Java设计模式(一):单例模式,防止反射和反序列化漏洞

一、懒汉式单例模式,解决反射和反序列化漏洞

package com.iter.devbox.singleton;

import java.io.ObjectStreamException;
import java.io.Serializable;

/**
 * 懒汉式(如何防止反射和反序列化漏洞)
 * @author Shearer
 *
 */
public class SingletonDemo6 implements Serializable{
	
	// 类初始化时,不初始化这个对象(延迟加载,真正用的时候再创建)
	private static SingletonDemo6 instance;
	
	private SingletonDemo6() {
		// 防止反射获取多个对象的漏洞
		if (null != instance) {
			throw new RuntimeException();
		}
	}
	
	// 方法同步,调用效率低
	public static synchronized SingletonDemo6 getInstance() {
		if (null == instance)
			instance = new SingletonDemo6();
		return instance;
	}

	// 防止反序列化获取多个对象的漏洞。
	// 无论是实现Serializable接口,或是Externalizable接口,当从I/O流中读取对象时,readResolve()方法都会被调用到。
	// 实际上就是用readResolve()中返回的对象直接替换在反序列化过程中创建的对象。
	private Object readResolve() throws ObjectStreamException {  
		return instance;
	}
}


package com.iter.devbox.singleton;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;

public class Client2 {

	public static void main(String[] args) throws Exception {
		SingletonDemo6 sc1 = SingletonDemo6.getInstance();
		SingletonDemo6 sc2 = SingletonDemo6.getInstance();
		System.out.println(sc1); // sc1,sc2是同一个对象
		System.out.println(sc2);
		
		// 通过反射的方式直接调用私有构造器(通过在构造器里抛出异常可以解决此漏洞)
/*		Class clazz = (Class) Class.forName("com.iter.devbox.singleton.SingletonDemo6");
		Constructor c = clazz.getDeclaredConstructor(null);
		c.setAccessible(true); // 跳过权限检查
		SingletonDemo6 sc3 = c.newInstance();
		SingletonDemo6 sc4 = c.newInstance();
		System.out.println(sc3);  // sc3,sc4不是同一个对象
		System.out.println(sc4);*/
		
		// 通过反序列化的方式构造多个对象(类需要实现Serializable接口)
		
		// 1. 把对象sc1写入硬盘文件
		FileOutputStream fos = new FileOutputStream("object.out");
		ObjectOutputStream oos = new ObjectOutputStream(fos);
		oos.writeObject(sc1);
		oos.close();
		fos.close();
		
		// 2. 把硬盘文件上的对象读出来
		ObjectInputStream ois = new ObjectInputStream(new FileInputStream("object.out"));
		// 如果对象定义了readResolve()方法,readObject()会调用readResolve()方法。从而解决反序列化的漏洞
		SingletonDemo6 sc5 = (SingletonDemo6) ois.readObject();
		// 反序列化出来的对象,和原对象,不是同一个对象。如果对象定义了readResolve()方法,可以解决此问题。
		System.out.println(sc5); 
		ois.close();
	}

}


二、静态内部类式单例模式(解决反射和反序列化漏洞)

package com.iter.devbox.singleton;

import java.io.ObjectStreamException;
import java.io.Serializable;

/**
 * 静态内部类实现方式(也是一种懒加载方式)
 * 这种方式:线程安全,调用效率高,并且实现了延迟加载
 * 解决反射和反序列化漏洞
 * @author Shearer
 *
 */
public class SingletonDemo7 implements Serializable{
	
	private static class SingletonClassInstance {
		private static final SingletonDemo7 instance = new SingletonDemo7();
	}
	
	// 方法没有同步,调用效率高
	public static SingletonDemo7 getInstance() {
		return SingletonClassInstance.instance;
	}
	
	// 防止反射获取多个对象的漏洞
	private SingletonDemo7() {
		if (null != SingletonClassInstance.instance)
			throw new RuntimeException();
	}
	
	// 防止反序列化获取多个对象的漏洞
	private Object readResolve() throws ObjectStreamException {  
		return SingletonClassInstance.instance;
	}
}


package com.iter.devbox.singleton;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;

public class Client3 {

	public static void main(String[] args) throws Exception {
		SingletonDemo7 sc1 = SingletonDemo7.getInstance();
		SingletonDemo7 sc2 = SingletonDemo7.getInstance();
		System.out.println(sc1); // sc1,sc2是同一个对象
		System.out.println(sc2);
		
		// 通过反射的方式直接调用私有构造器(通过在构造器里抛出异常可以解决此漏洞)
		Class clazz = (Class) Class.forName("com.iter.devbox.singleton.SingletonDemo7");
		Constructor c = clazz.getDeclaredConstructor(null);
		c.setAccessible(true); // 跳过权限检查
		SingletonDemo7 sc3 = c.newInstance();
		SingletonDemo7 sc4 = c.newInstance();
		System.out.println("通过反射的方式获取的对象sc3:" + sc3);  // sc3,sc4不是同一个对象
		System.out.println("通过反射的方式获取的对象sc4:" + sc4);
		
		// 通过反序列化的方式构造多个对象(类需要实现Serializable接口)
		
		// 1. 把对象sc1写入硬盘文件
		FileOutputStream fos = new FileOutputStream("object.out");
		ObjectOutputStream oos = new ObjectOutputStream(fos);
		oos.writeObject(sc1);
		oos.close();
		fos.close();
		
		// 2. 把硬盘文件上的对象读出来
		ObjectInputStream ois = new ObjectInputStream(new FileInputStream("object.out"));
		// 如果对象定义了readResolve()方法,readObject()会调用readResolve()方法。从而解决反序列化的漏洞
		SingletonDemo7 sc5 = (SingletonDemo7) ois.readObject();
		// 反序列化出来的对象,和原对象,不是同一个对象。如果对象定义了readResolve()方法,可以解决此问题。
		System.out.println("对象定义了readResolve()方法,通过反序列化得到的对象:" + sc5); 
		ois.close();
	}

}





你可能感兴趣的:(设计模式,JAVA)