生活随笔
收集整理的這篇文章主要介紹了
Effective Java之考虑用序列化代理代理序列化实例(七十八)
小編覺得挺不錯的,現(xiàn)在分享給大家,幫大家做個參考.
我們知道,實現(xiàn)了序列化的類。在反序列化時,實例的創(chuàng)建是由readObject方法來完成的。由于這是一個不同于構造函數(shù)的創(chuàng)建類實例的通道,因此在構造函數(shù)中的狀態(tài)約束條件在readObjetc中也得一條不落下的實現(xiàn)。這很讓人頭大。
而且readObject的出現(xiàn),讓偽字節(jié)流攻擊和內(nèi)部域的盜用攻擊成為可能。偽字節(jié)流攻擊就是偽造一個字節(jié)流,通過readObject讀取,內(nèi)部域的盜用攻擊是指用一個外部類包含該類,用外部類的字段去指向該類的可變對象。
因此這里介紹一種模式,將實例的反序列化也交給改造函數(shù)來完成,即序列化代理模式。要想穩(wěn)健的將帶有重要約束條件的對象序列化時,這種模式可能是最容易的方法。代碼如下:
public class Period implements Serializable{ private static final long serialVersionUID =
1L;
private final Date start;
private final Date end;
public Period(Date start, Date end) {
if(
null == start ||
null == end || start.after(end)){
throw new IllegalArgumentException(
"請傳入正確的時間區(qū)間!"); }
this.start = start;
this.end = end; }
public Date
start(){
return new Date(start.getTime()); }
public Date
end(){
return new Date(end.getTime()); }
@Override public String
toString(){
return "起始時間:" + start +
" , 結束時間:" + end; }
/** * 序列化外圍類時,虛擬機會轉掉這個方法,最后其實是序列化了一個內(nèi)部的代理類對象! * @return */ private Object
writeReplace(){ System.out.println(
"進入writeReplace()方法!");
return new SerializabtionProxy(
this); }
/** * 如果攻擊者偽造了一個字節(jié)碼文件,然后來反序列化也無法成功,因為外圍類的readObject方法直接拋異常! * @param ois * @throws InvalidObjectException */ private void readObject(ObjectInputStream ois)
throws InvalidObjectException{
throw new InvalidObjectException(
"Proxy required!"); }
/** * 序列化代理類,他精確表示了其當前外圍類對象的狀態(tài)!最后序列化時會將這個私有內(nèi)部內(nèi)進行序列化! */ private static class SerializabtionProxy implements Serializable{ private static final long serialVersionUID =
1L;
private final Date start;
private final Date end; SerializabtionProxy(Period p){
this.start = p.start;
this.end = p.end; }
/** * 反序列化這個類時,虛擬機會調(diào)用這個方法,最后返回的對象是一個Period對象!這里同樣調(diào)用了Period的構造函數(shù), * 會進行構造函數(shù)的一些校驗! */ private Object
readResolve(){ System.out.println(
"進入readResolve()方法,將返回Period對象!");
return new Period(
new Date(start.getTime()),
new Date(end.getTime())); } }
思路很清晰,拒絕外圍類的readObject的調(diào)用,也就防止了偽字節(jié)流攻擊和內(nèi)部域的盜用攻擊,同時無需保護性拷貝。
總結
以上是生活随笔為你收集整理的Effective Java之考虑用序列化代理代理序列化实例(七十八)的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
如果覺得生活随笔網(wǎng)站內(nèi)容還不錯,歡迎將生活随笔推薦給好友。
