我們知道，實現(xiàn)了序列化的類。在反序列化時，實例的創(chuàng)建是由readObject方法來完成的。由于這是一個不同于構(gòu)造函數(shù)的創(chuàng)建類實例的通道，因此在構(gòu)造函數(shù)中的狀態(tài)約束條件在readObjetc中也得一條不落下的實現(xiàn)。這很讓人頭大。
而且readObject的出現(xiàn)，讓偽字節(jié)流攻擊和內(nèi)部域的盜用攻擊成為可能。偽字節(jié)流攻擊就是偽造一個字節(jié)流，通過readObject讀取，內(nèi)部域的盜用攻擊是指用一個外部類包含該類，用外部類的字段去指向該類的可變對象。
因此這里介紹一種模式，將實例的反序列化也交給改造函數(shù)來完成，即序列化代理模式。要想穩(wěn)健的將帶有重要約束條件的對象序列化時，這種模式可能是最容易的方法。代碼如下：

public class Period implements Serializable{ private static final long serialVersionUID = 1L; private final Date start; private final Date end; public Period(Date start, Date end) { if(null == start || null == end || start.after(end)){ throw new IllegalArgumentException("請傳入正確的時間區(qū)間!"); } this.start = start; this.end = end; } public Date start(){ return new Date(start.getTime()); } public Date end(){ return new Date(end.getTime()); } @Override public String toString(){ return "起始時間：" + start + " , 結(jié)束時間：" + end; } /** * 序列化外圍類時，虛擬機會轉(zhuǎn)掉這個方法，最后其實是序列化了一個內(nèi)部的代理類對象！ * @return */ private Object writeReplace(){ System.out.println("進入writeReplace()方法！"); return new SerializabtionProxy(this); } /** * 如果攻擊者偽造了一個字節(jié)碼文件，然后來反序列化也無法成功，因為外圍類的readObject方法直接拋異常！ * @param ois * @throws InvalidObjectException */ private void readObject(ObjectInputStream ois) throws InvalidObjectException{ throw new InvalidObjectException("Proxy required!"); } /** * 序列化代理類，他精確表示了其當前外圍類對象的狀態(tài)！最后序列化時會將這個私有內(nèi)部內(nèi)進行序列化！ */ private static class SerializabtionProxy implements Serializable{ private static final long serialVersionUID = 1L; private final Date start; private final Date end; SerializabtionProxy(Period p){ this.start = p.start; this.end = p.end; } /** * 反序列化這個類時，虛擬機會調(diào)用這個方法，最后返回的對象是一個Period對象！這里同樣調(diào)用了Period的構(gòu)造函數(shù)， * 會進行構(gòu)造函數(shù)的一些校驗！ */ private Object readResolve(){ System.out.println("進入readResolve()方法，將返回Period對象！"); // 這里進行保護性拷貝！ return new Period(new Date(start.getTime()), new Date(end.getTime())); } }

思路很清晰，拒絕外圍類的readObject的調(diào)用，也就防止了偽字節(jié)流攻擊和內(nèi)部域的盜用攻擊，同時無需保護性拷貝。

總結(jié)

以上是生活随笔為你收集整理的Effective Java之考虑用序列化代理代理序列化实例(七十八)的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。