注意: 虽然Java的演进提供了更安全、更高效的序列化替代方案,但为了学习目的,本文仍将探讨序列化代理方法。 在实际项目中,建议优先考虑现代的序列化技术。
项目90 摘要:优先使用序列化代理而非直接序列化实例
直接序列化的风险: 直接序列化存在安全风险和潜在错误:
- 绕过构造器: 允许创建未经验证的对象,绕过正常的构造器流程。
- 违反不变性: 可能导致创建无效的对象实例。
- 恶意攻击: 攻击者可通过操纵字节流来利用漏洞。
序列化代理模式: 该模式提供了一种安全受控的序列化替代方案:
- 创建代理类: 创建一个可序列化的代理类,用于封装主类的状态。
- 仅序列化代理: 确保只有代理类被序列化和反序列化,而非原始类。
序列化代理的实现:
方科网络ERP图文店
下载
方科网络ERP图文店II版为仿代码站独立研发的网络版ERP销售程序。本本版本为方科网络ERP图文店版的简化版,去除了部分不同用的功能,使得系统更加精炼实用。考虑到图文店的特殊情况,本系统并未制作出入库功能,而是将销售作为重头,使用本系统,可以有效解决大型图文店员工多,换班数量多,订单混杂不清的情况。下单、取件、结算分别记录操作人员,真正做到订单全程跟踪!无限用户级别,不同的用户级别可以设置不同的价
- 代理类: 创建一个私有静态内部类,其字段与主类相同。构造器接收主类实例并复制其数据。 例如:
private static class SerializationProxy implements Serializable {
private final Date start;
private final Date end;
SerializationProxy(Period p) {
this.start = p.start;
this.end = p.end;
}
}
-
writeReplace()方法: 在主类中重写writeReplace()方法,返回序列化代理的实例。
private Object writeReplace() {
return new SerializationProxy(this);
}
-
readObject()方法: 在主类中重写readObject()方法,抛出异常以阻止直接反序列化。
private void readObject(ObjectInputStream ois) throws InvalidObjectException {
throw new InvalidObjectException("Use the proxy!");
}
-
readResolve()方法: 在代理类中重写readResolve()方法,将代理转换回主类的有效实例。
private Object readResolve() {
return new Period(start, end); // 使用公共构造器
}
优势:
- 增强安全性: 降低了恶意字节流攻击的风险,保护了私有字段。
- 维护不变性: 确保对象状态的完整性。
- 灵活性和可维护性: 允许修改类的内部实现,而无需破坏序列化兼容性。
- 简化验证: 比手动防御性复制更易于验证。
限制:
- 可继承类: 如果类允许用户继承,则该模式可能失效。
-
循环引用: 可能在存在循环引用的对象上导致
ClassCastException。 - 性能: 性能略低于标准序列化(通常是可接受的折衷)。
何时使用序列化代理:
- 类具有复杂的不变性约束。
- 安全性至关重要(例如,处理敏感数据)。
- 需要避免编写复杂的验证代码或手动防御性复制。
总结: 序列化代理模式为对象序列化提供了一种更安全、更可靠的方法。 虽然存在一些限制,但在需要高安全性或复杂不变性约束的场景下,它是一个值得考虑的方案。 然而,请记住,现代Java提供了更优越的序列化替代方案,应优先考虑。
