Java 反序列化
文章目录
- 1. 序列化与反序列化
- 2. Java中的序列化与反序列化
- 3. 方法调用链
- 4. 参考
1. 序列化与反序列化
面向对象的世界中,数据封装为类的属性,对数据进行处理的算法或者说逻辑封装为类的方法,程序的结构就是对象的调用。我们面向对象开发,当然希望对象可以复用,所以需要传输或存储对象。
程序运行后是存放在内存中的,我们在源代码中new Student("mingsec",7),这个类及对象是JVM在负责管理,其在内存中的物理结构可能是散乱在各个物理地址空间的01比特流,也可能是一段连续的地址空间。JVM抽象了底层的一切,使Java程序员可以以“面向对象”这种逻辑视图进行程序开发。
要想将内存中的一个对象发送给另一台机器上的JVM进程使用,就需要足够的信息:
- 对象的类型(是什么类)
- 对象的状态(属性的值)
- 附加信息
那么,我们就需要定义一个数据格式,规定提取出来的对象数据是怎样组织的。与之相对应我们需要两个程序:
- 读取类元数据、内存中的对象状态等信息,输出一个规范格式字节流/字符流(序列化)
- 读取一个规范格式的字节流/字符流,解析输出一个对象(反序列化)
2. Java中的序列化与反序列化
学习过PHP的应该知道,PHP中的序列化是将对象组织为一个字符流,即一个字符串。在Java原生提供的序列化中,输出的一个字节流,即一个二进制数据文件。
关于Java中序列化的格式规范,官方文档给出了详细说明,也在相应的类中定义了格式标记位。想要深入了解规范,追着AI问或者自行阅读官方文档。
Java中的对象想要支持序列化,其类需要实现Serialiable接口。这个接口只起到标记作用,告诉JVM该类的对象是可序列化的。实现序列化和反序列化的功能由java.base模块里的java.io包下的ObjectInputStream和ObjectOutputStream类提供,下图给出一个序列化的demo.
Java序列化的数据以标记AC ED 00 05开头,base64编码的特征为rO0AB。我们看一下官方文档协议格式定义给的类源码:
3. 方法调用链
- 序列化主要方法调用链(Java 层面 → JVM 本地方法):
ObjectOutputStream.writeObject(Object obj)→ writeObject0(Object obj, boolean unshared)→ writeOrdinaryObject(Object obj, ObjectStreamClass desc, boolean unshared)→ writeSerialData(Object obj, ObjectStreamClass desc)→ DataOutputStream.writeInt(int val)→ JVM_WriteInt (C/C++ 实现) // 本地方法写入基本类型
- 反序列化主要方法调用链(Java 层面 → JVM 本地方法):
ObjectInputStream.readObject()→ readObject0(boolean unshared)→ readOrdinaryObject(boolean unshared)→ ObjectStreamClass.newInstance() → JVM_NewInstanceFromConstructor (C/C++ 实现) // 本地方法创建对象→ readSerialData(Object obj, ObjectStreamClass desc)→ Field.set(Object obj, Object value) → JVM_SetField (C/C++ 实现) // 本地方法设置字段值
4. 参考
[1] Java序列化格式详解
[2] 官方文档:Java Object Serialization Specification
[3] Java安全小白的入门心得 - java反序列化
[4] 通义qwen3
[5] deepseek