摘要：序列化對象要保留充分的信息，用來恢復(fù)數(shù)據(jù)對象，但是為了節(jié)約存儲空間和網(wǎng)絡(luò)帶寬，序列化出的二進制流要盡可能小。序列化序列化是一種支持動態(tài)類型跨語言基于對象傳輸?shù)木W(wǎng)絡(luò)協(xié)議，對象序列化后的二進制流，可以被其他語言反序列化。

記得很久以前寫代碼的時候，每次新建一個實體都會下意識的繼承Serializable接口，大部分人都知道這是對對象的序列化，可是你們真的知道序列化嗎？這篇文章就簡單的說下java中的序列化，讓你更多的理解java這門語言。

關(guān)于上篇文章說的，在應(yīng)用登錄前使用第三方的人機驗證，如果第三方的產(chǎn)品突然出現(xiàn)故障，無法使用，這種狀況我們應(yīng)該怎么應(yīng)對，在團隊中我們也討論過這種情況，我們的方案就是客戶端不直接的請求第三方，而是由后端服務(wù)器充當(dāng)一個中介的角色，起轉(zhuǎn)發(fā)作用，這樣在第三方出現(xiàn)問題，我們服務(wù)器端會做處理，這也是不把雞蛋放在同一個籃子里的思想。

接下來，簡單的說下序列化，

將數(shù)據(jù)對象轉(zhuǎn)換為二進制流的過程就稱為對象的序列化（Serialization），反過來，將二進制流轉(zhuǎn)換為對象就是反序列化(Deserializable)。序列化的用處是什么呢？共兩點：

1、數(shù)據(jù)持久化：在很多應(yīng)用中，需要對好多對象進行序列化，存到物理硬盤，較長時間的保存，比如，Session對象，當(dāng)有數(shù)萬用戶并發(fā)訪問的時候，就會有數(shù)萬的Session對象，內(nèi)存會承受很大的壓力，這個時候，就會把一些對象先序列化到硬盤中，需要使用的時候再還原到內(nèi)存中。序列化對象要保留充分的信息，用來恢復(fù)數(shù)據(jù)對象，但是為了節(jié)約存儲空間和網(wǎng)絡(luò)帶寬，序列化出的二進制流要盡可能小。

2、網(wǎng)絡(luò)傳輸：當(dāng)兩個進程在互相通信的時候，就會進行數(shù)據(jù)傳輸，不管是何種類型的數(shù)據(jù)，都必須要轉(zhuǎn)成二進制流來傳輸，接受方收到后再轉(zhuǎn)為數(shù)據(jù)對象。

重點來了，序列化在代碼中是怎么實現(xiàn)的呢？以下介紹三種：

1、java原生序列化：java類通過實現(xiàn)Serializable接口來實現(xiàn)。這個接口沒有任何方法，只是標(biāo)識，java序列化保留了對象的元數(shù)據(jù)，以及對象數(shù)據(jù)，兼容性最好，但是不支持跨語言，性能也一般。

public class BaseEntity implements Serializable {

private static final long serialVersionUID = -7333816285916354999L;
private Long id;
public BaseEntity() {
}
public Long getId() {
    return this.id;
}
public void setId(Long id) {
    this.id = id;
}

}
實現(xiàn)這個接口，idea會給你一個警告，它會建議你設(shè)置一個serialVersionUID，如果你不設(shè)置，編譯器會根據(jù)類的內(nèi)部實現(xiàn)，包括類名、接口名、方法和屬性來自動生成serialVersionUID 如果類的源碼有修改，重新編譯后這個值也會變化。

在修改類的時候，我們要根據(jù)兼容性來決定是否修改serialVersionUID，如果是兼容性質(zhì)的升級，不建議修改，因為可能會反序列化失敗。如果是不兼容的，就需要修改，避免反序列化變得混亂。

java原生序列化，在反序列化的時候不會調(diào)用類的無參構(gòu)造方法，而是調(diào)用native方法將屬性賦值為對應(yīng)類型的初始值。

最后，基于性能及兼容性，不推薦使用。

2、Hessian序列化：Hessian序列化是一種支持動態(tài)類型、跨語言、基于對象傳輸?shù)木W(wǎng)絡(luò)協(xié)議，java對象序列化后的二進制流，可以被其他語言反序列化。它的特性：

自描述序列化類型，不依賴外部描述文件或接口定義，用一個字節(jié)表示常用的基礎(chǔ)類型，極大縮短二進制流；

語言無關(guān)，支持腳本語言。

協(xié)議簡單，比java原生的要高效。

需要注意一點：Hessian會把復(fù)雜對象所有屬性存儲在一個Map中進行序列化，所以在父類和子類含有相同字段的情況下，先序列化子類，后序列化父類，這樣的結(jié)果是子類的同名屬性會被父類覆蓋掉。

以下是代碼實現(xiàn)

/**

 * Hessian實現(xiàn)序列化
 *
 * @param TestClass
 * @return
 * @throws IOException
 */
private static byte[] serialize(TestClass TestClass) {
    ByteArrayOutputStream byteArrayOutputStream = null;
    HessianOutput hessianOutput = null;
    try {
        byteArrayOutputStream = new ByteArrayOutputStream();
        // Hessian的序列化
        hessianOutput = new HessianOutput(byteArrayOutputStream);
        hessianOutput.writeObject(TestClass);
        return byteArrayOutputStream.toByteArray();
    } catch (IOException e) {
        e.printStackTrace();
    } finally {
        try {
            byteArrayOutputStream.close();
        } catch (IOException e) {
            e.printStackTrace();
        }
        try {
            hessianOutput.close();
        } catch (IOException e) {
            e.printStackTrace();
        }
    }
    return null;
}

3、JSON序列化：

JSON是一種輕量級的數(shù)據(jù)交換格式，這種序列化方式就是講數(shù)據(jù)對象轉(zhuǎn)換為JSON字符串。在序列化的過程中舍棄了類型信息。反序列化是只有在提供了類型信息的情況下才能完成。

public static  T fromJson(String json, Class type) {
    if (json != null && !json.equals("")) {
        try {
            return getObjectMapper().readValue(json, type);
        } catch (Exception var3) {
            var3.printStackTrace();
            return null;
        }
    } else {
        return null;
    }
}

相信大部分讀者的公司和前端和客戶端數(shù)據(jù)的交互格式都是JSON吧，因為JSON的這種格式可讀性較好，而且也方便調(diào)試。

序列化通常會用于網(wǎng)絡(luò)傳輸數(shù)據(jù)對象，而對象中常常會含有敏感數(shù)據(jù)，所以黑客常常會攻擊這點，攻擊手段通常是利用反序列化過程構(gòu)造惡意代碼，怎么應(yīng)對這種情況呢？可以使用transient關(guān)鍵字來修飾這個屬性，這樣在反序列化之后該屬性就會為空，如果一定要傳遞的話，可以使用對稱加密或非對稱加密獨立傳輸，在數(shù)據(jù)傳輸?shù)膯栴}上，我們一定要具備安全意識。

希望看完這篇文章的你能有所收獲。

分享以下自己的思考：”對于用戶來說，系統(tǒng)太靈活是他們的負擔(dān)，意味著他們要做更多的選擇，對于技術(shù)人員來說，架構(gòu)靈活可以應(yīng)對更多的運營策略。怎樣折中，是個問題。“

這樣的分享我會一直持續(xù)，你的關(guān)注、轉(zhuǎn)發(fā)和點贊是對我最大的支持，感謝。

題圖：作者實拍