- 我们观察ObjectOutputStream就可以发现该类没有无参构造,只有有参构造,所以是一个包装流
- 具体使用:
public static void main(String[] args) throws IOException {
Student stu = new Student(13,"xj",15,"男");
String path = "src/main/java/com/xj/dayio/demo2.txt";
FileOutputStream fos = new FileOutputStream(path);
ObjectOutputStream oos = new ObjectOutputStream(fos);
oos.writeObject(stu);
}
- 我们在使用ObjectOutputStream的时候,需要为被序列化的对象实现Serializable接口(implements Serializable),意思是此类是“可序列化的”。
否则会抛出异常:Exception in thread "main" java.io.NotSerializableException: com.xj.dayio.Student
public class Student implements Serializable {
private int id;
private String name;
private int age;
private String sex;
构造器。。。
get,set方法
toString方法
}
此时调用ObjectOutputStream对象输出流就可以成功将对象写出到文件
�� sr com.xj.dayio.Student�(U�\jb� I ageI idL namet Ljava/lang/String;L sexq ~ xp
t
xjt 男
- 我们在读取的时候也可以使用ObjectInputStream对象输入流来进行读取
public static void main(String[] args) throws IOException {
String path = "src/main/java/com/xj/dayio/demo2.txt";
FileInputStream fis = new FileInputStream(path);
ObjectInputStream ois = new ObjectInputStream(fis);
Object object = ois.readObject();
System.out.println((Student) object);
}
输出:
Student{id=13, name='xj', age=15, sex='男'}
-
那么我们的序列化接口是主要做什么呢?为什么必须要实现接口才能使用对象输出流
- 序列化指的是把一个对象中所包含的数据按照一定的顺序转化成二进制数据。
- 但是,我们自己定义的类型,JVM没有权力直接对其对象进行序列化。因为一个类型一旦允许被序列化,则意味着该类型对象中保存的数据存在泄露的风险。
- 程序员虽然不需要关心对象的具体序列化过程,但是必须要向JVM授权,告诉它哪个类型是允许被序列化的。
- 向JVM授意的方式:让需要被传输的类型实现一个接口Serializable,该接口代表“可序列化的”。
- Serializable是一个空接口,什么内容都没有。它只是为了起到一个“标识”作用。
注意:需要被IO流传输的对象中所有包含的类型都需要是“可序列化”的。所有的引用类型属性所属类型都必须实现Serializable。(那为什么String对象我们可以直接序列化呢?我们查看String的源码就可以发现String类底层已经实现过序列化接口)
-
在反序列化的时候,需要提供对应的.class文件。
- 例如本案例中,写入到文件中的是一个com.xj.dayio.Student类对象
- 该对象所有包含的信息都会被写入到文件中,也包含它的类型信息。
- 在反序列化时,JVM会尝试加载这个类型。
- 如果对应的.class不存在,则类加载失败,反序列化对应也会失败。
- 因为内存中想要出现一个对象,它所属的类型不可能不存在。
-
需要提供的.class字节码文件未必一定是当时存储时!
我们可以将Student对象输出到文件中后,然后删除掉Student类,然后重写一个Student类,但是这个类必须要与原Student类一样
包括包名、类名、实现的接口、继承的父类、属性、属性的修饰符、属性的名称、属性的类型、属性的默认值、方法、方法的修饰符、方法的返回值、方法的参数、方法的抛出异常……
-
实际上,我们看到的只是一个表象。
决定是否允许进行反序列化,实际上并不是单纯地、直接地根据类中包含的信息进行判断。实际上,是由一个叫做serialVersionUID(序列化版本号)字段控制反序列化是否允许执行。
向文件中写入一个对象的时候,也包含一个UID。将来进行反序列化的时候,也会将这个UID读取出来,并且和当前尝试加载的类的该UID字段值进行比较。
- 如果这两个UID是相同的,则允许执行反序列化,生成对象成功。
- 如果这两个UID是不相同的,则不允许执行反序列化,生成对象失败。会抛出异常:java.io.InvalidClassException - 不合法的类型异常
- 那么serialVersionUID来自哪里呢,我们在程序中并没有写呀。
- 如果我们在类中没有定义该字段,那么JVM会自动计算出一个值来充当该类的该字段值
- 该字段值的计算过程类似哈希过程。意味着只要参与运算的数值相同,那么结果也一定相同。
- 也就是说,只要两个类保证一模一样,计算出来的serialVersionUID肯定是相同的。
- 但是同样我们也可以自己定义serialVersionUID
只需要在代码中加上这一句即可
public class Student implements Serializable {
private static final long serialVersionUID = -4167987148983999791L;
private int id;
private String name;
private int age;
private String sex;
我们还可以有idea直接生成,但是idea默认是不会提醒的
我们需要修改设置,将其后面的对勾勾上
这时如果我们没有写serialVersionUID,ide就会爆出警告
根据提示ide就会自动为我们生成默认的serialVersionUID
- 我们刚才说了,反序列化是主要根据serialVersionUID 来的,与属性,方法等无关,只是默认serialVersionUID 是由属性,方法生成,但是我们在手动定义serialVersionUID 后,JVM就不会使用默认的,而是使用我们自己的。我们可以定义一个serialVersionUID 为1,那么此时我无论是删除属性,修改方法等,都不会影响反序列化,只是我们如果属性对应不上就无法赋值
例如:若我将name重改为name1
输出:此时name属性就没有被赋值,这也是为什么序列化后数据会有泄露的风险
Student{id=13, name='null', age=15, sex='男'}
比如保存用户名和密码的文件被泄露,此时我只需要写一个类,实现Serializable 后,里面定义很多个变量,如password,passWord,pwd,PassWord等等,此时使用我自己定义的类去使用对象流去读取保存密码的文件时,就有可能将密码提取出来,所以我们应该尽可能的去让序列化版本号serialVersionUID去随机,这样子,序列化版本号不正确,文件也无法被反序列化。