目前網(wǎng)絡(luò)上關(guān)于對(duì)象序列化的文章不少,但是我發(fā)現(xiàn)詳細(xì)敘述用法和原理的文章太少。本人把自己經(jīng)過(guò)經(jīng)驗(yàn)總結(jié)和實(shí)際運(yùn)用中的體會(huì)寫(xiě)成的學(xué)習(xí)筆記貢獻(xiàn)給大家。希望能為整個(gè)java社區(qū)的繁榮做一點(diǎn)事情。
序列化的過(guò)程就是對(duì)象寫(xiě)入字節(jié)流和從字節(jié)流中讀取對(duì)象。將對(duì)象狀態(tài)轉(zhuǎn)換成字節(jié)流之后,可以用java.io包中的各種字節(jié)流類(lèi)將其保存到文件中,管道到另一線程中或通過(guò)網(wǎng)絡(luò)連接將對(duì)象數(shù)據(jù)發(fā)送到另一主機(jī)。對(duì)象序列化功能非常簡(jiǎn)單、強(qiáng)大,在RMI、Socket、JMS、EJB都有應(yīng)用。對(duì)象序列化問(wèn)題在網(wǎng)絡(luò)編程中并不是最激動(dòng)人心的課題,但卻相當(dāng)重要,具有許多實(shí)用意義。
一:對(duì)象序列化可以實(shí)現(xiàn)分布式對(duì)象。主要應(yīng)用例如:RMI要利用對(duì)象序列化運(yùn)行遠(yuǎn)程主機(jī)上的服務(wù),就像在本地機(jī)上運(yùn)行對(duì)象時(shí)一樣。
二:java對(duì)象序列化不僅保留一個(gè)對(duì)象的數(shù)據(jù),而且遞歸保存對(duì)象引用的每個(gè)對(duì)象的數(shù)據(jù)。可以將整個(gè)對(duì)象層次寫(xiě)入字節(jié)流中,可以保存在文件中或在網(wǎng)絡(luò)連接上傳遞。利用對(duì)象序列化可以進(jìn)行對(duì)象的“深復(fù)制”,即復(fù)制對(duì)象本身及引用的對(duì)象本身。序列化一個(gè)對(duì)象可能得到整個(gè)對(duì)象序列。
從上面的敘述中,我們知道了對(duì)象序列化是java編程中的必備武器,那么讓我們從基礎(chǔ)開(kāi)始,好好學(xué)習(xí)一下它的機(jī)制和用法。
java序列化比較簡(jiǎn)單,通常不需要編寫(xiě)保存和恢復(fù)對(duì)象狀態(tài)的定制代碼。實(shí)現(xiàn)java.io.Serializable接口的類(lèi)對(duì)象可以轉(zhuǎn)換成字節(jié)流或從字節(jié)流恢復(fù),不需要在類(lèi)中增加任何代碼。只有極少數(shù)情況下才需要定制代碼保存或恢復(fù)對(duì)象狀態(tài)。這里要注意:不是每個(gè)類(lèi)都可序列化,有些類(lèi)是不能序列化的,例如涉及線程的類(lèi)與特定JVM有非常復(fù)雜的關(guān)系。
序列化機(jī)制:
序列化分為兩大部分:序列化和反序列化。序列化是這個(gè)過(guò)程的第一部分,將數(shù)據(jù)分解成字節(jié)流,以便存儲(chǔ)在文件中或在網(wǎng)絡(luò)上傳輸。反序列化就是打開(kāi)字節(jié)流并重構(gòu)對(duì)象。對(duì)象序列化不僅要將基本數(shù)據(jù)類(lèi)型轉(zhuǎn)換成字節(jié)表示,有時(shí)還要恢復(fù)數(shù)據(jù)。恢復(fù)數(shù)據(jù)要求有恢復(fù)數(shù)據(jù)的對(duì)象實(shí)例。ObjectOutputStream中的序列化過(guò)程與字節(jié)流連接,包括對(duì)象類(lèi)型和版本信息。反序列化時(shí),JVM用頭信息生成對(duì)象實(shí)例,然后將對(duì)象字節(jié)流中的數(shù)據(jù)復(fù)制到對(duì)象數(shù)據(jù)成員中。下面我們分兩大部分來(lái)闡述:
處理對(duì)象流:
(序列化過(guò)程和反序列化過(guò)程)
java.io包有兩個(gè)序列化對(duì)象的類(lèi)。ObjectOutputStream負(fù)責(zé)將對(duì)象寫(xiě)入字節(jié)流,ObjectInputStream從字節(jié)流重構(gòu)對(duì)象。
我們先了解ObjectOutputStream類(lèi)吧。ObjectOutputStream類(lèi)擴(kuò)展DataOutput接口。
writeObject()方法是最重要的方法,用于對(duì)象序列化。如果對(duì)象包含其他對(duì)象的引用,則writeObject()方法遞歸序列化這些對(duì)象。每個(gè)ObjectOutputStream維護(hù)序列化的對(duì)象引用表,防止發(fā)送同一對(duì)象的多個(gè)拷貝。(這點(diǎn)很重要)由于writeObject()可以序列化整組交叉引用的對(duì)象,因此同一ObjectOutputStream實(shí)例可能不小心被請(qǐng)求序列化同一對(duì)象。這時(shí),進(jìn)行反引用序列化,而不是再次寫(xiě)入對(duì)象字節(jié)流。
下面,讓我們從例子中來(lái)了解ObjectOutputStream這個(gè)類(lèi)吧。
1.// 序列化 today's date 到一個(gè)文件中.
2.FileOutputStream f = new FileOutputStream("tmp");
3.ObjectOutputStream s = new ObjectOutputStream(f);
4.s.writeObject("Today");
5.s.writeObject(new Date());
6.s.flush();
現(xiàn)在,讓我們來(lái)了解ObjectInputStream這個(gè)類(lèi)。它與ObjectOutputStream相似。它擴(kuò)展DataInput接口。ObjectInputStream中的方法鏡像DataInputStream中讀取Java基本數(shù)據(jù)類(lèi)型的公開(kāi)方法。readObject()方法從字節(jié)流中反序列化對(duì)象。每次調(diào)用readObject()方法都返回流中下一個(gè)Object。對(duì)象字節(jié)流并不傳輸類(lèi)的字節(jié)碼,而是包括類(lèi)名及其簽名。readObject()收到對(duì)象時(shí),JVM裝入頭中指定的類(lèi)。如果找不到這個(gè)類(lèi),則readObject()拋出ClassNotFoundException,如果需要傳輸對(duì)象數(shù)據(jù)和字節(jié)碼,則可以用RMI框架。ObjectInputStream的其余方法用于定制反序列化過(guò)程。
例子如下:
1.//從文件中反序列化 string 對(duì)象和 date 對(duì)象
2.FileInputStream in = new FileInputStream("tmp");
3.ObjectInputStream s = new ObjectInputStream(in);
4.String today = (String)s.readObject();
5.Date date = (Date)s.readObject();
定制序列化過(guò)程:
序列化通常可以自動(dòng)完成,但有時(shí)可能要對(duì)這個(gè)過(guò)程進(jìn)行控制。java可以將類(lèi)聲明為serializable,但仍可手工控制聲明為static或transient的數(shù)據(jù)成員。
例子:一個(gè)非常簡(jiǎn)單的序列化類(lèi)。
public class simpleSerializableClass implements Serializable{
String sToday="Today:";
transient Date dtToday=new Date();
}
序列化時(shí),類(lèi)的所有數(shù)據(jù)成員應(yīng)可序列化除了聲明為transient或static的成員。將變量聲明為transient告訴JVM我們會(huì)負(fù)責(zé)將變?cè)蛄谢?shù)據(jù)成員聲明為transient后,序列化過(guò)程就無(wú)法將其加進(jìn)對(duì)象字節(jié)流中,沒(méi)有從transient數(shù)據(jù)成員發(fā)送的數(shù)據(jù)。后面數(shù)據(jù)反序列化時(shí),要重建數(shù)據(jù)成員(因?yàn)樗穷?lèi)定義的一部分),但不包含任何數(shù)據(jù),因?yàn)檫@個(gè)數(shù)據(jù)成員不向流中寫(xiě)入任何數(shù)據(jù)。記住,對(duì)象流不序列化static或transient。我們的類(lèi)要用writeObject()與readObject()方法以處理這些數(shù)據(jù)成員。使用writeObject()與readObject()方法時(shí),還要注意按寫(xiě)入的順序讀取這些數(shù)據(jù)成員。
關(guān)于如何使用定制序列化的部分代碼如下:
//重寫(xiě)writeObject()方法以便處理transient的成員。
