【Web】关于Java反序列化那些实现机制的朴素通识

本文主要是介绍【Web】关于Java反序列化那些实现机制的朴素通识，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

目录

原生⚔ 自定义

基于 Java 原生序列化机制：

基于自定义序列化机制：

基于Bean⚔基于Field

基于 Bean 的反序列化：

基于 Field 的反序列化：

常见序列化协议归类

---

原生⚔ 自定义

基于 Java 原生序列化机制：

• 特点：
  1. 使用 Java 原生序列化机制，对象需要实现 java.io.Serializable 接口。
  2. 序列化采用 ObjectOutputStream，反序列化采用 ObjectInputStream。
  3. 简单易用，无需额外的序列化和反序列化代码。
  4. 默认支持复杂对象图的序列化和反序列化，但对版本兼容性有一定限制。

基于自定义序列化机制：

• 特点：
  1. 使用非 Java 原生的序列化格式，如 JSON、XML 等。
  2. 需要使用第三方库或框架来实现自定义序列化和反序列化逻辑，如 Jackson、Gson 等。
  3. 序列化格式通常更紧凑、可读性好，支持跨语言、跨平台的数据交互。
  4. 可以更灵活地处理复杂对象结构、版本变更等问题，提供更好的兼容性和扩展性。

 

基于Bean⚔基于Field

基于 Bean 的反序列化：

如：SnakeYAML、jYAML、YamlBeans、Apache Flex BlazeDS、Red5 IO AMF、Jackson、Castor、Java XMLDecoder

1. 原理：

   • 基于 Bean 的反序列化是通过对象的 getter 和 setter 方法来读取和设置对象的属性值。在反序列化过程中，会根据属性名调用相应的 setter 方法为对象的属性赋值。

2. 优点：

   • 封装性好：使用 getter 和 setter 方法可以隐藏对象的内部实现细节，提供统一的访问接口。
   • 安全性高：可以通过控制 setter 方法来对属性值进行校验和处理，增强安全性。

3. 缺点：

   • 反序列化过程受限：需要保证类中存在对应的 setter 方法才能正确反序列化对象。
   • 可能影响性能：频繁调用 getter 和 setter 方法可能影响性能，特别是在大量对象的反序列化过程中。

基于 Field 的反序列化：

如：Java Serialization、Kryo、Hessian、json-io、XStream

 

1. 原理：

   • 基于 Field 的反序列化直接操作对象的字段（Field），不通过 getter 和 setter 方法。在反序列化过程中，会直接操作对象的字段来设置属性的值。

2. 优点：

   • 灵活性高：可以直接访问对象的字段，无需依赖 getter 和 setter 方法。
   • 性能较好：直接操作字段可能比通过方法调用更高效。

3. 缺点：

   • 破坏封装性：直接操作字段可能破坏对象的封装性，暴露对象的内部实现细节。
   • 安全风险：绕过 setter 方法可能导致属性值未经校验，存在安全风险。

常见序列化协议归类

序列化协议	特点
jdk （jdk 自带）	1. 序列化：除了 static、transient类型 2. 特点：强类型，安全性高，序列化结果携带类型信息 3. 反序列化：基于 Field 机制 4. 应用场景：深拷贝
fastjson （第三方实现）	1. 可读性好，空间占用小 2. 特点：弱类型，序列化结果不携带类型信息，可读性强。有一些安全性问题 3. 反序列化：基于 Field 机制，兼容 Bean 机制 4. 应用场景：消息、透传对象
hessian （第三方实现）	1. 序列化：除了 static、transient 类型 2. 特点：强类型，体积小，可跨语言，序列化结果携带类型信息 3. 反序列化：基于 Field 机制，兼容 Bean 机制 4. 应用场景：RPC

这篇关于【Web】关于Java反序列化那些实现机制的朴素通识的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---