JAVA序列化基礎知識

一、序列化是幹什麼的？
簡單說就是爲了保存在內存中的各類對象的狀態（也就是實例變量，不是方法），而且能夠把保存的對象狀態再讀出來。雖然你能夠用你本身的各類各樣的方法來保 存object states，可是Java給你提供一種應該比你本身好的保存對象狀態的機制，那就是序列化。

二、什麼狀況下須要序列化
a）當你想把的內存中的對象狀態保存到一個文件中或者數據庫中時候；
b）當你想用套接字在網絡上傳送對象的時候；
c）當你想經過RMI傳輸對象的時候；

六、相關注意事項
a）序列化時，只對對象的狀態進行保存，而無論對象的方法；
b）當一個父類實現序列化，子類自動實現序列化，不須要顯式實現Serializable接口；
c）當一個對象的實例變量引用其餘對象，序列化該對象時也把引用對象進行序列化；
d）並不是全部的對象均可以序列化，,至於爲何不能夠，有不少緣由了,好比：
1.安全方面的緣由，好比一個對象擁有private，public等field，對於一個要傳輸的對象，好比寫到文件，或者進行rmi傳輸 等等，在序列化進行傳輸的過程當中，這個對象的private等域是不受保護的。
2. 資源分配方面的緣由，好比socket，thread類，若是能夠序列化，進行傳輸或者保存，也沒法對他們進行從新的資源分 配，並且，也是沒有必要這樣實現。

詳細描述:
序 列化的過程就是對象寫入字節流和從字節流中讀取對象。將對象狀態轉換成字節流以後，能夠用java.io包中的各類字節流類將其保存到文件中，管道到另外一 線程中或經過網絡鏈接將對象數據發送到另外一主機。對象序列化功能很是簡單、強大，在RMI、Socket、JMS、EJB都有應用。對象序列化問題在網絡 編程中並非最激動人心的課題，但卻至關重要，具備許多實用意義。
一：對象序列化能夠實現分佈式對象。主要應用例如：RMI要利用對象序列化運行遠程主機上的服務，就像在本地機上運行對象時同樣。
二：java 對象序列化不只保留一個對象的數據，並且遞歸保存對象引用的每一個對象的數據。能夠將整個對象層次寫入字節流中，能夠保存在文件中或在網絡鏈接上傳遞。利用 對象序列化能夠進行對象的「深複製」，即複製對象自己及引用的對象自己。序列化一個對象可能獲得整個對象序列。

java序列化比較簡單，一般不須要編寫保存和恢復對象狀態的定製代碼。實現java.io.Serializable接口的類對象能夠轉換成字節流或從 字節流恢復，不須要在類中增長任何代碼。只有極少數狀況下才須要定製代碼保存或恢復對象狀態。這裏要注意：不是每一個類均可序列化，有些類是不能序列化的， 例如涉及線程的類與特定JVM有很是複雜的關係。

序列化機制：

序列化分爲兩大部分：序列化和反序列化。序列化是這 個過程的第一部分，將數據分解成字節流，以便存儲在文件中或在網絡上傳輸。反序列化就是打開字節流並重構對象。對象序列化不只要將基本數據類型轉換成字節 表示，有時還要恢復數據。恢復數據要求有恢復數據的對象實例。ObjectOutputStream中的序列化過程與字節流鏈接，包括對象類型和版本信 息。反序列化時，JVM用頭信息生成對象實例，而後將對象字節流中的數據複製到對象數據成員中。下面咱們分兩大部分來闡述：