public void writeObject(ObjectOutputStream outputStream) throws IOException{
outputStream.defaultWriteObject();//使定制的writeObject()方法可以
利用自動(dòng)序列化中內(nèi)置的邏輯。
outputStream.writeObject(oSocket.getInetAddress());
outputStream.writeInt(oSocket.getPort());
}
//重寫(xiě)readObject()方法以便接收transient的成員。
private void readObject(ObjectInputStream inputStream) throws IOException,ClassNotFoundException{
inputStream.defaultReadObject();//defaultReadObject()補(bǔ)充自動(dòng)序列化
InetAddress oAddress=(InetAddress)inputStream.readObject();
int iPort =inputStream.readInt();
oSocket = new Socket(oAddress,iPort);
iID=getID();
dtToday =new Date();
}
完全定制序列化過(guò)程:
如果一個(gè)類(lèi)要完全負(fù)責(zé)自己的序列化,則實(shí)現(xiàn)Externalizable接口而不是Serializable接口。Externalizable接口定義包括兩個(gè)方法writeExternal()與readExternal()。利用這些方法可以控制對(duì)象數(shù)據(jù)成員如何寫(xiě)入字節(jié)流.類(lèi)實(shí)現(xiàn)Externalizable時(shí),頭寫(xiě)入對(duì)象流中,然后類(lèi)完全負(fù)責(zé)序列化和恢復(fù)數(shù)據(jù)成員,除了頭以外,根本沒(méi)有自動(dòng)序列化。這里要注意了。聲明類(lèi)實(shí)現(xiàn)Externalizable接口會(huì)有重大的安全風(fēng)險(xiǎn)。writeExternal()與readExternal()方法聲明為public,惡意類(lèi)可以用這些方法讀取和寫(xiě)入對(duì)象數(shù)據(jù)。如果對(duì)象包含敏感信息,則要格外小心。這包括使用安全套接或加密整個(gè)字節(jié)流。目前網(wǎng)絡(luò)上關(guān)于對(duì)象序列化的文章不少,但是我發(fā)現(xiàn)詳細(xì)敘述用法和原理的文章太少。本人把自己經(jīng)過(guò)經(jīng)驗(yàn)總結(jié)和實(shí)際運(yùn)用中的體會(huì)寫(xiě)成的學(xué)習(xí)筆記貢獻(xiàn)給大家。希望能為整個(gè)java社區(qū)的繁榮做一點(diǎn)事情。
序列化的過(guò)程就是對(duì)象寫(xiě)入字節(jié)流和從字節(jié)流中讀取對(duì)象。將對(duì)象狀態(tài)轉(zhuǎn)換成字節(jié)流之后,可以用java.io包中的各種字節(jié)流類(lèi)將其保存到文件中,管道到另一線程中或通過(guò)網(wǎng)絡(luò)連接將對(duì)象數(shù)據(jù)發(fā)送到另一主機(jī)。對(duì)象序列化功能非常簡(jiǎn)單、強(qiáng)大,在RMI、Socket、JMS、EJB都有應(yīng)用。對(duì)象序列化問(wèn)題在網(wǎng)絡(luò)編程中并不是最激動(dòng)人心的課題,但卻相當(dāng)重要,具有許多實(shí)用意義。
一:對(duì)象序列化可以實(shí)現(xiàn)分布式對(duì)象。主要應(yīng)用例如:RMI要利用對(duì)象序列化運(yùn)行遠(yuǎn)程主機(jī)上的服務(wù),就像在本地機(jī)上運(yùn)行對(duì)象時(shí)一樣。
