Java原生序列化仅适用于同构Java环境的临时状态快照,存在跨语言不支持、安全风险(如敏感字段泄露)、性能差及反序列化失败等问题,不适合业务对象持久化。
Java原生序列化(Serializable)能快速实现对象持久化,但仅适用于同构Java环境、不跨语言、且存在安全与性能隐患——它不是通用数据存储方案,而是JVM内部的临时状态快照机制。
为什么不能直接用ObjectOutputStream存业务对象到文件就完事?
看似简单,实际踩坑密集:
-
serialVersionUID缺失会导致类结构微调后反序列化直接抛InvalidClassException - 未声明为
transient的敏感字段(如密码、连接池)会被一并序列化,造成泄露 - 包含
Thread、Socket、InputStream等非序列化类型字段时,运行时报NotSerializableException - 序列化后的二进制格式不可读、不可调试、无法被其他语言解析
如何安全地让一个类支持序列化?
必须显式控制可序列化边界,而非仅加implements Serializable:
- 始终手动定义
private static final long serialVersionUID = 1L;(建议用IDE生成唯一值) - 用
transient标记不应持久化的字段,例如private transient String authToken; - 若需自定义序列化逻辑(如加密/解密字段),重写
private void writeObject(ObjectOutputStream out)和private void readObject(ObjectInputStream in) - 避免序列化持有外部资源的对象(如数据库连接、线程句柄),它们在反序列化后必然失效
public class User implements Serializable {
private static final long serialVersionUID = -329847123456789L;
private String name;
private transient String password; // 不参与序列化
private int age;
private void writeObject(ObjectOutputStream out) throws IOException {
out.defaultWriteObject(); // 先序列化非transient字段
out.writeUTF(encrypt(password)); // 手动加密写入
}
private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
in.defaultReadObject();
this.password = decrypt(in.readUTF()); // 手动解密读取
}
}
ObjectOutputStream写文件和ObjectInputStream读文件的典型陷阱
底层是字节流操作,路径、流关闭、异常处理稍有疏忽就会静默失败或文件损坏:
- 必须用
try-with-resources确保ObjectOutputStream和FileOutputStream都被关闭,否则可能只写入部分头信息,导致后续读取报StreamCorruptedException - 多次
writeObject()写
入同一
ObjectOutputStream实例,对象引用会被缓存;若想重复写相同对象且希望每次都是独立副本,需调用reset() - 反序列化时类路径必须与序列化时完全一致(包括包名、类名、
serialVersionUID),否则ClassNotFoundException或InvalidClassException无法绕过 - 不要把序列化文件当数据库用——没有并发控制、无事务、无索引,多线程同时读写大概率损坏
真正需要跨进程/跨语言/长期存储时,应转向JSON(Jackson)、Protobuf(protobuf-java)或数据库。Java序列化只适合极短生命周期的场景:RMI参数传递、单机缓存临时快照、测试中模拟对象状态保存。
