什么是序列化?
內(nèi)存中的數(shù)據(jù)對象只有轉(zhuǎn)換為二進制流才可以進行數(shù)據(jù)持久化和網(wǎng)絡(luò)傳輸。將數(shù)據(jù)對象轉(zhuǎn)換為二進制流的過程稱為對象的序列化(Serialization)。反之,將二進制流恢復(fù)為數(shù)據(jù)對象的過程稱為反序列化(Deserialization)。序列化需要保留充分的信息以恢復(fù)數(shù)據(jù)對象,但是為了節(jié)約存儲空間和網(wǎng)絡(luò)帶寬,序列化后的二進制流又要盡可能小。序列化常見的使用場景是RPC框架的數(shù)據(jù)傳輸。常見的序列化方式有三種:
1.Java原生序列化
Java類通過實現(xiàn)Serializable接口來實現(xiàn)該類對象的序列化,這個接口非常特殊,沒有任何方法,只起標(biāo)識作用.Java序列化保留了對象類的元數(shù)據(jù)(如類、成員變量、繼承類信息等),以及對象數(shù)據(jù)等,兼容性最好,但不支持跨語言,而且性能一般。
實現(xiàn)Serializable接口的類建議設(shè)置serialVersionUID字段值,如果不設(shè)置,那么每次運行時,編譯器會根據(jù)類的內(nèi)部實現(xiàn),包括類名、接口名、方法和屬性等來自動生成serialVersionUID。如果類的源代碼有修改,那么重新編譯后serial VersionUID的取值可能會發(fā)生變化。因此實現(xiàn)Serializable接口的類一定要顯式地定義serialVersionUID屬性值。修改類時需要根據(jù)兼容性決定是否修改serialVersionUID值:
1.如果是兼容升級,請不要修改serialVersionUID字段,避免反序列化失敗。
2.如果是不兼容升級,需要修改serialVersionUID值,避免反序列化混亂。
使用Java原生序列化需注意,Java反序列化時不會調(diào)用類的無參構(gòu)造方法,而是調(diào)用native方法將成員變量賦值為對應(yīng)類型的初始值。基于性能及兼容性考慮,不推薦使用Java 原生序列化。
2.Hessian 序列化
Hessian 序列化是一種支持動態(tài)類型、跨語言、基于對象
傳輸?shù)木W(wǎng)絡(luò)協(xié)議。 Java 對象序列化的二進制流可以被其他語言 ( 如 C++、 Python )反
序列化。 Hessian 協(xié)議具有如下特性.
自描述序列化類型。不依賴外部描述文件或接口定義 , 用一個字節(jié)表示常用
基礎(chǔ)類型 , 極大縮短二進制流。
· 語言無關(guān),支持腳本語言。
· 協(xié)議簡單,比 Java 原生序列化高效。
相比 Hessian 1.0, Hessian 2.0 中增加了壓縮編碼,其序列化二進制流大小是 Java
序列化的 50% , 序列化耗時是 Java 序列化的 30% ,反序列化耗時是 Java 反序列化的
20% 。
Hessian 會把復(fù)雜對象所有屬性存儲在一個 Map 申 進行序列化。所以在父類、子
類存在同名成員變量的情況下, Hessian 序列化時,先序列化子類 ,然后序列化父類,
因此反序列化結(jié)果會導(dǎo)致子類同名成員變量被父類的值覆蓋。
3.Json序列化
JSON ( JavaScript O同ect Notation )是一種輕量級的數(shù)據(jù)交
換格式。 JSON 序列化就是將數(shù)據(jù)對象轉(zhuǎn)換為 JSON 字符串。在序列化過程中拋棄了
類型信息,所以反序列化時只有提供類型信息才能準(zhǔn)確地反序列化。相比前兩種方式,
JSON 可讀性比較好,方便調(diào)試。
序列化通常會通過網(wǎng)絡(luò)傳輸對象 , 而對象中往往有敏感數(shù)據(jù),所以序列化常常
成為黑客的攻擊點,攻擊者巧妙地利用反序列化過程構(gòu)造惡意代碼,使得程序在反序
列化的過程中執(zhí)行任意代碼。 Java 工程中廣泛使用的 Apache Commons Collections 、
Jackson 、 fastjson 等都出現(xiàn)過反序列化漏洞。如何防范這種黑客攻擊呢?有些對象的
敏感屬性不需要進行序列化傳輸 ,可以加 transient 關(guān)鍵字,避免把此屬性信息轉(zhuǎn)化為
序列化的二進制流。如果一定要傳遞對象的敏感屬性,可以使用對稱與非對稱加密方
式獨立傳輸,再使用某個方法把屬性還原到對象中。應(yīng)用開發(fā)者對序列化要有一定的
安全防范意識 , 對傳入數(shù)據(jù)的內(nèi)容進行校驗或權(quán)限控制,及時更新安全漏洞,避免受
到攻擊。
