Java序列化:安全与现代方法的权衡
虽然序列化代理模式在Java中仍然是有效和安全的,特别适用于复杂的不变类或需要严格不变性的场景,但随着语言和发展实践的演变,出现了更现代、更推荐的方法。本文将讨论Java序列化和反序列化的现代方法,并将其与传统方法进行比较。
1. 避免原生Java序列化 (Serializable)
Joshuaava创始人Java 由于其安全性和复杂性,Bloch建议避免使用本地Java序列化。 更安全的替代方案包括JSON、XML或Protocol Buffers等序列化格式提供了更精细的控制。
-
替代方案:
- Jackson (com.fasterxml.jackson.databind) 用于JSON序列化。
- Protocol Buffers (protobuf) / Apache Avro 序列化用于更高效、更安全。
2. 使用不可变类和transient关键字
不可改变的对象自然更安全。 使用不可变Java类替换可变类型(如Date,ArrayList)。Java record的引入简化了不可变类的创造,消除了对防御拷贝的需求。 同时,用transient关键字标记敏感字段,防止其序列化。
示例:
public final class SecureData implements Serializable {
private static final long serialVersionUID = 1L;
private final String publicData;
private transient String sensitiveData; // 不会被序列化
public SecureData(String publicData, String sensitiveData) {
this.publicData = publicData;
this.sensitiveData = sensitiveData;
}
}
3. ObjectInputFilter (Java 9及以上)
Java 引入Objectinputfilter,允许定义安全过滤器,防止事故或恶意对象的反序列化攻击。
示例:
ObjectInputFilter filter = ObjectInputFilter.Config.createFilter("com.meusistema.seguraclass;!*");
ObjectInputStream ois = new ObjectInputStream(new FileInputStream("data.ser"));
ois.setObjectInputFilter(filter);
4. Kryo库 (更安全、更快)
Kryo是一种高效的序列化替代方案,比标准Java序列化更快、更安全,并广泛应用于Akka等框架。
示例:
Kryo kryo = new Kryo();
Output output = new Output(new FileOutputStream("data.bin"));
kryo.writeObject(output, myObject);
output.close();
5. 自定义writeobject()和readobject()方法
序列化过程可以通过自定义序列化和反序列化方法更精细地控制,防止潜在攻击。
示例:
private void readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
throw new InvalidObjectException("不允许反序列化!");
}
6. 数据传输对象的安全框架和数据传输对象 (DTO)
现代框架(如Spring) Boot、Micronaut、Quarkus)通常避免本地Java序列化,更倾向于使用REST APIS和JSON用于安全数据传输,并使用数据传输对象 (DTO)。
7. 基于构建器的序列化
在反序列化后,可以使用构建器或工厂模式来重建对象,以提高安全性。
示例:
public class Period implements Serializable {
private final LocalDate start;
private final LocalDate end;
public Period(LocalDate start, LocalDate end) {
if (end.isBefore(start)) throw new IllegalArgumentException();
this.start = start;
this.end = end;
}
private Object readObject(ObjectInputStream ois) throws IOException, ClassNotFoundException {
ois.defaultReadObject();
return new Period(start, end); // 安全重建
}
}
Java原生序列化什么时候还有用?
- 关键系统: 例如,财务系统需要严格的验证。
- 遗留系统: 不能迁移到现代格式的项目。
结论:选择哪种方法?
如果安全非常重要,则应避免本地Java序列化,并选择JSON或Protocol Buffers。若必须使用Java序列化,则应结合使用Objectinputfilter和不可变类。 选择最适合项目需求和安全水平的方法非常重要。
以上是今天爪哇的序列化和5的详细内容。请关注图灵教育的其他相关文章!
湘公网安备43019002002060