關於 Java 物件序列化的一些有用的小知識 不易理解，但對於解決 Java 程式設計挑戰遲早有用。

將 Java 物件序列化 API它從一開始就存在於 JDK 1.1 中。本文介紹的關於序列化的 幾件事情將說服您重新審視那些標準 Java API。

Java 序列化簡介

Java 物件序列化是 JDK 1.1 中引入的一組開創性特性之一，用於作為一種將 Java 物件的狀態轉換為位元組陣列，以便儲存或傳輸的機制，以後，仍可以將位元組陣列轉換回 Java 物件原有的狀態。

到現在為止，還沒有看到什麼新鮮的或令人興奮的事情，但是這是一個很好的出發點。我們將使用 Person 來發現您可能不 知道的關於 Java 物件序列化 的 5 件事。

1. 序列化允許重構

序列化允許一定數量的類變種，甚至重構之後也是如此，ObjectInputStream 仍可以很好地將其讀出來。

Java Object Serialization 規範可以自動管理的關鍵任務是：

· 將新欄位新增到類中

· 將欄位從 static 改為非 static

· 將欄位從 transient 改為非 transient

取決於所需的向後相容程度，轉換欄位形式（從非 static 轉換為 static 或從非 transient 轉換為 transient）或者刪除欄位需要額外的訊息傳遞。

重構序列化類

既然已經知道序列化允許重構，我們來看看當把新欄位新增到 Person 類中時，會發生什麼事情。

如清單 3 所示，PersonV2 在原先 Person 類的基礎上引入一個表示性別的新欄位。

清單 3. 將新欄位新增到序列化的 Person 中

序列化使用一個 hash，該 hash 是根據給定原始檔中幾乎所有東西 — 方法名稱、欄位名稱、欄位型別、訪問修改方法等 — 計算出來的，序列化將該 hash 值與序列化流中的 hash 值相比較。

為了使 Java 執行時相信兩種型別實際上是一樣的，第二版和隨後版本的 Person 必須與第一版有相同的序列化版本 hash（儲存為 private static final serialVersionUID 欄位）。因此，我們需要serialVersionUID 欄位，它是通過對原始（或 V1）版本的 Person 類執行 JDK serialver 命令計算出的。

一旦有了 Person 的 serialVersionUID，不僅可以從原始物件 Person 的序列化資料建立 PersonV2 物件（當出現新欄位時，新欄位被設為預設值，最常見的是"null"），還可以反過來做：即從 PersonV2 的資料通過反序列化得到 Person，這毫不奇怪。

2. 序列化並不安全

讓 Java 開發人員詫異並感到不快的是，序列化二進位制格式完全編寫在文件中，並且完全可逆。實際上，只需將二進位制序列化流的內容轉儲到控制檯，就足以看清類是什麼樣子，以及它包含什麼內容。

這對於安全性有著不良影響。例如，當通過 RMI 進行遠端方法呼叫時，通過連線傳送的物件中的任何 private 欄位幾乎都是以明文的方式出現在套接字流中，這顯然容易招致哪怕最簡單的安全問題。

幸運的是，序列化允許 "hook" 序列化過程，並在序列化之前和反序列化之後保護（或模糊化）欄位資料。可以通過在 Serializable 物件上提供一個 writeObject 方法來做到這一點。

模糊化序列化資料

假設 Person 類中的敏感資料是 age 欄位。畢竟，女士忌談年齡。 我們可以在序列化之前模糊化該資料，將數位迴圈左移一位，然後在反序列化之後復位。（您可以開發更安全的演算法，當前這個演算法只是作為一個例子。）

為了 "hook" 序列化過程，我們將在 Person 上實現一個 writeObject 方法；為了 "hook" 反序列化過程，我們將在同一個類上實現一個 readObject 方法。重要的是這兩個方法的細節要正確 — 如果訪問修改方法、引數或名稱不同於清單 4 中的內容，那麼程式碼將不被察覺地失敗，Person 的 age 將暴露。

如果需要檢視被模糊化的資料，總是可以檢視序列化資料流/檔案。而且，由於該格式被完全文件化，即使不能訪問類本身，也仍可以讀取序列化流中的內容。

3. 序列化的資料可以被簽名和密封

上一個技巧假設您想模糊化序列化資料，而不是對其加密或者確保它不被修改。當然，通過使用 writeObject 和 readObject 可以實現密碼加密和簽名管理，但其實還有更好的方式。

如果需要對整個物件進行加密和簽名，最簡單的是將它放在一個 javax.crypto.SealedObject 和/或java.security.SignedObject 包裝器中。兩者都是可序列化的，所以將物件包裝在 SealedObject 中可以圍繞原物件建立一種 "包裝盒"。必須有對稱金鑰才能解密，而且金鑰必須單獨管理。同樣，也可以將 SignedObject 用於資料驗證，並且對稱金鑰也必須單獨管理。

結合使用這兩種物件，便可以輕鬆地對序列化資料進行密封和簽名，而不必強調關於數字簽名驗證或加密的細節。很簡潔，是吧？

4. 序列化允許將代理放在流中

很多情況下，類中包含一個核心資料元素，通過它可以派生或找到類中的其他欄位。在此情況下，沒有必要序列化整個物件。可以將欄位標記為 transient，但是每當有方法訪問一個欄位時，類仍然必須顯式地產生程式碼來檢查它是否被初始化。

如果首要問題是序列化，那麼最好指定一個 flyweight 或代理放在流中。為原始 Person 提供一個writeReplace 方法，可以序列化不同型別的物件來代替它。類似地，如果反序列化期間發現一個readResolve 方法，那麼將呼叫該方法，將替代物件提供給呼叫者。

打包和解包代理

writeReplace 和 readResolve 方法使 Person 類可以將它的所有資料（或其中的核心資料）打包到一個 PersonProxy 中，將它放入到一個流中，然後在反序列化時再進行解包。

清單 5. 你完整了我，我代替了你

注意，PersonProxy 必須跟蹤 Person 的所有資料。這通常意味著代理需要是 Person 的一個內部類，以便能訪問 private 欄位。有時候，代理還需要追蹤其他物件引用並手動序列化它們，例如 Person 的 spouse。

這種技巧是少數幾種不需要讀/寫平衡的技巧之一。例如，一個類被重構成另一種型別後的版本可以提供一個 readResolve 方法，以便靜默地將被序列化的物件轉換成新型別。類似地，它可以採用 writeReplace 方法將舊類序列化成新版本。

5. 信任，但要驗證

認為序列化流中的資料總是與最初寫到流中的資料一致，這沒有問題。但是，正如一位美國前總統所說的，"信任，但要驗證"。

對於序列化的物件，這意味著驗證欄位，以確保在反序列化之後它們仍具有正確的值，"以防萬一"。為此，可以實現 ObjectInputValidation 介面，並覆蓋 validateObject() 方法。如果呼叫該方法時發現某處有錯誤，則丟擲一個 InvalidObjectException。

java世界無窮無盡，需要我們不斷去研究探索。如果你也對程式設計感興趣，想學習更多，可詢462403503或點選下方藍色字型瞭解更多。

藍色字型