Java序列化的机制和原理

有关Java对象的序列化和反序列化也算是Java基础的一部分，下面对Java序列化的机制和原理进行一些介绍。

Java序列化算法透析

Serialization（序列化）是一种将对象以一连串的字节描述的过程；反序列化deserialization是一种将这些字节重建成一个对象的过程。Java序列化API提供一种处理对象序列化的标准机制。在这里你能学到如何序列化一个对象，什么时候需要序列化以及Java序列化的算法，我们用一个实例来示范序列化以后的字节是如何描述一个对象的信息的。

序列化的必要性

Java中，一切都是对象，在分布式环境中经常需要将Object从这一端网络或设备传递到另一端。这就需要有一种可以在两端传输数据的协议。Java序列化机制就是为了解决这个问题而产生。

如何序列化一个对象

一个对象能够序列化的前提是实现Serializable接口，Serializable接口没有方法，更像是个标记。有了这个标记的Class就能被序列化机制处理。

import java.io.Serializable;


class TestSerial implements Serializable {


       public byte version = 100;


       public byte count = 0;

}

然后我们写个程序将对象序列化并输出。ObjectOutputStream能把Object输出成Byte流。我们将Byte流暂时存储到temp.out文件里。

public static void main(String args[]) throws IOException {


       FileOutputStream fos = new FileOutputStream("temp.out");


       ObjectOutputStream oos = new ObjectOutputStream(fos);


       TestSerial ts = new TestSerial();

       oos.writeObject(ts);

       oos.flush();

       oos.close();

}

如果要从持久的文件中读取Bytes重建对象，我们可以使用ObjectInputStream。  

public static void main(String args[]) throws IOException {


       FileInputStream fis = new FileInputStream("temp.out");


       ObjectInputStream oin = new ObjectInputStream(fis);

       TestSerial ts = (TestSerial) oin.readObject();


       System.out.println("version="+ts.version);

}

执行结果为

100.

对象的序列化格式

将一个对象序列化后是什么样子呢？打开刚才我们将对象序列化输出的temp.out文件，以16进制方式显示。内容应该如下：

AC ED 00 05 73 72 00 0A 53 65 72 69 61 6C 54 65

73 74 A0 0C 34 00 FE B1 DD F9 02 00 02 42 00 05

63 6F 75 6E 74 42 00 07 76 65 72 73 69 6F 6E 78

70 00 64

这一坨字节就是用来描述序列化以后的

TestSerial对象的，我们注意到TestSerial类中只有两个域：

public byte version = 100;

public byte count = 0;

且都是byte型，理论上存储这两个域只需要2个byte，但是实际上temp.out占据空间为51bytes，也就是说除了数据以外，还包括了对序列化对象的其他描述。

Java的序列化算法

序列化算法一般会按步骤做如下事情：

◆将对象实例相关的类元数据输出。

◆递归地输出类的超类描述直到不再有超类。

◆类元数据完了以后，开始从最顶层的超类开始输出对象实例的实际数据值。

◆从上至下递归输出实例的数据

我们用另一个更完整覆盖所有可能出现的情况的例子来说明：

class parent implements Serializable {


       int parentVersion = 10;

}




class contain implements Serializable{


       int containVersion = 11;

}


public class SerialTest extends parent implements Serializable {


       int version = 66;


       contain con = new contain();




       public int getVersion() {


              return version;

       }


       public static void main(String args[]) throws IOException {


              FileOutputStream fos = new FileOutputStream("temp.out");


              ObjectOutputStream oos = new ObjectOutputStream(fos);


              SerialTest st = new SerialTest();

              oos.writeObject(st);

              oos.flush();

              oos.close();

       }

}

这个例子是相当的直白啦。SerialTest类实现了Parent超类，内部还持有一个Container对象。

序列化后的格式如下：

AC ED 00 05 73 72 00 0A 53 65 72 69 61 6C 54 65

73 74 05 52 81 5A AC 66 02 F6 02 00 02 49 00 07

76 65 72 73 69 6F 6E 4C 00 03 63 6F 6E 74 00 09

4C 63 6F 6E 74 61 69 6E 3B 78 72 00 06 70 61 72

65 6E 74 0E DB D2 BD 85 EE 63 7A 02 00 01 49 00

0D 70 61 72 65 6E 74 56 65 72 73 69 6F 6E 78 70

00 00 00 0A 00 00 00 42 73 72 00 07 63 6F 6E 74

61 69 6E FC BB E6 0E FB CB 60 C7 02 00 01 49 00

0E 63 6F 6E 74 61 69 6E 56 65 72 73 69 6F 6E 78

70 00 00 00 0B

我们来仔细看看这些字节都代表了啥。开头部分，见颜色：

1. AC ED: STREAM_MAGIC. 声明使用了序列化协议.
2. 00 05: STREAM_VERSION. 序列化协议版本.
3. 0x73: TC_OBJECT. 声明这是一个新的对象.  

序列化算法的第一步就是输出对象相关类的描述。例子所示对象为SerialTest类实例，因此接下来输出SerialTest类的描述。见颜色：

1. 0x72: TC_CLASSDESC. 声明这里开始一个新Class。
2. 00 0A: Class名字的长度.
3. 53 65 72 69 61 6c 54 65 73 74: SerialTest,Class类名.
4. 05 52 81 5A AC 66 02 F6: SerialVersionUID, 序列化ID，如果没有指定，则会由算法随机生成一个8byte的ID.
5. 0x02: 标记号. 该值声明该对象支持序列化。
6. 00 02: 该类所包含的域个数。

接下来，算法输出其中的一个域，int version=66；见颜色：

1. 0x49: 域类型. 49 代表"I", 也就是Int.
2. 00 07: 域名字的长度.
3. 76 65 72 73 69 6F 6E: version,域名字描述.

然后，算法输出下一个域，contain con = new contain();这个有点特殊，是个对象。描述对象类型引用时需要使用JVM的标准对象签名表示法，见颜色：

1. 0x4C: 域的类型.
2. 00 03: 域名字长度.
3. 63 6F 6E: 域名字描述，con
4. 0x74: TC_STRING. 代表一个new String.用String来引用对象。
5. 00 09: 该String长度.
6. 4C 63 6F 6E 74 61 69 6E 3B: Lcontain;, JVM的标准对象签名表示法.
7. 0x78: TC_ENDBLOCKDATA,对象数据块结束的标志

.接下来算法就会输出超类也就是Parent类描述了，见颜色：

1. 0x72: TC_CLASSDESC. 声明这个是个新类.
2. 00 06: 类名长度.
3. 70 61 72 65 6E 74: parent,类名描述。
4. 0E DB D2 BD 85 EE 63 7A: SerialVersionUID, 序列化ID.
5. 0x02: 标记号. 该值声明该对象支持序列化.
6. 00 01: 类中域的个数.

下一步，输出parent类的域描述，int parentVersion=100;同见颜色：

1. 0x49: 域类型. 49 代表"I", 也就是Int.
2. 00 0D: 域名字长度.
3. 70 61 72 65 6E 74 56 65 72 73 69 6F 6E: parentVersion，域名字描述。
4. 0x78: TC_ENDBLOCKDATA,对象块结束的标志。
5. 0x70: TC_NULL, 说明没有其他超类的标志。.

到此为止，算法已经对所有的类的描述都做了输出。下一步就是把实例对象的实际值输出了。这时候是从parent Class的域开始的，见颜色：

1. 00 00 00 0A: 10, parentVersion域的值.

还有SerialTest类的域：

1. 00 00 00 42: 66, version域的值.

再往后的bytes比较有意思，算法需要描述contain类的信息，要记住，现在还没有对contain类进行过描述，见颜色：

1. 0x73: TC_OBJECT, 声明这是一个新的对象.
2. 0x72: TC_CLASSDESC声明这里开始一个新Class.
3. 00 07: 类名的长度.
4. 63 6F 6E 74 61 69 6E: contain,类名描述.
5. FC BB E6 0E FB CB 60 C7: SerialVersionUID, 序列化ID.
6. 0x02: Various flags. 标记号. 该值声明该对象支持序列化
7. 00 01: 类内的域个数。

.输出contain的唯一的域描述，int containVersion=11；

1. 0x49: 域类型. 49 代表"I", 也就是Int..
2. 00 0E: 域名字长度.
3. 63 6F 6E 74 61 69 6E 56 65 72 73 69 6F 6E: containVersion, 域名字描述.
4. 0x78: TC_ENDBLOCKDATA对象块结束的标志.

这时，序列化算法会检查contain是否有超类，如果有的话会接着输出。

1. 0x70:TC_NULL，没有超类了。

最后，将contain类实际域值输出。

1. 00 00 00 0B: 11, containVersion的值.

 

实现Serializable接口

ObjectOutputStream只能对Serializable接口的类的对象进行序列化。默认情况下，ObjectOutputStream按照默认方式序列化，这种序列化方式仅仅对对象的非transient的实例变量进行序列化，而不会序列化对象的transient的实例变量，也不会序列化静态变量。

当ObjectOutputStream按照默认方式反序列化时，具有如下特点：

1） 如果在内存中对象所属的类还没有被加载，那么会先加载并初始化这个类。如果在classpath中不存在相应的类文件，那么会抛出ClassNotFoundException；

2） 在反序列化时不会调用类的任何构造方法。

如果用户希望控制类的序列化方式，可以在可序列化类中提供以下形式的writeObject()和readObject()方法。

private void writeObject(java.io.ObjectOutputStream out) throws IOException

private void readObject(java.io.ObjectInputStream in) throws IOException, ClassNotFoundException;

当ObjectOutputStream对一个Customer对象进行序列化时，如果该对象具有writeObject()方法，那么就会执行这一方法，否则就按默认方式序列化。在该对象的writeObjectt()方法中，可以先调用ObjectOutputStream的defaultWriteObject()方法，使得对象输出流先执行默认的序列化操作。同理可得出反序列化的情况，不过这次是defaultReadObject()方法。

有些对象中包含一些敏感信息，这些信息不宜对外公开。如果按照默认方式对它们序列化，那么它们的序列化数据在网络上传输时，可能会被不法份子窃取。对于这类信息，可以对它们进行加密后再序列化，在反序列化时则需要解密，再恢复为原来的信息。

默认的序列化方式会序列化整个对象图，这需要递归遍历对象图。如果对象图很复杂，递归遍历操作需要消耗很多的空间和时间，它的内部数据结构为双向列表。

在应用时，如果对某些成员变量都改为transient类型，将节省空间和时间，提高序列化的性能。

三． 实现Externalizable接口

Externalizable接口继承自Serializable接口，如果一个类实现了Externalizable接口，那么将完全由这个类控制自身的序列化行为。Externalizable接口声明了两个方法：

public void writeExternal(ObjectOutput out) throws IOException

public void readExternal(ObjectInput in) throws IOException , ClassNotFoundException

前者负责序列化操作，后者负责反序列化操作。

在对实现了Externalizable接口的类的对象进行反序列化时，会先调用类的不带参数的构造方法，这是有别于默认反序列方式的。如果把类的不带参数的构造方法删除，或者把该构造方法的访问权限设置为private、默认或protected级别，会抛出java.io.InvalidException: no valid constructor异常。

四． 可序列化类的不同版本的序列化兼容性

凡是实现Serializable接口的类都有一个表示序列化版本标识符的静态变量：

private static final long serialVersionUID;

以上serialVersionUID的取值是Java运行时环境根据类的内部细节自动生成的。如果对类的源代码作了修改，再重新编译，新生成的类文件的serialVersionUID的取值有可能也会发生变化。

类的serialVersionUID的默认值完全依赖于Java编译器的实现，对于同一个类，用不同的Java编译器编译，有可能会导致不同的serialVersionUID，也有可能相同。为了提高哦啊serialVersionUID的独立性和确定性，强烈建议在一个可序列化类中显示的定义serialVersionUID，为它赋予明确的值。显式地定义serialVersionUID有两种用途：

1） 在某些场合，希望类的不同版本对序列化兼容，因此需要确保类的不同版本具有相同的serialVersionUID；

2） 在某些场合，不希望类的不同版本对序列化兼容，因此需要确保类的不同版本具有不同的serialVersionUID。

来源http://developer.51cto.com/art/200908/147650.htm

http://developer.51cto.com/art/200906/128854.htm

 

参考https://www.ibm.com/developerworks/cn/java/j-lo-serial/