處理對象流：
（序列化過程和反序列化過程）

java.io包有兩個序列化對象的類。ObjectOutputStream負責將對象寫入字節流，ObjectInputStream從字節流重構對象。
咱們先了解ObjectOutputStream類吧。ObjectOutputStream類擴展DataOutput接口。
writeObject() 方法是最重要的方法，用於對象序列化。若是對象包含其餘對象的引用，則writeObject()方法遞歸序列化這些對象。每一個 ObjectOutputStream維護序列化的對象引用表，防止發送同一對象的多個拷貝。（這點很重要）因爲writeObject()能夠序列化整 組交叉引用的對象，所以同一ObjectOutputStream實例可能不當心被請求序列化同一對象。這時，進行反引用序列化，而不是再次寫入對象字節 流。
下面，讓咱們從例子中來了解ObjectOutputStream這個類吧。
// 序列化 today’s date 到一個文件中.
FileOutputStream f = new FileOutputStream(「tmp」); //建立一個包含恢復對象(即對象進行反序列化信息)的」tmp」數據文件
ObjectOutputStream s = new ObjectOutputStream(f);
s.writeObject(「Today」); //寫入字符串對象;
s.writeObject(new Date()); //寫入瞬態對象;
s.flush();

如今，讓咱們來了解ObjectInputStream這個類。它與ObjectOutputStream類似。它擴展DataInput接口。 ObjectInputStream中的方法鏡像DataInputStream中讀取Java基本數據類型的公開方法。readObject()方法從 字節流中反序列化對象。每次調用readObject()方法都返回流中下一個Object。對象字節流並不傳輸類的字節碼，而是包括類名及其簽名。 readObject()收到對象時，JVM裝入頭中指定的類。若是找不到這個類，則readObject()拋出 ClassNotFoundException,若是須要傳輸對象數據和字節碼，則能夠用RMI框架。ObjectInputStream的其他方法用於 定製反序列化過程。
例子以下：
//從文件中反序列化 string 對象和 date 對象
FileInputStream in = new FileInputStream(「tmp」);
ObjectInputStream s = new ObjectInputStream(in);
String today = (String)s.readObject(); //恢復對象;
Date date = (Date)s.readObject();

定製序列化過程:

序列化一般能夠自動完成，但有時可能要對這個過程進行控制。java能夠將類聲明爲serializable，但仍可手工控制聲明爲static或transient的數據成員。
例子：一個很是簡單的序列化類。

public class simpleSerializableClass implements Serializable{
String sToday=」Today:」;
transient Date dtToday=new Date();
}

序 列化時，類的全部數據成員應可序列化除了聲明爲transient或static的成員。將變量聲明爲transient告訴JVM咱們會負責將變元序列 化。將數據成員聲明爲transient後，序列化過程就沒法將其加進對象字節流中，沒有從transient數據成員發送的數據。後面數據反序列化時， 要重建數據成員（由於它是類定義的一部分），但不包含任何數據，由於這個數據成員不向流中寫入任何數據。記住，對象流不序列化static或 transient。咱們的類要用writeObject()與readObject()方法以處理這些數據成員。使用writeObject()與 readObject()方法時，還要注意按寫入的順序讀取這些數據成員。
關於如何使用定製序列化的部分代碼以下：
//重寫writeObject()方法以便處理transient的成員。
public void writeObject(ObjectOutputStream outputStream) throws IOException{
outputStream.defaultWriteObject();//使定製的writeObject()方法能夠
利用自動序列化中內置的邏輯。
outputStream.writeObject(oSocket.getInetAddress());
outputStream.writeInt(oSocket.getPort());
}
//重寫readObject()方法以便接收transient的成員。
private void readObject(ObjectInputStream inputStream) throws IOException,ClassNotFoundException{
inputStream.defaultReadObject();//defaultReadObject()補充自動序列化
InetAddress oAddress=(InetAddress)inputStream.readObject();
int iPort =inputStream.readInt();
oSocket = new Socket(oAddress,iPort);
iID=getID();
dtToday =new Date();
}

徹底定製序列化過程:

如 果一個類要徹底負責本身的序列化，則實現Externalizable接口而不是Serializable接口。Externalizable接口定義包 括兩個方法writeExternal()與readExternal()。利用這些方法能夠控制對象數據成員如何寫入字節流.類實現 Externalizable時，頭寫入對象流中，而後類徹底負責序列化和恢復數據成員，除了頭之外，根本沒有自動序列化。這裏要注意了。聲明類實現 Externalizable接口會有重大的安全風險。writeExternal()與readExternal()方法聲明爲public，惡意類可 以用這些方法讀取和寫入對象數據。若是對象包含敏感信息，則要格外當心。這包括使用安全套接或加密整個字節流。