11.76-11.78 使用序列化

1.覆盖readObject()检查反序列化对象的有效性，以防止安全攻击。readObject()可视为一个隐藏的构造函数。在此方法里不要直接或间接的调用对象的可覆盖的方法（因为执行这些可覆盖的方法时，子类对象的状态可能还未初始化）

注：原书有说明如何使用序列化注入不安全的对象

 

 

2.对于对象控制，优先使用枚举类代替readResolve()方法。比如使用枚举实现单例模式

注：原书有说明如何使用序列化注入不安全的单例对象

 

3.考虑使用序列化代理设计模式（serialization proxy）实现对象序列化。此模式可以有效的避免通过序列化进行安全攻击等问题，缺点是轻微降低性能

 

首选声明序列化代理类，一般声明为静态内部类，如下：

	/** 序列化代理对象 */
	private static class SerializationProxy implements Serializable {
		private final Date start;
		private final Date end;
		
		/**通过构造函数传入被代理的对象*/
		SerializationProxy(Period p) {
			//此处保存被代理对象需要序列化的属性值
			this.start = p.start;
			this.end = p.end;
		}

		/** 反序列化时返回被代理的对象 */
		private Object readResolve() {
			return new Period(start, end);
		}

		private static final long serialVersionUID = 234098243823485285L;
	}

 

被代理对象Period需要覆盖以下方法：

	/** 直接抛出异常，避免使用对象序列化 */
	private void readObject(ObjectInputStream stream)
			throws InvalidObjectException {
		throw new InvalidObjectException("Proxy required");
	}

	/** 序列化时返回代理对象 */
	private Object writeReplace() {
		return new SerializationProxy(this);
	}

 

在序列化时，Period类通过writeReplace()返回代理对象SerializationProxy，即被序列化的实际是SerializationProxy对象。因此反序列化时也是SerializationProxy对象，但是SerializationProxy对象覆盖了readResolve()方法，反序列化时会调用此方法并把返回值作为反序列化结果，最终得到的是Period对象