Java序列化的机制原理(二)

# 引言
在上文中我们讲解了在java中怎么序列化一个类,并且分析了序列化后的数据。已经对序列化有了一个初步认识,在今天我们在尝试另外一种序列化方式。
# 正文
## 场景演示
现在假设一个场景,一个User实体需要序列化,并且不需要属性age序列化。首先根据之前所学,先实现Serializable,但是我们知道,实现Serializable后所有属性都会序列化,怎样避免age不被序列化,那就要用到**transient**,次关键词的意思就是在jvm序列化中,不序列化次关键词修饰的属性,但是在jvm还是会给一个默认值,基本数据类型中int,long之类的默认为0,boolean默认为false,引用类型默认为null。
``` 
public class User implements Serializable {
    private String id;
    private String username;
    private String pwd;
    private transient Integer age;
    private Integer gender;
    ......
//省略其他属性和setget方法
}
```
现在又有一个新的问题出现了,pwd要进行加密处理传输(假设pwd是明文),只传递pwd的密文和usernam这两个属性,我们知道在序列化后所有的值都是可以通过数值转换得到,所以直接实现Serializable是不可能满足需求。那么有法便有破,在java中有一个接口继承了Serializable接口,并新增两个方法。为用户提供自定义序列化方式,那就是**Externalizable**,用于满足用户自定义序列化数据。
## Externalizable强制自定义序列化
``` 
public interface Externalizable extends java.io.Serializable {
    void writeExternal(ObjectOutput out) throws IOException;
    void readExternal(ObjectInput in) throws IOException, ClassNotFoundException;
}  
```
Externalizable继承于Serializable接口,内部有两个方法```void writeExternal(ObjectOutput out) throws IOException;```和```void readExternal(ObjectInput in) throws IOException, ClassNotFoundException;```从名字就可看出这两个方法跟序列化和反序列化有关。
在序列化过程中,JVM会试图调用对象类里的writeObject和readObject方法,进行用户自定义的序列化和反序列化,如果没有这样的方法,则默认调用是ObjectOutputStream的defaultWriteObject方法以及 ObjectInputStream的defaultReadObject方法。如果用户重写的writeObject和readObject方法,jvm就以用户控制序列化的方式来序列化数据。
那么上文的类就可以改造成User实现Externalizable,并且重写writeExternal和readExternal方法,在writeExternal自定义序列化数据。
```
public class User implements Externalizable {
    private String id;
    private String username;
    private String pwd;
    private Integer age;
    private Integer gender;
    //注意,必须加上public无参构造器
    public User() {
    }
    @Override
    public void writeExternal(ObjectOutput out) throws IOException {
        //假装加密
        pwd="假装加密";
        out.writeObject(pwd);
        out.writeObject(username);
    }

    @Override
    public void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {
        //假装解密
        pwd= in.readObject().toString();
        username= in.readObject().toString();
    }
}
    public static void main(String[] args) throws Exception {
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("User.txt"));
        User obj = new User();
        obj.setUsername("mm");
        obj.setPwd("12345678");
        oos.writeObject(obj);
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("User.txt"));
        User user = (User) ois.readObject();
}
```
在代码中,特地强调了要声明一个无参的构造方法。因为JVM在反序列化的时候会通过反射创建对象。还要有注意的一点就是,在readExternal的方法中取具体的属值得时候要和writeExternal写数据的顺序要一致,由此可以推断出属性值不能多取。经试验发现如果多取属性值就会报OptionalDataException异常。原因是读到了序列化对象的结束,所以系统报错。
![具体源码](https://upload-images.jianshu.io/upload_images/8368884-20be3741dabc26a2.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
## 总结
在序列化中使用Serializable较为简单,只需要实现其方法就可以实现序列化。但是适用范围较窄、开发人员无法对数据进行操作、性能较差。而实现Externalizable进行序列化较为复杂,**必须手动设置**(不设置序列化后将是一个空的对象)哪些属性需要序列化,并需要至少一个无参构造函数。但是开发人员可以对具体属性进行自定义操作,在数据传递过程中可以更好的利用资源和保证数据的安全性。
 

你可能感兴趣的:(Java)