要保存的也被保存了下來。一般情況下,我們僅僅需要保存邏輯數據就可以了。不需要保存的數據我們可以用關鍵字transient標出。
以下是一個例子:
import java.io.*;
public class Serial implements Serializable {
int company_id;
String company_addr;
transient boolean company_flag;
}
則company_flag字段將不會參與序列化與反序列化,但同時你也增加了為他初始值的責任。這也是序列化常常導致的問題之一。因為序列化相當於一個只接受數據流的public構造函數,這種對象構造方法是語言之外的。但他仍然是一種形式上的構造函數。如若你的類不能夠通過其他方面來保證初始化,則你需要額外的提供readObject方法,首先正常的反序列化,然後對transient標示的字段進行初始化。
在不適合的時候,使用java默認的序列化行為可能會帶來速度上的影響,最糟糕的情況是,可能導致溢出。在某些數據結構的實現中,經常會充斥著各種的循環引用,而java的默認序列化行為,並不了解你的對象結構,其結果就是java試圖通過一種昂貴的“圖遍歷”來保存對象狀態。可想而知,不但慢而且可能溢出。這時候你就要提供自己的readObject,來代替默認的行為。
兼容性問題 兼容性歷來是復雜而麻煩的問題。
不要兼容性:
首先來看看如果我們的目的是不要兼容性,應該注意哪些。不要兼容性的場合很多,比如war3每當版本升級就不能夠讀取以前的replays。
兼容也就是版本控制,java通過一個名為UID(stream unique identifier)來控制,這個UID是隱式的,它通過類名,方法名等諸多因素經過計算而得,理論上是一一映射的關系,也就是唯一的。如果UID不一樣的話,就無法實現反序列化了,並且將會得到InvalidClassException。
當我們要人為的產生一個新的版本(實現並沒有改動),而拋棄以前的版本的話,可以通過顯式的聲名UID來實現:
private static final long serialVersionUID=????;
你可以編造一個版本號,但注意不要重復。這樣在反序列化的時候老版本將得到InvalidClassException,我們可以在老版本的地方捕捉這個異常,並提示用戶升級的新的版本。
當改動不大時,保持兼容性(向下兼容性的一個特例):
有時候你的類增加了一些無關緊要的非私有方法,而邏輯字段並不改變的時候,你當然希望老版本和新版本保持兼容性,方法同樣是通過顯式的聲名UID來實現。下面我們驗證一下。
老版本:
import java.io.*;
public class Serial implements Serializable {
int company_id;
String company_addr;
public Serial1(int company_id, String company_addr) {
this.company_id = company_id;
this.company_addr = company_addr;
}
public String toString() {
return "DATA: "+company_id+" "+
company_addr;
}
}
新版本
import java.io.*;
public class Serial implements Serializable {
int company_id;
String company_addr;
public Serial1(int company_id, String company_addr) {
this.company_id = company_id;
this.company_addr = company_addr;
}
public String toString() {
return "DATA: "+company_id+" "+ company_addr;
}
public void todo(){}//無關緊要的方法
}
首先將老版本序列化,然後用新版本讀出,發生錯誤:
java.io.InvalidClassException: Serial.Serial1; local class incompatible: stream classdesc serialVersionUID = 762508508425139227, local class serialVersionUID = 1187169935661445676
接下來我們加入顯式的聲名UID:
private static final long serialVersionUID=762508508425139227l;
再次運行,順利地產生新對象
DATA: 1001 com1
如何保持向上兼容性:
向上兼容性是指老的版本能夠讀取新的版本序列化的數據流。常常出現在我們的服務器的數據更新了,仍然希望老的客戶端能夠支持反序列化新的數據流,直到其更新到新的版本。可以說,這是半自動的事情。
跟一般的講,因為在java中serialVersionUID是唯一控制著能否反序列化成功的標志,只要這個值不一樣,就無法反序列化成功。但只要這個值相同,無論如何都將反序列化,在這個過程中,對於向上兼容性,新數據流中的多余的內容將會被忽略;對於向下兼容性而言,舊的數據流中所包含的所有內容都將會被恢復,新版本的類中沒有涉及到的部分將保持默認值。利用這一特性,可以說,只要我們認為的保持serialVersionUID不變,向上兼容性是自動實現的。
當然,一但我們將新版本中的老的內容拿掉,情況就不同了,即使UID保持不變,會引發異常。正是因為這一點,我們要牢記一個類一旦實現了序列化又要保持向上下兼容性,就不可以隨隨便便的修改了!!!
測試也證明了這一點,有興趣的讀者可以自己試一試。
如何保持向下兼容性:
一如上文所指出的,你會想當然的認為只要保持serialVersionUID不變,向下兼容性是自動實現的。但實際上,向下兼容要復雜一些。這是因為,我們必須要對那些沒有初始化的字段負責。要保證它們能被使用。
所以必須要利用
private void readObject(java.io.ObjectInputStream in)
throws IOException, ClassNotFoundException{
in.defaultReadObject();//先反序列化對象
if(ver=5552){
//以前的版本5552
…初始化其他字段
}else if(ver=5550){
//以前的版本5550
…初始化其他字段
}else{
//太老的版本不支持
throw new InvalidClassException();
}
}
細心的讀者會注意到要保證in.defaultReadObject();能夠順利執行,就必須要求serialVersionUID保持一致,所以這裡的ver不能夠利用serialVersionUID了。這裡的ver是一個我們預先安插好的final long ver=xxxx;並且它不能夠被transient修飾。所以保持向下的兼容性至少有三點要求:
1.serialVersionUID保持一致
2.預先安插好我們自己的版本識別標志的final long ver=xxxx;
3.保證初始化所有的域
討論一下兼容性策略: 到這裡我們可以看到要保持向下的兼容性很麻煩。而且隨著版本數目的增加。維護會變得困難而繁瑣。討論什麼樣的程序應該使用怎麼樣的兼容性序列化策略已經超出本文的范疇,但是對於一個游戲的存盤功能,和對於一個字處理軟件的文檔的兼容性的要求肯定不同。對於rpg游戲的存盤功能,一般要求能夠保持向下兼容,這裡如果使用java序列化的方法,則可根據以上分析的三點進行准備。對於這樣的情況使用對象序列化方法還是可以應付的。對於一個字處理軟件的文檔的兼容性要求頗高,一般情況下的策略都是要求良好的向下兼容性,和盡可能的向上兼容性。則一般不會使用對象序列化技術,一個精心設計的文檔結構,更能解決問題。
數據一致性問題、約束問題 要知道序列化是另一種形式上的“public構造函數”,但他僅僅構造起對象,而不作任何的檢查,這樣人很不舒服,所以必要的檢查是必須的,這利用了readObject()
private void readObject(java.io.ObjectInputStream in)
throws IOException, ClassNotFoundException{
in.defaultReadObject();//先反序列化對象
…進行檢查與初始化
}
出於結構化的考慮,通常使用一個名為initialize的函數,負責檢查與初始化,如果失敗拋出異常。要保持檢查與初始化是很容易被忘記的,這常常導致問題。另一個問題在於當父類沒有加入readObject()的時候,子類很容易忘記要調用對應的initialize函數。這仿佛回到了當初為什麼要引入構造函數的問題,原因就是防止子類忘記調用初始化函數引發各種問題。所以,如果要保持數據一致性,一定要加入readObject()。
安全問題 安全性的話題超出了本文的范疇,但是你應該要知道,有可能一個攻擊者會對你的類准備一個惡意的數據流企圖生成一個錯誤的類。當你需要確保你的對象數據安全的話,你一般可以利用上面的方法來檢查,並初始化,但對於某些引用不好檢查。解決方法就是對重要的部件進行保護性拷貝。這裡推薦一個好方法,它不用保護性拷貝個別的域,而是直接保護性拷貝整個對象。這就是:
Object readResolve() throws ObjectStreamException;
這個方法的用途就是,他會緊接著readObject()調用。它將會利用返回的對象代替原來反序列化的對象。也就是原來readObject()反序列化的對象將會被立即的丟棄。
Object readResolve() throws ObjectStreamException{
return new Serial2(this.xxx1,this.xxx2);// xxx1、xxx2是剛剛反序列化得來的,這是一種保護性拷貝
}
這樣的話雖然在時間上有所浪費,但是對於特別的重要而安全的類,可以使用這種方法。如果數據一致性問題、約束問題通過逐一檢查來解決很麻煩,也可以利用這種方法,但要考慮好成本,和注意下面的局限性。 利用readResolve()有一個明顯的缺點,就是當父類實現了readResolve(),子類將變得無叢下手。如果一個保護的或者是公有的父類的readResolve()存在,並且子類也沒有改寫它,將會使得子類反序列化的時候最終得到一個父類的對象,這既不是我們要得結果,也不容易發現這種錯誤。而讓子類重寫readResolve()無疑是一個負擔。也就是說對於要繼承的類而言,實現readResolve()來保護類不是一個好方法。我們只能利用第一種方法寫一個保護性的readObject()。
所以我的建議是:一般情況下,只有對於final的類采用readResolve()來進行保護。
