对象序列化 - 一个对象可以被表示为一个字节序列,保存对象的类型信息、对象的数据,还有对象中的数据类型,以便存储或传输。
反序列化 - 将序列化对象写入文件之后,可以从文件中读取出来,并且对它进行反序列化,也就是说,对象的类型信息、对象的数据,还有对象中的数据类型可以用来在内存中新建对象。
对象序列化带来了方便,也带来了风险:敏感数据的泄露,被劫持后被反序列化进行修改,无法保证数据来源的安全性。
应对策略:
1. 关键字transient - 修饰敏感数据的变量,该变量就不会被序列化。
2. 对数据先签名后加密。
如何序列化?
查看该类的文档确认一个 Java 标准类是否是可序列化。
一个类的实例是否能序列化,取决于该类有没有实现 java.io.Serializable接口。