当今爪哇的序列化和5

Java序列化：安全与现代方法的权衡

虽然序列化代理模式在Java中仍然有效且安全，尤其适用于复杂不变类或需要严格不可变性的场景，但随着语言和开发实践的演进，更现代、更推荐的方法应运而生。本文将探讨Java序列化和反序列化的现代方法，并比较它们与传统方法的优劣。

1. 避免原生Java序列化 (Serializable)

Java创建者Joshua Bloch建议避免使用原生Java序列化，因为它存在安全性和复杂性风险。 更安全的替代方案包括JSON、XML或Protocol Buffers等序列化格式，这些格式提供了更精细的控制。

• 替代方案：
  • Jackson (com.fasterxml.jackson.databind) 用于JSON序列化。
  • Protocol Buffers (protobuf) / Apache Avro 用于更高效、更安全的序列化。

2. 使用不可变类和transient关键字

不可变对象天生更安全。 使用不可变的Java类替换可变类型（如Date，ArrayList）。Java 16引入的record特性简化了不可变类的创建，并消除了对防御性拷贝的需求。 同时，使用transient关键字标记敏感字段，防止它们被序列化。

示例：

public final class SecureData implements Serializable {
    private static final long serialVersionUID = 1L;

    private final String publicData;
    private transient String sensitiveData; // 不会被序列化

    public SecureData(String publicData, String sensitiveData) {
        this.publicData = publicData;
        this.sensitiveData = sensitiveData;
    }
}

3. ObjectInputFilter (Java 9及以上)

Java 9引入了ObjectInputFilter，允许定义安全过滤器，防止意外或恶意对象的反序列化攻击。

示例：

ObjectInputFilter filter = ObjectInputFilter.Config.createFilter("com.meusistema.seguraclass;!*");
ObjectInputStream ois = new ObjectInputStream(new FileInputStream("data.ser"));
ois.setObjectInputFilter(filter);

4. Kryo库 (更安全、更快)

Kryo是一个高效的序列化替代方案，比标准Java序列化更快、更安全，并在Akka等框架中广泛使用。

示例：

Kryo kryo = new Kryo();
Output output = new Output(new FileOutputStream("data.bin"));
kryo.writeObject(output, myObject);
output.close();

5. 自定义writeObject()和readObject()方法

通过自定义序列化和反序列化方法，可以更精细地控制序列化过程，阻止潜在攻击。

示例：

private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
    throw new InvalidObjectException("反序列化不允许！");
}

6. 安全框架和数据传输对象 (DTO)

现代框架（如Spring Boot、Micronaut、Quarkus）通常避免原生Java序列化，更倾向于使用REST APIs和JSON进行安全的数据传输，并使用数据传输对象 (DTO)。

7. 基于构建器的序列化

替代使用代理，可以使用构建器或工厂模式在反序列化后重建对象，提高安全性。

示例：

public class Period implements Serializable {
    private final LocalDate start;
    private final LocalDate end;

    public Period(LocalDate start, LocalDate end) {
        if (end.isBefore(start)) throw new IllegalArgumentException();
        this.start = start;
        this.end = end;
    }

    private Object readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
        ois.defaultReadObject();
        return new Period(start, end); // 安全重建
    }
}

何时原生Java序列化仍然有用？

• 关键系统： 例如财务系统，需要严格的验证。
• 遗留系统： 无法迁移到现代格式的项目。

结论：选择哪种方法？

如果安全性至关重要，应避免原生Java序列化，而选择JSON或Protocol Buffers。如果必须使用Java序列化，则应结合使用ObjectInputFilter和不可变类。 选择最适合项目需求和安全级别的方法至关重要。