二:java對(duì)象序列化不僅保留一個(gè)對(duì)象的數(shù)據(jù),而且遞歸保存對(duì)象引用的每個(gè)對(duì)象的數(shù)據(jù)。可以將整個(gè)對(duì)象層次寫(xiě)入字節(jié)流中,可以保存在文件中或在網(wǎng)絡(luò)連接上傳遞。利用對(duì)象序列化可以進(jìn)行對(duì)象的“深復(fù)制”,即復(fù)制對(duì)象本身及引用的對(duì)象本身。序列化一個(gè)對(duì)象可能得到整個(gè)對(duì)象序列。
從上面的敘述中,我們知道了對(duì)象序列化是java編程中的必備武器,那么讓我們從基礎(chǔ)開(kāi)始,好好學(xué)習(xí)一下它的機(jī)制和用法。
java序列化比較簡(jiǎn)單,通常不需要編寫(xiě)保存和恢復(fù)對(duì)象狀態(tài)的定制代碼。實(shí)現(xiàn)java.io.Serializable接口的類(lèi)對(duì)象可以轉(zhuǎn)換成字節(jié)流或從字節(jié)流恢復(fù),不需要在類(lèi)中增加任何代碼。只有極少數(shù)情況下才需要定制代碼保存或恢復(fù)對(duì)象狀態(tài)。這里要注意:不是每個(gè)類(lèi)都可序列化,有些類(lèi)是不能序列化的,例如涉及線程的類(lèi)與特定JVM有非常復(fù)雜的關(guān)系。
序列化機(jī)制:
序列化分為兩大部分:序列化和反序列化。序列化是這個(gè)過(guò)程的第一部分,將數(shù)據(jù)分解成字節(jié)流,以便存儲(chǔ)在文件中或在網(wǎng)絡(luò)上傳輸。反序列化就是打開(kāi)字節(jié)流并重構(gòu)對(duì)象。對(duì)象序列化不僅要將基本數(shù)據(jù)類(lèi)型轉(zhuǎn)換成字節(jié)表示,有時(shí)還要恢復(fù)數(shù)據(jù)。恢復(fù)數(shù)據(jù)要求有恢復(fù)數(shù)據(jù)的對(duì)象實(shí)例。ObjectOutputStream中的序列化過(guò)程與字節(jié)流連接,包括對(duì)象類(lèi)型和版本信息。反序列化時(shí),JVM用頭信息生成對(duì)象實(shí)例,然后將對(duì)象字節(jié)流中的數(shù)據(jù)復(fù)制到對(duì)象數(shù)據(jù)成員中。下面我們分兩大部分來(lái)闡述:
處理對(duì)象流:
(序列化過(guò)程和反序列化過(guò)程)
java.io包有兩個(gè)序列化對(duì)象的類(lèi)。ObjectOutputStream負(fù)責(zé)將對(duì)象寫(xiě)入字節(jié)流,ObjectInputStream從字節(jié)流重構(gòu)對(duì)象。
我們先了解ObjectOutputStream類(lèi)吧。ObjectOutputStream類(lèi)擴(kuò)展DataOutput接口。
writeObject()方法是最重要的方法,用于對(duì)象序列化。如果對(duì)象包含其他對(duì)象的引用,則writeObject()方法遞歸序列化這些對(duì)象。每個(gè)ObjectOutputStream維護(hù)序列化的對(duì)象引用表,防止發(fā)送同一對(duì)象的多個(gè)拷貝。(這點(diǎn)很重要)由于writeObject()可以序列化整組交叉引用的對(duì)象,因此同一ObjectOutputStream實(shí)例可能不小心被請(qǐng)求序列化同一對(duì)象。這時(shí),進(jìn)行反引用序列化,而不是再次寫(xiě)入對(duì)象字節(jié)流。
下面,讓我們從例子中來(lái)了解ObjectOutputStream這個(gè)類(lèi)吧。
1.// 序列化 today's date 到一個(gè)文件中.
