此处,对象描述信息即ObjectStreamClass的实例
1、java ObjectInputStream#readObject的时候,先从输入流读入对象,读取对象信息,如果在读取过程中出现异常,则通过markDependency处理;处理完后还会调用注册进来的callback
2、读取对象的过程,先读取对象,然后再java.io.ObjectInputStream.checkResolve(java.lang.Object);读取对象的过程是,先从被反序列化的输入流中读取对象的标识,其中0x73是Object,然后会调用java.io.ObjectInputStream.readOrdinaryObject(boolean)读取对象,这里会先读取类描述信息ObjectStreamClass,然后实例化。
3、读取元数据信息过程:
java.io.ObjectInputStream.readClassDescriptor()先读取InputStream中数据解析出ObjectStreamClass信息,如name、uuid、isProxy、hasWriteObjectData、externalizable、ObjectStreamFields。然后
java.io.ObjectStreamClass.initNonProxy(java.io.ObjectStreamClass, java.lang.Class<?>, java.lang.ClassNotFoundException, java.io.ObjectStreamClass)
会根据从输入流中解析出来的ObjectStreamClass再构造一个新的ObjectStreamClass对象,在构造方法里边会查找本地(找不到就构造)一个本地对象的描述信息。在此之前,这两个ObjectStreamClass描述对象都是远程对象的信息,即每个远程对象描述信息都有一个关联的本地对象描述信息,但是他们都指向本地vm的一个Class对象。在创建本地对象描述信息对象的时候,会递归创建超类的描述信息对象。
ObjectStreamClass这个实例还包括一些信息:超类描述信息ObjectStreamClass、构造函数、私有的writeObject、私有的readObject、私有的readObjectNoData等信息、writeReplace、readResolve方法。
其中,在获取构造方法的时候,是获取当前类的 [最顶层实现了Serializable的祖先类的超类][即自上而下连续的最后一个未实现Serizable接口的类]的构造函数,被反序列化的类的实例也是通过这个构造函数创建的。eg,DTO 继承BaseDTO 实现Serializable接口,则反序列化的时候,是拿到了BaseDTO的构造函数来创建的实例。如果BaseDTO同时实现了Serializable接口,则返回BaseDTO的超类的构造函数(Object)。
/** * Returns subclass-accessible no-arg constructor of first non-serializable * superclass, or null if none found. Access checks are disabled on the * returned constructor (if any). */ private static Constructor<?> getSerializableConstructor(Class<?> cl) { Class<?> initCl = cl; //initCl是继承体系中,第一个实现了Serializable接口的类的超类 while (Serializable.class.isAssignableFrom(initCl)) { if ((initCl = initCl.getSuperclass()) == null) { return null; } } try { Constructor<?> cons = initCl.getDeclaredConstructor((Class<?>[]) null); int mods = cons.getModifiers(); if ((mods & Modifier.PRIVATE) != 0 || ((mods & (Modifier.PUBLIC | Modifier.PROTECTED)) == 0 && !packageEquals(cl, initCl))) { return null; } cons = reflFactory.newConstructorForSerialization(cl, cons); cons.setAccessible(true); return cons; } catch (NoSuchMethodException ex) { return null; } }
4、实例化正在被反序列化的对象
调用ObjectStreamClass里边构造出来的构造方法cons,创建对象实例。前边提到这个构造方法cons是当前类 [最顶层实现了Serializable的祖先类的超类]的构造函数,那newInstance出来的,岂不是非当前类型实例?这个实现在java.io.ObjectStreamClass.getSerializableConstructor(java.lang.Class<?>)里边,在拿到了当前类 [最顶层实现了Serializable的祖先类的超类]的构造函数后,会再调用sun.reflect.ReflectionFactory.newConstructorForSerialization(java.lang.Class<?>, java.lang.reflect.Constructor<?>)生成一个新的构造函数
public class sun.reflect.GeneratedSerializationConstructorAccessor1 extends sun.reflect.SerializationConstructorAccessorImpl { // Method descriptor #26 ()V // Stack: 1, Locals: 1 public GeneratedSerializationConstructorAccessor1(); 0 aload_0 [this] 1 invokespecial sun.reflect.SerializationConstructorAccessorImpl() [36] 4 return // Method descriptor #14 ([Ljava/lang/Object;)Ljava/lang/Object; // Stack: 6, Locals: 2 public java.lang.Object newInstance(java.lang.Object[] arg0) throws java.lang.reflect.InvocationTargetException; //这里是创建DTO对象,但是后边不调DTO的构造函数 0 new com.tmall.buy.serializable.DTO [6] 3 dup 4 aload_1 [arg0] 5 ifnull 24 8 aload_1 [arg0] 9 arraylength 10 sipush 0 13 if_icmpeq 24 16 new java.lang.IllegalArgumentException [22] 19 dup 20 invokespecial java.lang.IllegalArgumentException() [29] 23 athrow //这里是调用BaseDTO的构造函数,即用DTO的对象调用了BaseDTO类的构造方法,相当于super() 24 invokespecial com.tmall.buy.serializable.BaseDTO() [12] 27 areturn 28 invokespecial java.lang.Object.toString() : java.lang.String [42] 31 new java.lang.IllegalArgumentException [22] 34 dup_x1 35 swap 36 invokespecial java.lang.IllegalArgumentException(java.lang.String) [32] 39 athrow 40 new java.lang.reflect.InvocationTargetException [24] 43 dup_x1 44 swap 45 invokespecial java.lang.reflect.InvocationTargetException(java.lang.Throwable) [35] 48 athrow Exception Table: [pc: 0, pc: 24] -> 28 when : java.lang.ClassCastException [pc: 0, pc: 24] -> 28 when : java.lang.NullPointerException [pc: 24, pc: 27] -> 40 when : java.lang.Throwable }
调用java.lang.reflect.Constructor.newInstance(java.lang.Object[])
5、读取反序列化对象的值java.io.ObjectInputStream#readSerialData(java.lang.Object, java.io.ObjectStreamClass)
先把ObjectStreamClass的继承信息扁平化,搞成ClassDataSlot数组。如果继承体系中的描述信息,在输入流中没有相关类型,则其hasData=false。对于hasData==false的ClassDataSlot,会调用这个slot相关ObjectStreamClass相关类型的readObjectNoData方法(如果有)。
如果hasData=true && 当前被反序列化的类有readObject方法,就会调用readObject方法;这样的话,就读取不到输入流中需要反序列化的对象的字段的值了,如果想调用自己的readObject方法,同时想读取输入流中的值,在readObject方法中显式调用java.io.ObjectInputStream#defaultReadObject方法即可,此方法也是转调的java.io.ObjectInputStream.defaultReadFields(java.lang.Object, java.io.ObjectStreamClass)。
否则如果hasData=true,则调用java.io.ObjectInputStream.defaultReadFields(java.lang.Object, java.io.ObjectStreamClass)方法为实例对象赋值。
6、反序列化的时候赋值java.io.ObjectInputStream.defaultReadFields(java.lang.Object, java.io.ObjectStreamClass)
该方法首先根据对象描述信息对象读取要反序列化对象的字段信息ObjectStreamField——此处的字段信息是远程对象的字段值,可能跟本地对象字段内容不一致,然后继续从输入流中读取相关字段值。最后通过ObjectStreamClass的FieldReflector这个引用把值设置到最终要被反序列化的对象上。
7、4中生成sun.reflect.GeneratedSerializationConstructorAccessor1 类中,子类DTO实例调用超类BaseDTO方法为何可以成功?方法调用指令有5种,4中调用BaseDTO方法的时候,是invokespecial指令,这个指令跟invokevirtual不同,不会根据当前对象实例动态分派。所以是可以调用BaseDTO#<init>方法的,但是这个是否符合jvm的规范,能否通过jvm的校验还需要再查资料。
* invokevirtual invokes an instance method of an object, dispatching on the (virtual) type of the object. This is the normal method dispatch in the Java programming language. * invokeinterface invokes an interface method, searching the methods implemented by the particular run-time object to find the appropriate method. * invokespecial invokes an instance method requiring special handling,whether an instance initialization method (§2.9), a private method, or a superclass method. * invokestatic invokes a class (static) method in a named class. * invokedynamic invokes the method which is the target of the call site object bound to the invokedynamic instruction. The call site object was bound to a specific lexical occurrence of the invokedynamic instruction by the Java Virtual Machine as a result of running a bootstrap method before the first execution of the instruction. Therefore, each occurrence of an invokedynamic instruction has a unique linkage state, unlike the other instructions which invoke methods.
8、这个点Hessian2是如何做的呢?com.caucho.hessian.io.UnsafeDeserializer.instantiate()
protected Object instantiate() throws Exception{ return _unsafe.allocateInstance(_type); }
而_unsafe.allocateInstance这个方法的功能见注释:
Allocate an instance but do not run any constructor. Initializes the class if it has not yet been.
相关推荐
当一个类实现了`Serializable`接口但没有定义`readObject`和`writeObject`方法时,JDK会使用默认的方式来序列化和反序列化对象。这通常意味着序列化过程中只考虑类的非`transient`实例变量。 - **序列化**:使用`...
Java对象的序列化和反序列化是Java编程中的一项重要技术,主要应用于数据持久化、网络传输等场景。本课件详细介绍了这一概念及其在实际应用中的操作。 首先,序列化是将Java对象转化为字节序列的过程,目的是为了...
序列化是指将Java对象转换为二进制数据的过程,而反序列化是指将二进制数据转换回Java对象的过程。序列化可以将Java对象保存到磁盘中,以便永久保存Java对象。同时,序列化也可以用于网络传输Java对象数据。 使用...
在复现过程中,需要设置合适的环境(如JDK 1.8.0_171和Resin 4.0.52),并理解Jackson反序列化流程的细节,以便找到注入恶意代码的路径。 【总结】 Java和Jackson的反序列化机制虽然强大且便利,但也带来了安全...
JAVA序列化是指把Java对象转换为字节序列的过程,而Java反序列化是指把字节序列恢复为Java对象的过程。序列化是把对象转换成有序字节流,以便在网络上传输或者保存在本地文件中。序列化后的字节流保存了Java对象的...
JDK提供了一套内置的序列化机制,包括`ObjectOutputStream`和`ObjectInputStream`,以支持`Serializable`和`Externalizable`接口的实现。 序列化的过程可能对性能有影响,尤其是在大量对象需要被序列化时。为了优化...
- 兼容性:尽管FST提供了更高效的方式,但它仍然保持与JDK原生序列化的兼容性,这意味着已序列化的对象可以用标准的`ObjectInputStream`和`ObjectOutputStream`进行反序列化,反之亦然。 - 自动类型识别:FST能够...
Java对象序列化与反序列化是Java开发中常见的技术,主要用于持久化对象数据以及在网络间传输对象。本文将深入解析这两个概念及其原理。 一、序列化和反序列化的概念 对象序列化是将Java对象转换成字节序列的过程,...
其中,ObjectOutputStream 的 writeObject(Object obj) 方法用来将对象序列化到输出流中,而 ObjectInputStream 的 readObject() 方法用来将对象反序列化从输入流中。 Serializable 和 Externalizable 在 Java 中...
在反序列化过程中,如果对象图中包含可执行的代码(如动态代理、自定义`readObject()`方法等),并且这些代码没有得到充分的验证,那么就可能存在安全隐患。 该测试工具针对的就是这种潜在的安全风险。它允许测试...
- `Externalizable`: 允许对象自定义序列化和反序列化行为。 - `FileFilter`: 用于过滤文件。 - `FilenameFilter`: 用于过滤文件名。 - `ObjectInputValidation`: 用于验证反序列化的对象。 2. **类** - `...
深拷贝可以通过序列化和反序列化实现,或者手动实现Cloneable接口并重写`clone()`方法。 示例代码(使用序列化): ```java import java.io.*; class MyClass implements Serializable { int a; String b; ...
- 反序列化:从磁盘或网络读取序列化的对象数据,通过ObjectInputStream的readObject()方法恢复对象。 5. String、StringBuffer和StringBuilder的区别 - String是不可变对象,创建新的字符串会生成新的对象,不...
serialization(序列化、次第讀寫) generics(泛型) polymorphism(多型) 全文提要 泛型技術與 Sun JDK的淵源可追溯自 JDK1.3。但無論 JDK 1.3或 JDK1.4,都只是 以編譯器外掛附件的方式來支援泛型語法,...
- 序列化是指将对象的状态信息转换为可以存储或传输的形式的过程 - 通常用于网络传输和保存对象状态 - **Java序列化** - `Serializable`接口 - `ObjectInputStream/ObjectOutputStream` - `writeObject/...
MinorGC 的过程(复制->清空->互换) ....................................................................................... 24 1:eden、servicorFrom 复制到 ServicorTo,年龄+1.................................