Java對象序列化使用基礎

　　序列化的過程就是對象寫入字節流和從字節流中讀取對象。將對象狀態轉換成字節流之後，可以用java.io包中的各種字節流類將其保存到文件中，管道到另一線程中或通過網絡連接將對象數據發送到另一主機。對象序列化功能非常簡單、強大，在RMI、Socket、JMS、EJB都有應用。對象序列化問題在網絡編程中並不是最激動人心的課題，但卻相當重要，具有許多實用意義。

　　1.對象序列化可以實現分布式對象。主要應用例如：RMI要利用對象序列化運行遠程主機上的服務，就像在本地機上運行對象時一樣。

　　2.Java對象序列化不僅保留一個對象的數據，而且遞歸保存對象引用的每個對象的數據。可以將整個對象層次寫入字節流中，可以保存在文件中或在網絡連接上傳遞。利用對象序列化可以進行對象的“深復制”，即復制對象本身及引用的對象本身。序列化一個對象可能得到整個對象序列。

　　從上面的敘述中，我們知道了對象序列化是java編程中的必備武器，那麼讓我們從基礎開始，好好學習一下它的機制和用法。

　　Java序列化比較簡單，通常不需要編寫保存和恢復對象狀態的定制代碼。只需要實現接口(java.io.Serializable)的類對象可以轉換成字節流或從字節流恢復，不需要在類中增加任何代碼。只有極少數情況下才需要定制代碼保存或恢復對象狀態。這裡要注意：不是每個類都可序列化，有些類是不能序列化的，例如涉及線程的類與特定JVM有非常復雜的關系。

　　序列化機制：

　　序列化分為兩大部分：序列化和反序列化。序列化是這個過程的第一部分，將數據分解成字節流，以便存儲在文件中或在網絡上傳輸。反序列化就是打開字節流並重構對象。對象序列化不僅要將基本數據類型轉換成字節表示，有時還要恢復數據。恢復數據要求有恢復數據的對象實例。ObjectOutputStream中的序列化過程與字節流連接，包括對象類型和版本信息。反序列化時，JVM用頭信息生成對象實例，然後將對象字節流中的數據復制到對象數據成員中。下面我們分兩大部分來闡述：

　　處理對象流：(序列化過程和反序列化過程)

　　java.io包有兩個序列化對象的類。ObjectOutputStream負責將對象寫入字節流，ObjectInputStream從字節流重構對象。

　　我們先了解ObjectOutputStream類吧。ObjectOutputStream類擴展DataOutput接口。

　　writeObject()方法是最重要的方法，用於對象序列化。如果對象包含其他對象的引用，則writeObject()方法遞歸序列化這些對象。每個ObjectOutputStream維護序列化的對象引用表，防止發送同一對象的多個拷貝。(這點很重要)由於writeObject()可以序列化整組交叉引用的對象，因此同一ObjectOutputStream實例可能不小心被請求序列化同一對象。這時，進行反引用序列化，而不是再次寫入對象字節流。

　　下面，讓我們從例子中來了解ObjectOutputStream這個類吧。

　　// 序列化 today's date 到一個文件中.

　　FileOutputStream f = new FileOutputStream("tmp");

　　ObjectOutputStream s = new ObjectOutputStream(f);

　　s.writeObject("Today");

　　s.writeObject(new Date());

　　s.flush();

　　現在，讓我們來了解ObjectInputStream這個類。它與ObjectOutputStream相似。它擴展DataInput接口。ObjectInputStream中的方法鏡像DataInputStream中讀取Java基本數據類型的公開方法。readObject()方法從字節流中反序列化對象。每次調用readObject()方法都返回流中下一個Object。對象字節流並不傳輸類的字節碼，而是包括類名及其簽名。readObject()收到對象時，JVM裝入頭中指定的類。如果找不到這個類，則readObject()拋出ClassNotFoundException,如果需要傳輸對象數據和字節碼，則可以用RMI框架。ObjectInputStream的其余方法用於定制反序列化過程。

　　例子如下：

　　//從文件中反序列化 string 對象和 date 對象 FileInputStream in = new FileInputStream("tmp"); ObjectInputStream s = new ObjectInputStream(in); String today = (String)s.readObject(); Date date = (Date)s.readObject();

　　定制序列化過程:

