)流類將其保存到文件中，管道到另一線程中或通過網(wǎng)絡(luò)連接將對象數(shù)據(jù)發(fā)送到另一主機(jī)。對象序列化功能非常簡單、強(qiáng)大，在RMI、Socket、JMS、EJB都有應(yīng)用。對象序列化問題在網(wǎng)絡(luò)編程中并不是最激動人心的課題，但卻相當(dāng)重要，具有許多實(shí)用意義。

1. 對象序列化可以實(shí)現(xiàn)分布式對象。主要應(yīng)用例如：RMI要利用對象序列化運(yùn)行遠(yuǎn)程主機(jī)上的服務(wù)，就像在本地機(jī)上運(yùn)行對象時一樣。
2. java對象序列化不僅保留一個對象的數(shù)據(jù)，而且遞歸保存對象引用的每個對象的數(shù)據(jù)?？梢詫⒄麄€對象層次寫入字節(jié)流中，可以保存在文件中或在網(wǎng)絡(luò)連接上傳遞。利用對象序列化可以進(jìn)行對象的“深復(fù)制”，即復(fù)制對象本身及引用的對象本身。序列化一個對象可能得到整個對象序列。

???? java序列化比較簡單，通常不需要編寫保存和恢復(fù)對象狀態(tài)的定制代碼。實(shí)現(xiàn)java.io.Serializable接口的類對象可以轉(zhuǎn)換成字節(jié)流或從字節(jié)流恢復(fù)，不需要在類中增加任何代碼。只有極少數(shù)情況下才需要定制代碼保存或恢復(fù)對象狀態(tài)。這里要注意：不是每個類都可序列化，有些類是不能序列化的，例如涉及線程的類與特定JVM有非常復(fù)雜的關(guān)系。

序列化機(jī)制：

???? 序列化分為兩大部分：序列化和反序列化。序列化是這個過程的第一部分，將數(shù)據(jù)分解成字節(jié)流，以便存儲在文件中或在網(wǎng)絡(luò)上傳輸。反序列化就是打開字節(jié)流并重構(gòu)對象。對象序列化不僅要將基本數(shù)據(jù)類型轉(zhuǎn)換成字節(jié)表示，有時還要恢復(fù)數(shù)據(jù)。恢復(fù)數(shù)據(jù)要求有恢復(fù)數(shù)據(jù)的對象實(shí)例。ObjectOutputStream中的序列化過程與字節(jié)流連接，包括對象類型和版本信息。反序列化時，JVM用頭信息生成對象實(shí)例，然后將對象字節(jié)流中的數(shù)據(jù)復(fù)制到對象數(shù)據(jù)成員中。下面我們分兩大部分來闡述：

處理對象流：

（序列化過程和反序列化過程）

????java.io包有兩個序列化對象的類。ObjectOutputStream負(fù)責(zé)將對象寫入字節(jié)流，ObjectInputStream從字節(jié)流重構(gòu)對象。
????我們先了解ObjectOutputStream類吧。ObjectOutputStream類擴(kuò)展DataOutput接口。
writeObject()方法是最重要的方法，用于對象序列化。如果對象包含其他對象的引用，則writeObject()方法遞歸序列化這些對象。每個ObjectOutputStream維護(hù)序列化的對象引用表，防止發(fā)送同一對象的多個拷貝。（這點(diǎn)很重要）由于writeObject()可以序列化整組交叉引用的對象，因此同一ObjectOutputStream實(shí)例可能不小心被請求序列化同一對象。這時，進(jìn)行反引用序列化，而不是再次寫入對象字節(jié)流。
下面，讓我們從例子中來了解ObjectOutputStream這個類吧。

?

1. //?序列化?today's?date?到一個文件中.
2. ????FileOutputStream?f?=?new?FileOutputStream("tmp");
3. ????ObjectOutputStream?s?=?new?ObjectOutputStream(f);
4. ????s.writeObject("Today");
5. ????s.writeObject(new?Date());
6. ????s.flush();

???? 現(xiàn)在，讓我們來了解ObjectInputStream這個類。它與ObjectOutputStream相似。它擴(kuò)展DataInput接口。ObjectInputStream中的方法鏡像DataInputStream中讀取Java基本數(shù)據(jù)類型的公開方法。readObject()方法從字節(jié)流中反序列化對象。每次調(diào)用readObject()方法都返回流中下一個Object。對象字節(jié)流并不傳輸類的字節(jié)碼，而是包括類名及其簽名。readObject()收到對象時，JVM裝入頭中指定的類。如果找不到這個類，則readObject()拋出ClassNotFoundException,如果需要傳輸對象數(shù)據(jù)和字節(jié)碼，則可以用RMI框架。ObjectInputStream的其余方法用于定制反序列化過程。
例子如下：

?

1. //從文件中反序列化?string?對象和?date?對象
2. ????FileInputStream?in?=?new?FileInputStream("tmp");
3. ????ObjectInputStream?s?=?new?ObjectInputStream(in);
4. ????String?today?=?(String)s.readObject();
5. ????Date?date?=?(Date)s.readObject();

定制序列化過程:

????序列化通?？梢宰詣油瓿桑袝r可能要對這個過程進(jìn)行控制。java可以將類聲明為serializable，但仍可手工控制聲明為static或transient的數(shù)據(jù)成員。
例子：一個非常簡單的序列化類。

?

1. public?class?simpleSerializableClass?implements?Serializable{
2. ????String?sToday="Today:";
3. ????transient?Date?dtToday=new?Date();
4. }

?

????序列化時，類的所有數(shù)據(jù)成員應(yīng)可序列化除了聲明為transient或static的成員。將變量聲明為transient告訴JVM我們會負(fù)責(zé)將變元序列化。將數(shù)據(jù)成員聲明為transient后，序列化過程就無法將其加進(jìn)對象字節(jié)流中，沒有從transient數(shù)據(jù)成員發(fā)送的數(shù)據(jù)。后面數(shù)據(jù)反序列化時，要重建數(shù)據(jù)成員（因?yàn)樗穷惗x的一部分），但不包含任何數(shù)據(jù)，因?yàn)檫@個數(shù)據(jù)成員不向流中寫入任何數(shù)據(jù)。記住，對象流不序列化static或transient。我們的類要用writeObject()與readObject()方法以處理這些數(shù)據(jù)成員。使用writeObject()與readObject()方法時，還要注意按寫入的順序讀取這些數(shù)據(jù)成員。
關(guān)于如何使用定制序列化的部分代碼如下：

?

1. //重寫writeObject()方法以便處理transient的成員。
2. public?void?writeObject(ObjectOutputStream?outputStream)?throws?IOException{
3. ????outputStream.defaultWriteObject();//使定制的writeObject()方法可以
4. ????????????????????????利用自動序列化中內(nèi)置的邏輯。
5. ????outputStream.writeObject(oSocket.getInetAddress());
6. ????outputStream.writeInt(oSocket.getPort());
7. }
8. //重寫readObject()方法以便接收transient的成員。
9. private?void?readObject(ObjectInputStream?inputStream)?throws?IOException,ClassNotFoundException{
10. ????inputStream.defaultReadObject();//defaultReadObject()補(bǔ)充自動序列化
11. ????InetAddress?oAddress=(InetAddress)inputStream.readObject();
12. ????int?iPort?=inputStream.readInt();
13. ????oSocket?=?new?Socket(oAddress,iPort);
14. ????iID=getID();
15. ????dtToday?=new?Date();
16. }

?

完全定制序列化過程:

????如果一個類要完全負(fù)責(zé)自己的序列化，則實(shí)現(xiàn)Externalizable接口而不是Serializable接口。Externalizable接口定義包括兩個方法writeExternal()與readExternal()。利用這些方法可以控制對象數(shù)據(jù)成員如何寫入字節(jié)流.類實(shí)現(xiàn)Externalizable時，頭寫入對象流中，然后類完全負(fù)責(zé)序列化和恢復(fù)數(shù)據(jù)成員，除了頭以外，根本沒有自動序列化。這里要注意了。聲明類實(shí)現(xiàn)Externalizable接口會有重大的安全風(fēng)險。writeExternal()與readExternal()方法聲明為public，惡意類可以用這些方法讀取和寫入對象數(shù)據(jù)。如果對象包含敏感信息，則要格外小心。這包括使用安全套接或加密整個字節(jié)流。到此為至，我們學(xué)習(xí)了序列化的基礎(chǔ)部分知識。

posted on 2007-03-19 09:18 liaojiyong 閱讀(1532) 評論(0)  編輯  收藏 所屬分類: Java