2.FileOutputStream f = new FileOutputStream("tmp");
3.ObjectOutputStream s = new ObjectOutputStream(f);
4.s.writeObject("Today");
5.s.writeObject(new Date());
6.s.flush();
現(xiàn)在,讓我們來(lái)了解ObjectInputStream這個(gè)類(lèi)。它與ObjectOutputStream相似。它擴(kuò)展DataInput接口。ObjectInputStream中的方法鏡像DataInputStream中讀取Java基本數(shù)據(jù)類(lèi)型的公開(kāi)方法。readObject()方法從字節(jié)流中反序列化對(duì)象。每次調(diào)用readObject()方法都返回流中下一個(gè)Object。對(duì)象字節(jié)流并不傳輸類(lèi)的字節(jié)碼,而是包括類(lèi)名及其簽名。readObject()收到對(duì)象時(shí),JVM裝入頭中指定的類(lèi)。如果找不到這個(gè)類(lèi),則readObject()拋出ClassNotFoundException,如果需要傳輸對(duì)象數(shù)據(jù)和字節(jié)碼,則可以用RMI框架。ObjectInputStream的其余方法用于定制反序列化過(guò)程。
例子如下:
1.//從文件中反序列化 string 對(duì)象和 date 對(duì)象
2.FileInputStream in = new FileInputStream("tmp");
3.ObjectInputStream s = new ObjectInputStream(in);
4.String today = (String)s.readObject();
5.Date date = (Date)s.readObject();
定制序列化過(guò)程:
序列化通常可以自動(dòng)完成,但有時(shí)可能要對(duì)這個(gè)過(guò)程進(jìn)行控制。java可以將類(lèi)聲明為serializable,但仍可手工控制聲明為static或transient的數(shù)據(jù)成員。
例子:一個(gè)非常簡(jiǎn)單的序列化類(lèi)。
public class simpleSerializableClass implements Serializable{
String sToday="Today:";
transient Date dtToday=new Date();
}
序列化時(shí),類(lèi)的所有數(shù)據(jù)成員應(yīng)可序列化除了聲明為transient或static的成員。將變量聲明為transient告訴JVM我們會(huì)負(fù)責(zé)將變?cè)蛄谢?shù)據(jù)成員聲明為transient后,序列化過(guò)程就無(wú)法將其加進(jìn)對(duì)象字節(jié)流中,沒(méi)有從transient數(shù)據(jù)成員發(fā)送的數(shù)據(jù)。后面數(shù)據(jù)反序列化時(shí),要重建數(shù)據(jù)成員(因?yàn)樗穷?lèi)定義的一部分),但不包含任何數(shù)據(jù),因?yàn)檫@個(gè)數(shù)據(jù)成員不向流中寫(xiě)入任何數(shù)據(jù)。記住,對(duì)象流不序列化static或transient。我們的類(lèi)要用writeObject()與readObject()方法以處理這些數(shù)據(jù)成員。使用writeObject()與readObject()方法時(shí),還要注意按寫(xiě)入的順序讀取這些數(shù)據(jù)成員。
關(guān)于如何使用定制序列化的部分代碼如下:
//重寫(xiě)writeObject()方法以便處理transient的成員。
public void writeObject(ObjectOutputStream outputStream) throws IOException{
outputStream.defaultWriteObject();//使定制的writeObject()方法可以
利用自動(dòng)序列化中內(nèi)置的邏輯。
outputStream.writeObject(oSocket.getInetAddress());
outputStream.writeInt(oSocket.getPort());
}
//重寫(xiě)readObject()方法以便接收transient的成員。
private void readObject(ObjectInputStream inputStream) throws IOException,ClassNotFoundException{
inputStream.defaultReadObject();//defaultReadObject()補(bǔ)充自動(dòng)序列化
InetAddress oAddress=(InetAddress)inputStream.readObject();
int iPort =inputStream.readInt();
oSocket = new Socket(oAddress,iPort);
iID=getID();
dtToday =new Date();
}
完全定制序列化過(guò)程:
如果一個(gè)類(lèi)要完全負(fù)責(zé)自己的序列化,則實(shí)現(xiàn)Externalizable接口而不是Serializable接口。Externalizable接口定義包括兩個(gè)方法writeExternal()與readExternal()。利用這些方法可以控制對(duì)象數(shù)據(jù)成員如何寫(xiě)入字節(jié)流.類(lèi)實(shí)現(xiàn)Externalizable時(shí),頭寫(xiě)入對(duì)象流中,然后類(lèi)完全負(fù)責(zé)序列化和恢復(fù)數(shù)據(jù)成員,除了頭以外,根本沒(méi)有自動(dòng)序列化。這里要注意了。聲明類(lèi)實(shí)現(xiàn)Externalizable接口會(huì)有重大的安全風(fēng)險(xiǎn)。writeExternal()與readExternal()方法聲明為public,惡意類(lèi)可以用這些方法讀取和寫(xiě)入對(duì)象數(shù)據(jù)。如果對(duì)象包含敏感信息,則要格外小心。這包括使用安全套接或加密整個(gè)字節(jié)流。]]>
posted on 2005-09-19 16:23
Sung 閱讀(2014)
評(píng)論(1) 編輯 收藏 所屬分類(lèi):
Java