- 所有已知的子接口:
-
Attribute,Attribute,Attributes,CertPathValidatorException.Reason,Connector.Argument,Connector.BooleanArgument,Connector.IntegerArgument,Connector.SelectedArgument,Connector.StringArgument,Control,Descriptor,DHPrivateKey,DHPublicKey,DocAttribute,DSAPrivateKey,DSAPublicKey,ECPrivateKey,ECPublicKey,EdECPrivateKey,EdECPublicKey,ExtendedRequest,ExtendedResponse,Externalizable,Key,Name,NotificationFilter,PBEKey,PrintJobAttribute,PrintRequestAttribute,PrintServiceAttribute,PrivateKey,PublicKey,QueryExp,RelationType,RemoteRef,RSAMultiPrimePrivateCrtKey,RSAPrivateCrtKey,RSAPrivateKey,RSAPublicKey,SecretKey,ServerRef,SupportedValuesAttribute,UnsolicitedNotification,ValueExp,XECPrivateKey,XECPublicKey
警告:反序列化不受信任的数据本质上是危险的,应该避免使用。不受信任的数据应该根据Java SE的“安全编码准则”中的“序列化和反序列化”部分进行仔细验证。《安全编码准则》中描述了防御性使用序列化过滤器的最佳实践。
不实现此接口的类将不会序列化或反序列化其任何状态。可序列化类的所有子类型本身也是可序列化的。序列化接口没有方法或字段,仅用于标识可序列化的语义。非可序列化类的子类型可以进行序列化和反序列化。在序列化期间,不会为非可序列化超类的字段写入任何数据。在反序列化期间,将使用第一个(最底层)非可序列化超类的无参构造函数初始化非可序列化超类的字段。此构造函数必须对正在反序列化的子类可访问。如果情况不是这样,声明类为Serializable是错误的;错误将在运行时检测到。可序列化的子类型可以承担保存和恢复非可序列化超类型的公共、受保护和(如果可访问)包访问字段的状态的责任。请参阅《Java对象序列化规范》第3.1节,详细说明反序列化过程,包括处理可序列化和非可序列化类。
在遍历图时,可能会遇到不支持Serializable接口的对象。在这种情况下,将抛出NotSerializableException,并标识不可序列化对象的类。
在序列化和反序列化过程中需要特殊处理的类必须实现具有以下确切签名的特殊方法:
private void writeObject(java.io.ObjectOutputStream out)
throws IOException
private void readObject(java.io.ObjectInputStream in)
throws IOException, ClassNotFoundException;
private void readObjectNoData()
throws ObjectStreamException;
writeObject方法负责为其特定类写入对象的状态,以便相应的readObject方法可以恢复它。可以通过调用out.defaultWriteObject来调用保存对象字段的默认机制。该方法不需要关注其超类或子类的状态。通过使用writeObject方法将各个字段写入ObjectOutputStream或使用DataOutput支持的原始数据类型的方法来保存状态。
readObject方法负责从流中读取并恢复类的字段。它可以调用in.defaultReadObject来调用恢复对象的非静态和非瞬态字段的默认机制。defaultReadObject方法使用流中的信息将流中保存的对象的字段与当前对象中同名字段进行赋值。这处理了类已演变以添加新字段的情况。该方法不需要关注其超类或子类的状态。通过从ObjectInputStream读取数据并将其分配给对象的适当字段来恢复状态。DataInput支持读取原始数据类型。
readObjectNoData方法负责在序列化流未将给定类列为正在反序列化的对象的超类时初始化对象的状态。这可能发生在接收方使用与发送方不同版本的反序列化实例类的情况下,并且接收方的版本扩展了发送方版本未扩展的类。如果序列化流被篡改,也可能发生这种情况;因此,readObjectNoData对于正确初始化反序列化对象非常有用,尽管存在“敌对”或不完整的源流。
需要在将对象写入流时指定替代对象的可序列化类应实现具有以下确切签名的特殊方法:
ANY-ACCESS-MODIFIER Object writeReplace() throws ObjectStreamException;
如果writeReplace方法存在并且可以从对象类内定义的方法访问,则序列化将调用此方法。因此,该方法可以具有私有、受保护和包私有访问。子类对此方法的访问遵循Java的可访问性规则。
需要在从流中读取其实例时指定替代对象的类应实现具有以下确切签名的特殊方法。
ANY-ACCESS-MODIFIER Object readResolve() throws ObjectStreamException;
此readResolve方法遵循与writeReplace相同的调用规则和可访问性规则。
枚举类型都是可序列化的,并在序列化和反序列化期间接收由《Java对象序列化规范》定义的处理。枚举类型的特殊处理方法声明将被忽略。
记录类可以实现Serializable,并接收由《Java对象序列化规范》第1.13节“记录的序列化”定义的处理。记录类型的特殊处理方法声明将被忽略。
序列化运行时为每个可序列化类关联一个版本号,称为serialVersionUID,在反序列化期间用于验证序列化对象的发送方和接收方是否已加载了与序列化兼容的对象的类。如果接收方为对象加载了具有与相应发送方类的serialVersionUID不同的serialVersionUID的类,则反序列化将导致InvalidClassException。可序列化类可以通过声明一个名为“serialVersionUID”的字段来显式声明自己的serialVersionUID,该字段必须是静态的、最终的,并且是long类型:
ANY-ACCESS-MODIFIER static final long serialVersionUID = 42L;如果可序列化类没有显式声明serialVersionUID,则序列化运行时将根据类的各个方面计算该类的默认serialVersionUID值,如《Java对象序列化规范》中所述。此规范将枚举类型的serialVersionUID定义为0L。然而,强烈建议除枚举类型外的所有可序列化类明确声明serialVersionUID值,因为默认的serialVersionUID计算对类细节非常敏感,这些细节可能因编译器实现而异,因此在反序列化期间可能导致意外的InvalidClassException。因此,为了保证在不同的Java编译器实现中具有一致的serialVersionUID值,可序列化类必须声明一个显式的serialVersionUID值。还强烈建议显式的serialVersionUID声明在可能的情况下使用private修饰符,因为这样的声明仅适用于立即声明的类--serialVersionUID字段对于继承成员不起作用。数组类不能声明显式的serialVersionUID,因此它们始终具有默认计算值,但是对于数组类,匹配的serialVersionUID值的要求被豁免。
- 自:
- 1.1
- 外部规范
- 另请参阅: