程序博客网 > 永久关闭防火墙linux

Serializable接口基本理解--序列化代理的使用

来源:互联网 发布:永久关闭防火墙linux 编辑:程序博客网 时间:2024/05/22 16:52

Effective Java一书一直在强调,你的类实现Serializable接口前,一定要进行价值评估,是否值得这么做,尤其你的类是一个需要进行大量继承扩展的类。因为实现了Serializable接口,就会大大的增加出错和出现安全漏洞的可能性。蓄意攻击者可以通过伪造修改字节码的方式使你的代码出现安全漏洞!从一个角度看, readObject方法是一个参数为“字节流”的构造函数,因此篡改了字节流,通过readObject就可能得到一个状态错误的对象。

通过重写readObject, writeObject 两个方法无法解决这种问题,Effective Java中提供了一个非常优雅的对象序列化方式--序列化代理模式。通过这种方式可以解决上述各种序列化问题,今天就介绍一下序列化代理模式,直接上代码吧:

package cn.test;import java.io.File;import java.io.FileInputStream;import java.io.FileNotFoundException;import java.io.FileOutputStream;import java.io.IOException;import java.io.InvalidObjectException;import java.io.ObjectInputStream;import java.io.ObjectOutputStream;import java.io.Serializable;import java.util.Date;public class Period implements Serializable{private static final long serialVersionUID = 1L;private final Date start;private final Date end;public Period(Date start, Date end) {if(null == start || null == end || start.after(end)){throw new IllegalArgumentException("请传入正确的时间区间!");}this.start = start;this.end = end;}public Date start(){return new Date(start.getTime());}public Date end(){return new Date(end.getTime());}@Overridepublic String toString(){return "起始时间:" + start + " , 结束时间:" + end;}/** * 序列化外围类时,虚拟机会转掉这个方法,最后其实是序列化了一个内部的代理类对象! * @return */private Object writeReplace(){System.out.println("进入writeReplace()方法!");return new SerializabtionProxy(this);}/** * 如果攻击者伪造了一个字节码文件,然后来反序列化也无法成功,因为外围类的readObject方法直接抛异常! * @param ois * @throws InvalidObjectException */private void readObject(ObjectInputStream ois) throws InvalidObjectException{throw new InvalidObjectException("Proxy required!");}/** * 序列化代理类,他精确表示了其当前外围类对象的状态!最后序列化时会将这个私有内部内进行序列化! */private static class SerializabtionProxy implements Serializable{private static final long serialVersionUID = 1L;private final Date start;private final Date end;SerializabtionProxy(Period p){this.start = p.start;this.end = p.end;}/** * 反序列化这个类时,虚拟机会调用这个方法,最后返回的对象是一个Period对象!这里同样调用了Period的构造函数, * 会进行构造函数的一些校验!  */private Object readResolve(){System.out.println("进入readResolve()方法,将返回Period对象!");// 这里进行保护性拷贝!return new Period(new Date(start.getTime()), new Date(end.getTime()));}}/** * 测试方法 * @throws IOException  * @throws FileNotFoundException  * @throws ClassNotFoundException  */public static void main(String[] args) throws FileNotFoundException, IOException, ClassNotFoundException {Period period = new Period(new Date(), new Date());System.out.println("序列化前:" + period);ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream(new File("D:/obj.data")));oos.writeObject(period);ObjectInputStream ois = new ObjectInputStream(new FileInputStream(new File("D:/obj.data")));Period newPeriod = (Period)ois.readObject();System.out.println("序列化后:" + newPeriod);}}

输出结果为:

序列化前:起始时间:Mon Jul 30 21:06:42 CST 2012 , 结束时间:Mon Jul 30 21:06:42 CST 2012
进入writeReplace()方法!
进入readResolve()方法,将返回Period对象!
序列化后:起始时间:Mon Jul 30 21:06:42 CST 2012 , 结束时间:Mon Jul 30 21:06:42 CST 2012


整个过程没有任何问题。在实际的序列化与反序列化中,外围类都没有参与,参与的都是私有的内部类。

那为什么这种方式能够阻止蓄意修改字节码的攻击行为呢?我们看下面这个蓄意破坏序列化字节码的例子:

Period类:


package com.test;import java.io.Serializable;import java.util.Date;public final class Period implements Serializable{private static final long serialVersionUID = 1L;private final Date start;private final Date end;public Period(Date start, Date end) {if(null == start || null == end || start.after(end)){throw new IllegalArgumentException("请传入正确的时间区间!");}this.start = start;this.end = end;}public Date start(){return new Date(start.getTime());}public Date end(){return new Date(end.getTime());}@Overridepublic String toString(){return "起始时间:" + start + " , 结束时间:" + end;}}


这个Period类本身保证了结束时间肯定在开始时间之后,我们看看下面这个类,他轻易构造出了一个结束时间在开始时间之前的Period类对象:


package com.test;import java.io.ByteArrayInputStream;import java.io.ByteArrayOutputStream;import java.io.FileNotFoundException;import java.io.IOException;import java.io.ObjectInputStream;import java.io.ObjectOutputStream;import java.util.Date;public class MutablePeriod {public final Date start;public final Date end;public final Period period;public MutablePeriod() throws FileNotFoundException, IOException, ClassNotFoundException{ByteArrayOutputStream bos = new ByteArrayOutputStream();ObjectOutputStream oos = new ObjectOutputStream(/*new FileOutputStream(new File("D:/obj.data"))*/bos);oos.writeObject(new Period(new Date(), new Date()));byte[] ref = {0x71, 0 , 0x7e, 0, 5};bos.write(ref);ref[4] = 4;bos.write(ref);ObjectInputStream ois = new ObjectInputStream(/*new FileInputStream(new File("D:/obj.data"))*/new ByteArrayInputStream(bos.toByteArray()));period = (Period)ois.readObject();start = (Date)ois.readObject();end = (Date)ois.readObject();}public static void main(String[] args) throws FileNotFoundException, IOException, ClassNotFoundException {MutablePeriod mp = new MutablePeriod();Period p = mp.period;Date start = mp.start;Date end = mp.end;end.setYear(78);System.out.println(p);}}


将新构造出来的Period输出后,结果为:


起始时间:Mon Jul 30 21:37:46 CST 2012 , 结束时间:Sun Jul 30 21:37:46 CST 1978 


结束时间在开始时间之前,如果这个Period传递给依赖于其他方法,而这些方法本质上依赖于Period的原始特性,则能产生更严重的后果!这种情况出现的根本问题在于,Period类的readObject方法没有做保护性拷贝,如果我们重写readObject方法,对Period类引用类型的成员变量做保护性拷贝,也能避免上述问题,但这样做,Period类中相应的引用型成员变量就不能声名为final类型的了。解决这个问题最优雅的方法就是序列化代理的使用了。序列化与反序列化都是操作的代理类对象,反序列化时,代理类对象的readResolve方法调用Period的构造函数构造一个全新的Period对象,并且对于引用类型,进行保护性拷贝!这样Period中的引用类型成员变量依然是final的。


阅读全文
0 0
永久关闭防火墙linux 永久关闭防火墙linux
原创粉丝点击
热门IT博客
烈焰遮天游戏源码烈焰遮天游戏源码
java 数据类型的范围java 数据类型的范围
出售淘宝店铺安全吗
二维旋转变换矩阵
经典网络仙侠言情文
时序数据库 influxdb
软件运行模拟器
编歌词软件
利物浦足球俱乐部知乎
苹果手机怎么恢复备份数据
java框架面试ssh ssm
航天二院 知乎
struts2 demo源码下载
up炒股软件下载
access数据库主键
java延时2秒
健康档案管理系统源码
真空收纳袋 知乎
网络尖刀官网
淘宝店铺互刷群
热门问题 老师的惩罚 人脸识别 我在镇武司摸鱼那些年 重生之率土为王 我在大康的咸鱼生活 盘龙之生命进化 天生仙种 凡人之先天五行 春回大明朝 姑娘不必设防,我是瞎子 里程焦虑症 里程租车 里程购买 里程雪铁龙 里程 兑换 飞行里程数 怎么换里程 保养里程 里程机票 里程多少 里程怎么 里程保险 里程酒店 里程计算器 里程培训 雪铁龙 里程 里程买卖 储备里程 电动车里程 里程交易 建设里程 里程数 租车限里程 起码里程 续航里程什么意思 里程是什么意思 里程什么意思 电动车续航里程排名 里程表怎么看 k1263火车里程表 汽车调里程简单方法 里程表怎么调 三年级里程表题及答案 高速公路里程 中国铁路总里程 怎么把里程表公里数调小 中国高铁总里程 中国高铁里程 1里程等于多少公里 汽车里程数可以改吗 里程表传感器

程序博客网,程序员的互联网技术博客家园。csdn论坛精品 msdn技术资料都在这里