Java對象序列化學習筆記- -

beejoy 原創  來源：java研究組織

目前網絡上關于對象序列化的文章不少，但是我發現詳細敘述用法和原理的文章太少。本人
把自己經過經驗總結和實際運用中的體會寫成的學習筆記貢獻給大家。希望能為整個java社
區的繁榮做一點事情。
 
序列化的過程就是對象寫入字節流和從字節流中讀取對象。將對象狀態轉換成字節流之后，
可以用java.io包中的各種字節流類將其保存到文件中，管道到另一線程中或通過網絡連接
將對象數據發送到另一主機。對象序列化功能非常簡單、強大，在RMI、Socket、JMS、EJB
都有應用。對象序列化問題在網絡編程中并不是最激動人心的課題，但卻相當重要，具有
許多實用意義。
一：對象序列化可以實現分布式對象。主要應用例如：RMI要利用對象序列化運行遠程主機
上的服務，就像在本地機上運行對象時一樣。
二：java對象序列化不僅保留一個對象的數據，而且遞歸保存對象引用的每個對象的數據。
可以將整個對象層次寫入字節流中，可以保存在文件中或在網絡連接上傳遞。利用對象序
列化可以進行對象的"深復制"，即復制對象本身及引用的對象本身。序列化一個對象可能
得到整個對象序列。
 
從上面的敘述中，我們知道了對象序列化是java編程中的必備武器，那么讓我們從基礎開始
，好好學習一下它的機制和用法。

java序列化比較簡單，通常不需要編寫保存和恢復對象狀態的定制代碼。實現java.io.Seri
alizable接口的類對象可以轉換成字節流或從字節流恢復，不需要在類中增加任何代碼。只
有極少數情況下才需要定制代碼保存或恢復對象狀態。這里要注意：不是每個類都可序列化，
有些類是不能序列化的，例如涉及線程的類與特定JVM有非常復雜的關系。

序列化機制：

序列化分為兩大部分：序列化和反序列化。序列化是這個過程的第一部分，將數據分解成字
節流，以便存儲在文件中或在網絡上傳輸。反序列化就是打開字節流并重構對象。對象序列
化不僅要將基本數據類型轉換成字節表示，有時還要恢復數據。恢復數據要求有恢復數據的
對象實例。ObjectOutputStream中的序列化過程與字節流連接，包括對象類型和版本信息。
反序列化時，JVM用頭信息生成對象實例，然后將對象字節流中的數據復制到對象數據成員中。
下面我們分兩大部分來闡述：

處理對象流：
（序列化過程和反序列化過程）

java.io包有兩個序列化對象的類。ObjectOutputStream負責將對象寫入字節流，ObjectInp
utStream從字節流重構對象。
    我們先了解ObjectOutputStream類吧。ObjectOutputStream類擴展DataOutput接口。
writeObject()方法是最重要的方法，用于對象序列化。如果對象包含其他對象的引用，則
writeObject()方法遞歸序列化這些對象。每個ObjectOutputStream維護序列化的對象引用表，
防止發送同一對象的多個拷貝。（這點很重要）由于writeObject()可以序列化整組交叉引用的
對象，因此同一ObjectOutputStream實例可能不小心被請求序列化同一對象。這時，進行反引用
序列化，而不是再次寫入對象字節流。
下面，讓我們從例子中來了解ObjectOutputStream這個類吧。

// 序列化 today's date 到一個文件中.
    FileOutputStream f = new FileOutputStream("tmp");
    ObjectOutputStream s = new ObjectOutputStream(f);
    s.writeObject("Today");
    s.writeObject(new Date());
    s.flush();

 
現在，讓我們來了解ObjectInputStream這個類。它與ObjectOutputStream相似。它擴展Dat
aInput接口。ObjectInputStream中的方法鏡像DataInputStream中讀取Java基本數據類型的
公開方法。readObject()方法從字節流中反序列化對象。每次調用readObject()方法都返回
流中下一個Object。對象字節流并不傳輸類的字節碼，而是包括類名及其簽名。readObject()
收到對象時，JVM裝入頭中指定的類。如果找不到這個類，則readObject()拋出
ClassNotFoundException,如果需要傳輸對象數據和字節碼，則可以用RMI框架。
ObjectInputStream的其余方法用于定制反序列化過程。
例子如下：

//從文件中反序列化 string 對象和 date 對象
    FileInputStream in = new FileInputStream("tmp");
    ObjectInputStream s = new ObjectInputStream(in);
    String today = (String)s.readObject();
    Date date = (Date)s.readObject();

定制序列化過程:

序列化通常可以自動完成，但有時可能要對這個過程進行控制。java可以將類聲明為serial
izable，但仍可手工控制聲明為static或transient的數據成員。
例子：一個非常簡單的序列化類。

public class simpleSerializableClass implements Serializable{
    String sToday="Today:";
    transient Date dtToday=new Date();
}

序列化時，類的所有數據成員應可序列化除了聲明為transient或static的成員。將變量聲
明為transient告訴JVM我們會負責將變元序列化。將數據成員聲明為transient后，序列化
過程就無法將其加進對象字節流中，沒有從transient數據成員發送的數據。后面數據反序
列化時，要重建數據成員（因為它是類定義的一部分），但不包含任何數據，因為這個數據
成員不向流中寫入任何數據。記住，對象流不序列化static或transient。我們的類要用
writeObject()與readObject()方法以處理這些數據成員。使用writeObject()與readObject()
方法時，還要注意按寫入的順序讀取這些數據成員。
關于如何使用定制序列化的部分代碼如下：

//重寫writeObject()方法以便處理transient的成員。
public void writeObject(ObjectOutputStream outputStream) throws IOException{
    outputStream.defaultWriteObject();//使定制的writeObject()方法可以
                        利用自動序列化中內置的邏輯。
    outputStream.writeObject(oSocket.getInetAddress());
    outputStream.writeInt(oSocket.getPort());
}
//重寫readObject()方法以便接收transient的成員。
private void readObject(ObjectInputStream inputStream) throws
IOException,ClassNotFoundException{
    inputStream.defaultReadObject();//defaultReadObject()補充自動序列化
    InetAddress oAddress=(InetAddress)inputStream.readObject();
    int iPort =inputStream.readInt();
    oSocket = new Socket(oAddress,iPort);
    iID=getID();
    dtToday =new Date();
}

完全定制序列化過程:

如果一個類要完全負責自己的序列化，則實現Externalizable接口而不是Serializable接口
。Externalizable接口定義包括兩個方法writeExternal()與readExternal()。利用這些方
法可以控制對象數據成員如何寫入字節流.類實現Externalizable時，頭寫入對象流中，
然后類完全負責序列化和恢復數據成員，除了頭以外，根本沒有自動序列化。這里要注意了。
聲明類實現Externalizable接口會有重大的安全風險。writeExternal()與readExternal()
方法聲明為public，惡意類可以用這些方法讀取和寫入對象數據。如果對象包含敏感信息，
則要格外小心。這包括使用安全套接或加密整個字節流。到此為至，我們學習了序列化的
基礎部分知識。關于序列化的高級教程，以后再述。