　　序列化通常可以自動完成，但有時可能要對這個過程進行控制。java可以將類聲明為serializable，但仍可手工控制聲明為static或transient的數據成員。

　　例子：一個非常簡單的序列化類。

　　public class simpleSerializableClass implements Serializable

　　{

　　String sToday="Today:";

　　transient Date dtToday=new Date();

　　}

　　序列化時，類的所有數據成員應可序列化除了聲明為transient或static的成員。將變量聲明為transient告訴JVM我們會負責將變元序列化。將數據成員聲明為transient後，序列化過程就無法將其加進對象字節流中，沒有從transient數據成員發送的數據。後面數據反序列化時，要重建數據成員(因為它是類定義的一部分)，但不包含任何數據，因為這個數據成員不向流中寫入任何數據。記住，對象流不序列化static或transient。我們的類要用writeObject()與readObject()方法以處理這些數據成員。使用writeObject()與readObject()方法時，還要注意按寫入的順序讀取這些數據成員。

　　關於如何使用定制序列化的部分代碼如下：

　　//重寫writeObject()方法以便處理transient的成員。

　　public void writeObject(ObjectOutputStream outputStream) throws IOException

　　{

　　outputStream.defaultWriteObject();

　　//使定制的writeObject()方法可以利用自動序列化中內置的邏輯。

　　outputStream.writeObject(oSocket.getInetAddress());

　　outputStream.writeInt(oSocket.getPort());

　　}

　　//重寫readObject()方法以便接收transient的成員。

　　private void readObject(ObjectInputStream inputStream) throws IOException,ClassNotFoundException

　　{

　　inputStream.defaultReadObject();//defaultReadObject()補充自動序列化

　　InetAddress oAddress=(InetAddress)inputStream.readObject();

　　int iPort =inputStream.readInt();

　　oSocket = new Socket(oAddress,iPort);

　　iID=getID();

　　dtToday =new Date();

　　}

　　完全定制序列化過程:

　　如果一個類要完全負責自己的序列化，則實現Externalizable接口而不是Serializable接口。Externalizable接口定義包括兩個方法writeExternal()與readExternal()。利用這些方法可以控制對象數據成員如何寫入字節流.類實現Externalizable時，頭寫入對象流中，然後類完全負責序列化和恢復數據成員，除了頭以外，根本沒有自動序列化。這裡要注意了。聲明類實現Externalizable接口會有重大的安全風險。writeExternal()與readExternal()方法聲明為public，惡意類可以用這些方法讀取和寫入對象數據。如果對象包含敏感信息，則要格外小心。這包括使用安全套接或加密整個字節流。

　　處理對象流：(序列化過程和反序列化過程)

　　java.io包有兩個序列化對象的類。ObjectOutputStream負責將對象寫入字節流，ObjectInputStream從字節流重構對象。

　　我們先了解ObjectOutputStream類吧。ObjectOutputStream類擴展DataOutput接口。

　　writeObject()方法是最重要的方法，用於對象序列化。如果對象包含其他對象的引用，則writeObject()方法遞歸序列化這些對象。每個ObjectOutputStream維護序列化的對象引用表，防止發送同一對象的多個拷貝。(這點很重要)由於writeObject()可以序列化整組交叉引用的對象，因此同一ObjectOutputStream實例可能不小心被請求序列化同一對象。這時，進行反引用序列化，而不是再次寫入對象字節流。

　　下面，讓我們從例子中來了解ObjectOutputStream這個類吧。

　　// 序列化 today's date 到一個文件中.

　　FileOutputStream f = new FileOutputStream("tmp");

　　ObjectOutputStream s = new ObjectOutputStream(f);

　　s.writeObject("Today");

　　s.writeObject(new Date());

　　s.flush();

　　現在，讓我們來了解ObjectInputStream這個類。它與ObjectOutputStream相似。它擴展DataInput接口。ObjectInputStream中的方法鏡像DataInputStream中讀取Java基本數據類型的公開方法。readObject()方法從字節流中反序列化對象。每次調用readObject()方法都返回流中下一個Object。對象字節流並不傳輸類的字節碼，而是包括類名及其簽名。readObject()收到對象時，JVM裝入頭中指定的類。如果找不到這個類，則readObject()拋出ClassNotFoundException,如果需要傳輸對象數據和字節碼，則可以用RMI框架。ObjectInputStream的其余方法用於定制反序列化過程。