29 - Java Serializable 序列化

Java的Serializable接口是Java序列化机制的核心，它允许一个对象的状态被转换为字节流，从而可以方便地进行存储或传输。

序列化后的对象可以被写到数据库、存储到文件系统，或者通过网络传输。

要在 Java 中使一个类可序列化，你需要让它实现 java.io.Serializable  接口。

序列化（Serialization）是将对象的状态信息转换为可以存储或传输的形式的过程。

在Java中，序列化通常指将对象转换为字节流，以便将其保存到文件、发送到另一个系统、或通过网络传输。

反序列化（Deserialization）则是将字节流转换回对应对象的过程。

在Java中，要实现序列化，一个类必须实现java.io.Serializable接口。这个接口是一个“标记接口”，即它不包含任何方法，只是起到一个标记的作用，告诉Java编译器和运行时系统这个类的实例可以被序列化。

‌创建对象‌：首先，你需要有一个你想要序列化的对象。

‌创建输出流‌：然后，你需要创建一个输出流，通常是FileOutputStream，用于将序列化后的字节流写入文件或其他输出设备。

‌创建ObjectOutputStream‌：接下来，你需要创建一个ObjectOutputStream，它将负责将对象转换为字节流并写入输出流。

‌调用writeObject方法‌：使用ObjectOutputStream的writeObject方法将对象序列化并写入输出流。

‌关闭流‌：最后，关闭所有的流以释放资源。

反序列化的步骤类似，只是使用的是FileInputStream和ObjectInputStream，并调用readObject方法来读取和构造对象。

‌serialVersionUID‌：每个可序列化的类都有一个serialVersionUID，它是一个版本控制的机制，用于验证序列化的对象版本和类定义是否匹配。如果两者不匹配，会抛出InvalidClassException。建议显式地定义这个字段，以避免因版本变化导致的问题。

‌transient关键字‌：如果有些字段不需要序列化，可以使用transient关键字修饰这些字段。被transient修饰的字段在序列化时会被忽略。

‌自定义对象的序列化‌：如果一个对象包含对其他对象的引用，那么这些对象也必须实现Serializable接口。否则，在序列化时会抛出NotSerializableException。

‌处理敏感数据‌：在序列化过程中，注意不要序列化包含敏感信息（如密码、密钥等）的对象。这些信息可能会在序列化后的字节流中暴露。

‌继承关系‌：如果一个类是可序列化的，那么它的所有子类也都是可序列化的，除非子类自己覆盖了序列化行为。

‌安全性‌：反序列化时应该特别小心，不要反序列化来自不信任来源的字节流。这可能会导致安全问题，如代码注入攻击。

‌自定义序列化‌：通过实现readObject和writeObject方法，你可以自定义对象的序列化和反序列化过程。这在你需要控制序列化格式或处理复杂对象关系时非常有用。

‌替代序列化机制‌：除了Java原生的序列化机制外，还有一些替代的序列化库，如Google的Protocol Buffers、Apache的Thrift、Jackson和Gson等。这些库通常提供了更高效、更灵活的序列化方式，并且可以与多种编程语言互操作。

综上所述，Java的序列化机制是一个强大的工具，允许你方便地将对象的状态持久化或进行网络传输。然而，在使用它时也需要注意一些潜在的问题和限制，以确保序列化的正确性和安全性。

要实现序列化，一个类必须实现 java.io.Serializable 接口。这个接口是一个“标记接口”，也就是说，它本身不包含任何方法，只是起到标记作用，告诉Java编译器和运行时环境这个类的实例可以被序列化。

以下是一个简单的例子，展示了如何使一个类实现 Serializable 接口：

import java.io.Serializable;

public class Person implements Serializable {
    private static final long serialVersionUID = 1L;
    
    private String name;
    private int age;

    public Person(String name, int age) {
        this.name = name;
        this.age = age;
    }

    @Override
    public String toString() {
        return "Person{name='" + name + "', age=" + age + "}";
    }
}

要将对象序列化到文件中，可以使用 ObjectOutputStream 类：

import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectOutputStream;

public class SerializeDemo {
    public static void main(String[] args) {
        Person person = new Person("John Doe", 30);

        try (FileOutputStream fileOut = new FileOutputStream("person.ser");
             ObjectOutputStream out = new ObjectOutputStream(fileOut)) {
            out.writeObject(person);
            System.out.println("Serialized data is saved in person.ser");
        } catch (IOException i) {
            i.printStackTrace();
        }
    }
}

要从文件中反序列化对象，可以使用 ObjectInputStream 类：

import java.io.FileInputStream;
import java.io.IOException;
import java.io.ObjectInputStream;

public class DeserializeDemo {
    public static void main(String[] args) {
        Person person = null;

        try (FileInputStream fileIn = new FileInputStream("person.ser");
             ObjectInputStream in = new ObjectInputStream(fileIn)) {
            person = (Person) in.readObject();
        } catch (IOException i) {
            i.printStackTrace();
        } catch (ClassNotFoundException c) {
            System.out.println("Person class not found");
            c.printStackTrace();
        }

        System.out.println("Deserialized Person: " + person);
    }
}

• serialVersionUID‌:：强烈建议为实现了 Serializable 接口的类添加一个 serialVersionUID 字段。这是一个版本控制的机制，用于验证序列化的对象版本和类定义是否匹配。如果不匹配，会抛出 InvalidClassException。
• transient‌：如果有些字段不需要序列化，可以使用 transient 关键字修饰这些字段。
• 处理自定义对象‌：如果一个对象包含对其他对象的引用，那么这些对象也必须实现 Serializable 接口。
• 安全性‌：序列化可能带来安全问题，因为可以从字节流中构造对象。因此，反序列化时应该特别小心，不要反序列化不信任的数据源的对象。

通过实现 Serializable 接口，你可以方便地将对象的状态持久化或进行网络传输，但也要注意序列化的开销和潜在的安全问题。