我們知道，實現了序列化的類。在反序列化時，實例的創建是由readObject方法來完成的。由于這是一個不同于構造函數的創建類實例的通道，因此在構造函數中的狀態約束條件在readObjetc中也得一條不落下的實現。這很讓人頭大。
而且readObject的出現，讓偽字節流攻擊和內部域的盜用攻擊成為可能。偽字節流攻擊就是偽造一個字節流，通過readObject讀取，內部域的盜用攻擊是指用一個外部類包含該類，用外部類的字段去指向該類的可變對象。
因此這里介紹一種模式，將實例的反序列化也交給改造函數來完成，即序列化代理模式。要想穩健的將帶有重要約束條件的對象序列化時，這種模式可能是最容易的方法。代碼如下：

public class Period implements Serializable{ private static final long serialVersionUID = 1L; private final Date start; private final Date end; public Period(Date start, Date end) { if(null == start || null == end || start.after(end)){ throw new IllegalArgumentException("請傳入正確的時間區間!"); } this.start = start; this.end = end; } public Date start(){ return new Date(start.getTime()); } public Date end(){ return new Date(end.getTime()); } @Override public String toString(){ return "起始時間：" + start + " , 結束時間：" + end; } /** * 序列化外圍類時，虛擬機會轉掉這個方法，最后其實是序列化了一個內部的代理類對象！ * @return */ private Object writeReplace(){ System.out.println("進入writeReplace()方法！"); return new SerializabtionProxy(this); } /** * 如果攻擊者偽造了一個字節碼文件，然后來反序列化也無法成功，因為外圍類的readObject方法直接拋異常！ * @param ois * @throws InvalidObjectException */ private void readObject(ObjectInputStream ois) throws InvalidObjectException{ throw new InvalidObjectException("Proxy required!"); } /** * 序列化代理類，他精確表示了其當前外圍類對象的狀態！最后序列化時會將這個私有內部內進行序列化！ */ private static class SerializabtionProxy implements Serializable{ private static final long serialVersionUID = 1L; private final Date start; private final Date end; SerializabtionProxy(Period p){ this.start = p.start; this.end = p.end; } /** * 反序列化這個類時，虛擬機會調用這個方法，最后返回的對象是一個Period對象！這里同樣調用了Period的構造函數， * 會進行構造函數的一些校驗！ */ private Object readResolve(){ System.out.println("進入readResolve()方法，將返回Period對象！"); // 這里進行保護性拷貝！ return new Period(new Date(start.getTime()), new Date(end.getTime())); } }

思路很清晰，拒絕外圍類的readObject的調用，也就防止了偽字節流攻擊和內部域的盜用攻擊，同時無需保護性拷貝。

總結

以上是生活随笔為你收集整理的Effective Java之考虑用序列化代理代理序列化实例(七十八)的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。