一文了解Java序列化
Java 序列化(Serialization)是将对象的状态转换为字节流,以便将对象的状态保存到文件中或通过网络传输的过程。反序列化(Deserialization)则是将字节流恢复为原始对象。Java 序列化主要通过 Serializable 接口实现。
为什么需要序列化?
- 持久化:将对象状态保存到硬盘(例如文件或数据库)以便以后恢复。
- 传输:通过网络传输对象,适用于分布式系统。
- 缓存:对象序列化后可被缓存,从而避免重复构建对象。
- 远程调用:远程方法调用(RMI)等技术中使用序列化传输对象。
如何实现序列化?
1. 实现 Serializable 接口
要实现序列化的类必须实现 java.io.Serializable 接口。这个接口没有任何方法,称为“标记接口”,表示该类的对象可以被序列化。
import java.io.Serializable;public class Person implements Serializable {private static final long serialVersionUID = 1L; // 序列化版本IDprivate String name;private int age;// 构造函数和其他方法...
}
2. ObjectOutputStream 和 ObjectInputStream
- 序列化:使用 ObjectOutputStream 将对象写入文件或网络。
- 反序列化:使用 ObjectInputStream 从字节流中恢复对象。
序列化对象
import java.io.FileOutputStream;
import java.io.ObjectOutputStream;
import java.io.IOException;public class SerializationExample {public static void main(String[] args) {Person person = new Person("Alice", 30);try (FileOutputStream fileOut = new FileOutputStream("person.ser");ObjectOutputStream out = new ObjectOutputStream(fileOut)) {out.writeObject(person);System.out.println("Object serialized to person.ser");} catch (IOException e) {e.printStackTrace();}}
}
反序列化对象
import java.io.FileInputStream;
import java.io.ObjectInputStream;
import java.io.IOException;public class DeserializationExample {public static void main(String[] args) {try (FileInputStream fileIn = new FileInputStream("person.ser");ObjectInputStream in = new ObjectInputStream(fileIn)) {Person person = (Person) in.readObject();System.out.println("Deserialized Person: " + person.getName() + ", " + person.getAge());} catch (IOException | ClassNotFoundException e) {e.printStackTrace();}}
}
serialVersionUID 的作用
serialVersionUID 是序列化版本控制 ID,用于验证序列化和反序列化过程中的兼容性。修改类结构后,旧的序列化对象可能无法反序列化,除非定义相同的 serialVersionUID。
private static final long serialVersionUID = 1L;
- 如果未指定 serialVersionUID,Java 会自动生成一个,但不稳定,建议手动定义。
- 若类的版本变化(如添加字段),反序列化时版本不匹配会抛出 InvalidClassException。
transient 关键字
用 transient 修饰的字段在序列化时会被忽略,不会被写入字节流。
public class Person implements Serializable {private String name;private transient int age; // 不会被序列化
}
Externalizable 接口
Externalizable 是 Serializable 的替代接口,提供更高的控制性。实现 Externalizable 后,必须重写 writeExternal 和 readExternal 方法。
import java.io.Externalizable;
import java.io.ObjectOutput;
import java.io.ObjectInput;
import java.io.IOException;public class Person implements Externalizable {private String name;private int age;@Overridepublic void writeExternal(ObjectOutput out) throws IOException {out.writeObject(name);out.writeInt(age);}@Overridepublic void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {name = (String) in.readObject();age = in.readInt();}
}
注意事项
- 对象的所有字段也必须是可序列化的,否则会抛出 NotSerializableException。
- 安全性:在反序列化时可能存在安全风险,反序列化恶意数据可能会导致漏洞。
- 性能:序列化和反序列化比较耗时,尤其是深层嵌套对象或包含大量字段的类。