根据 Java 文档中的 Serializability :
类的可序列化性由实现 java.io.Serializable 接口。没有实现这个的类 接口不会对它们的任何状态进行序列化或反序列化。 可序列化类的所有子类型本身都是可序列化的。这 序列化接口没有方法或字段,仅用于 识别可序列化的语义
为什么对象还没有实现Serializable?我们不想被序列化的成员可以设为transient。为什么要阻止默认的 Serializability?
【问题讨论】:
标签: java serializable
可序列化类的所有子类型本身都是可序列化的。
换句话说:您曾经创建、曾经创建或将要创建的所有类都是可序列化的。 transient 只排除字段,不排除整个类。
这是一个潜在的安全漏洞 - 巧合的是,您可以序列化,例如您的 DataSource 内部带有数据库凭据 - 如果此特定 DataSource 实现的创建者忘记创建此类字段 transient。序列化随机 Java 对象非常容易,例如通过持有对外部this的隐式引用的内部类。
使用您明确想要并允许序列化的类的白名单比仔细检查您的代码更安全,确保没有您不想要的字段被序列化。
此外,您不能再说:MySuperSecretClass 不可序列化(通过简单地不实现 Serializable) - 您只能排除胆量(字段)。
【讨论】:
1.Serializable是标记接口,它是空的,但是当一个类被标记为可序列化时,意味着它的对象是可序列化的。
2. java.lang.Object 没有实现 Serializable 的原因是,如果您不想将某些字段设置为 Serializable 并且我的错误错过了向该字段添加瞬态,该怎么办?那么将是一场浩劫。
3. 通过让程序员为他的类实现 Serializable,它让程序员意识到他已经有意识地实现了它,并且应该采取必要的步骤来防止任何不应该被序列化的东西是。
【讨论】:
大多数类不需要可序列化。使用当前的设计,您可以很容易地注意到该类是可序列化的。本质上,它只是一个经过编译器检查的自文档。否则你可能会写这样的东西:
/** DON'T SERIALIZE IT!!! */
class Connection { ... }
而且最好有语言或库的特性而不是 cmets。
【讨论】:
我认为为需要持久化的对象实现Serializable 更有意义,而声明transiennt 类的每个字段会更麻烦。我不确定的另一点是Object 是所有类的根,其中包括与反射相关的类,因此为 Object 类实现 Serializable 是不合适的。
【讨论】: