Spring Boot 序列化、反序列化

这篇具有很好参考价值的文章主要介绍了Spring Boot 序列化、反序列化。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

Spring Boot 序列化、反序列化

1. 简介

在软件开发中,序列化和反序列化是一种将对象转换为字节流以便存储或传输的机制。序列化将对象转换为字节流,而反序列化则将字节流转换为对象。序列化和反序列化在许多应用场景中都起着重要的作用,比如在网络通信中传输对象、将对象存储到数据库中、实现分布式缓存等。

2. Java中的序列化和反序列化

Java提供了默认的序列化机制,可以通过实现Serializable接口来实现对象的序列化和反序列化。序列化的过程是将对象转换为字节流,可以通过ObjectOutputStream类来实现;反序列化的过程是将字节流转换为对象,可以通过ObjectInputStream类来实现。在进行序列化和反序列化时,需要注意一些事项,比如版本控制、字段的访问控制等。

import java.io.*;

public class SerializationDemo {
    public static void main(String[] args) {
        // 序列化对象
        try {
            // 创建一个对象
            User user = new User("John", 25);
            // 创建一个输出流
            FileOutputStream fileOut = new FileOutputStream("user.ser");
            // 创建一个对象输出流
            ObjectOutputStream out = new ObjectOutputStream(fileOut);
            // 将对象写入输出流
            out.writeObject(user);
            // 关闭流
            out.close();
            fileOut.close();
            System.out.println("Serialized data is saved in user.ser");
        } catch (IOException e) {
            e.printStackTrace();
        }

        // 反序列化对象
        try {
            // 创建一个输入流
            FileInputStream fileIn = new FileInputStream("user.ser");
            // 创建一个对象输入流
            ObjectInputStream in = new ObjectInputStream(fileIn);
            // 从输入流中读取对象
            User user = (User) in.readObject();
            // 关闭流
            in.close();
            fileIn.close();
            // 输出对象的属性
            System.out.println("Name: " + user.getName());
            System.out.println("Age: " + user.getAge());
        } catch (IOException | ClassNotFoundException e) {
            e.printStackTrace();
        }
    }
}

class User implements Serializable {
    private String name;
    private int age;

    public User(String name, int age) {
        this.name = name;
        this.age = age;
    }

    public String getName() {
        return name;
    }

    public int getAge() {
        return age;
    }
}

3. Spring Boot中的序列化和反序列化

在Spring Boot中,默认使用Jackson库进行JSON的序列化和反序列化。可以通过配置文件或注解来自定义序列化和反序列化的规则。比如,可以使用@JsonSerialize注解来指定对象的序列化规则,使用@JsonDeserialize注解来指定对象的反序列化规则。

import com.fasterxml.jackson.annotation.JsonAutoDetect;
import com.fasterxml.jackson.annotation.JsonInclude;
import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.autoconfigure.jackson.Jackson2ObjectMapperBuilderCustomizer;
import org.springframework.context.annotation.Bean;
import org.springframework.http.converter.json.Jackson2ObjectMapperBuilder;

@SpringBootApplication
public class SerializationApplication {

    public static void main(String[] args) {
        SpringApplication.run(SerializationApplication.class, args);
    }

    @Bean
    public Jackson2ObjectMapperBuilderCustomizer customizer() {
        return new Jackson2ObjectMapperBuilderCustomizer() {
            @Override
            public void customize(Jackson2ObjectMapperBuilder builder) {
                builder.serializationInclusion(JsonInclude.Include.NON_NULL);
                builder.visibility(JsonAutoDetect.Visibility.ANY);
            }
               };
    }

    @Bean
    public ObjectMapper objectMapper() {
        ObjectMapper objectMapper = new ObjectMapper();
        objectMapper.configure(DeserializationFeature.FAIL_ON_UNKNOWN_PROPERTIES, false);
        return objectMapper;
    }
}

4. 序列化和反序列化的安全性问题

序列化和反序列化操作可能存在安全漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。这种攻击被称为"序列化漏洞"。为了防止序列化漏洞,可以采取以下措施:

  • 使用白名单机制,限制可以反序列化的类;
  • 对反序列化的数据进行校验,确保数据的完整性和安全性;
  • 使用安全的序列化库,如Google的Protobuf。

在Spring Boot中,可以通过配置来增强序列化和反序列化的安全性。比如,可以禁用默认的序列化机制,限制可以反序列化的类,或者使用安全的序列化库。

5. 序列化和反序列化的最佳实践

在实际应用中,选择合适的序列化和反序列化方式非常重要。以下是一些最佳实践:

  • 尽量使用标准的序列化机制,如Java的序列化机制或JSON序列化;
  • 对于复杂的对象,考虑使用自定义的序列化和反序列化规则;
  • 注意对象的版本控制,避免出现不兼容的问题;
  • 进行性能评估,选择性能较好的序列化方式。

6. 总结

序列化和反序列化是一种重要的机制,在软件开发中起着重要的作用。本文介绍了Java中的序列化和反序列化机制,以及在Spring Boot中的应用。同时,还讨论了序列化和反序列化的安全性问题和最佳实践。希望本文对读者在实际开发中的序列化和反序列化问题有所帮助。文章来源地址https://www.toymoban.com/news/detail-617983.html

7. 参考文献

  • Java Serialization
  • Spring Boot Reference Guide
  • Serialization and Deserialization in Java
  • Secure Coding Guidelines for Java SE

到了这里,关于Spring Boot 序列化、反序列化的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Spring反序列化JNDI分析

    Spring框架的 JtaTransactionManager 类中重写了 readObject 方法,这个方法最终会调用到JNDI中的 lookup() 方法,关键是里面的参数可控,这就导致了攻击者可以利用JNDI注入中的lookup()参数注入,传入恶意URI地址指向攻击者的RMI注册表服务,以使受害者客户端加载绑定在攻击者RMI注册表服

    2024年04月08日
    浏览(42)
  • 【中危】Spring Kafka 反序列化漏洞 (CVE-2023-34040)

    zhi.oscs1024.com​​​​​ 漏洞类型 反序列化 发现时间 2023-08-24 漏洞等级 中危 MPS编号 MPS-fed8-ocuv CVE编号 CVE-2023-34040 漏洞影响广度 小 OSCS 描述 Spring Kafka 是 Spring Framework 生态系统中的一个模块,用于简化在 Spring 应用程序中集成 Apache Kafka 的过程,记录(record)指 Kafka 消息中的一

    2024年02月11日
    浏览(50)
  • Java安全基础之Java序列化与反序列化

    目录 ObjectInputStream 和 ObjectOutputStream java.io.Serializable 自定义序列化和反序列化 Java 的序列化(Serialization)是指将对象转换为字节序列的过程,而反序列化(Deserialization)则是将字节序列转换回对象的过程。 序列化和反序列化通常用于在网络上传输对象或者将对象持久化到文

    2024年04月22日
    浏览(37)
  • 【Java 基础篇】Java序列化与反序列化详解

    在Java中,序列化和反序列化是一种将对象转换为字节流和将字节流转换为对象的机制。通过序列化,可以将对象存储到文件中、传输到网络上,或者在分布式系统中进行对象的传递。本文将详细介绍Java序列化和反序列化的原理、使用方法和常见应用场景,并提供一些示例代

    2024年02月09日
    浏览(36)
  • Java序列化和反序列化

    目录 一、序列化和反序列化 二、Java序列化演示 三、反序列化漏洞 1、含义 ​序列化就是内存中的对象写入到IO流中,保存的格式可以是二进制或者文本内容。反序列化就是IO流还原成对象。 2、用途 (1)传输网络对象 (2)保存Session 1、序列化 java.io.ObjectOutputStream代表对象

    2023年04月25日
    浏览(37)
  • Java序列化和反序列化机制

    在阅读 ArrayList 源码的时候,注意到,其内部的成员变量动态数组 elementData 被Java中的 transient 修饰 transient 意味着Java在序列化时会跳过该字段(不序列化该字段) 而Java在默认情况下会序列化类(实现了 Java.io.Serializable 接口的类)的所有非瞬态(未被 transient 修饰

    2024年03月15日
    浏览(47)
  • Java 反序列化之 XStream 反序列化

    XStream 是一个简单的基于 Java 库,Java 对象序列化到 XML,反之亦然(即:可以轻易的将 Java 对象和 XML 文档相互转换)。 下面看下如何使用 XStream 进行序列化和反序列化操作的。 先定义接口类 IPerson.java 接着定义 Person 类实现前面的接口: XStream 序列化是调用  XStream.toXML()  来实

    2024年02月10日
    浏览(56)
  • Java中序列化和反序列化解释

    在Java中,序列化(Serialization)是指将对象的状态转换为字节流的过程,以便将其保存到文件、在网络中传输或持久化到数据库中。而反序列化(Deserialization)则是将字节流转换回对象的过程,恢复对象的状态。 序列化和反序列化主要用于以下场景: 1. 对象持久化:通过序列

    2024年02月07日
    浏览(54)
  • [Java反序列化]—Shiro反序列化(一)

    IDEA搭建shiro550复现环境_普通网友的博客-CSDN博客 Apache Shiro框架提供了记住密码的功能(RememberMe),用户登录成功后会生成经过加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反序列化,就导致了反序列化RCE漏洞。 那么,Payload产生的过程: 命令

    2024年02月06日
    浏览(42)
  • java中的序列化和反序列化

    objectOutputStream 对象的序列化,以流的形式将对象写入文件 构造方法: objectOutputStream(OutputStream out) 传入一个字节输入流创建objectOutputStream对象 成员方法: void writeObject(object obj) 将指定的对象写入objectOutputStream 使用步骤: 创建一个类,这个类实现Serializable接口,Serializable是一

    2024年02月14日
    浏览(33)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包