什么是序列化，什么是反序列化

简单来说：

• 序列化：将数据结构或对象转换成二进制字节流的过程
• 反序列化：将在序列化过程中所生成的二进制字节流转换成数据结构或者对象的过程

为什么要进行序列化

我们要将java对象进行网络传输，或者持久化到文件或者文件，数据库或者缓存当中的时候，我们就要进行序列化。将java对象序列化为二进制字节数据。

下面是序列化和反序列化常见应用场景：

• 对象在进行网络传输（比如远程方法调用 RPC 的时候）之前需要先被序列化，接收到序列化的对象之后需要再进行反序列化；
• 将对象存储到文件之前需要进行序列化，将对象从文件中读取出来需要进行反序列化；
• 将对象存储到数据库（如 Redis）之前需要用到序列化，将对象从缓存数据库中读取出来需要反序列化；
• 将对象存储到内存之前需要进行序列化，从内存中读取出来之后需要进行反序列化。

序列化的主要目的是通过网络传输对象或者说是将对象存储到文件系统、数据库、内存中。

如何进行序列化

JDK自带的序列化

@AllArgsConstructor
@NoArgsConstructor
@Getter
@Builder
@ToString
public class RpcRequest implements Serializable {private static final long serialVersionUID = 1905122041950251207L;private String requestId;private String interfaceName;private String methodName;private Object[] parameters;private Class<?>[] paramTypes;private RpcMessageTypeEnum rpcMessageTypeEnum;
}

serialVersionUID 有什么作用？

序列化号 serialVersionUID 属于版本控制的作用。反序列化时，会检查 serialVersionUID 是否和当前类的 serialVersionUID 一致。如果 serialVersionUID 不一致则会抛出 InvalidClassException 异常。强烈推荐每个序列化类都手动指定其 serialVersionUID，如果不手动指定，那么编译器会动态生成默认的 serialVersionUID

static 修饰的变量是静态变量，位于方法区，本身是不会被序列化的。但是，serialVersionUID 的序列化做了特殊处理，在序列化时，会将 serialVersionUID 序列化到二进制字节流中；在反序列化时，也会解析它并做一致性判断。

为什么不推荐使用 JDK 自带的序列化？

我们很少或者说几乎不会直接使用 JDK 自带的序列化方式，主要原因有下面这些原因：

• 不支持跨语言调用 : 如果调用的是其他语言开发的服务的时候就不支持了。
• 性能差：相比于其他序列化框架性能更低，主要原因是序列化之后的字节数组体积较大，导致传输成本加大。
• 存在安全问题：序列化和反序列化本身并不存在问题。但当输入的反序列化的数据可被用户控制，那么攻击者即可通过构造恶意输入，让反序列化产生非预期的对象，在此过程中执行构造的任意代码。

比较常用的序列化协议有 Hessian、Kryo、Protobuf、ProtoStuff，这些都是基于二进制的序列化协议。这里不做详细说明，可自行查询

如何不让某一个变量不进行序列化

对于不想进行序列化的变量，使用 transient 关键字修饰。

transient 关键字的作用是：阻止实例中那些用此关键字修饰的的变量序列化；当对象被反序列化时，被 transient 修饰的变量值不会被持久化和恢复。

关于 transient 还有几点注意：

• transient 只能修饰变量，不能修饰类和方法。
• transient 修饰的变量，在反序列化后变量值将会被置成类型的默认值。例如，如果是修饰 int 类型，那么反序列后结果就是 0。
• static 变量因为不属于任何对象(Object)，所以无论有没有 transient 关键字修饰，均不会被序列化。

探究transient是否能够序列化

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.io.Serializable;/*** @author 微信公众号：Java技术栈*/
public class TransientTest {public static void main(String[] args) throws Exception {User user = new User();user.setUsername("Java技术栈");user.setId("javastack");System.out.println("\n序列化之前");System.out.println("username: " + user.getUsername());System.out.println("id: " + user.getId());ObjectOutputStream os = new ObjectOutputStream(new FileOutputStream("d:/user.txt"));os.writeObject(user);os.flush();os.close();ObjectInputStream is = new ObjectInputStream(new FileInputStream("d:/user.txt"));user = (User) is.readObject();is.close();System.out.println("\n序列化之后");System.out.println("username: " + user.getUsername());System.out.println("id: " + user.getId());}
}/*** @author 微信公众号：Java技术栈*/
class User implements Serializable {private static final long serialVersionUID = 1L;private String username;private transient String id;public String getUsername() {return username;}public void setUsername(String username) {this.username = username;}public String getId() {return id;}public void setId(String id) {this.id = id;}}

结果

序列化之前
username: Java技术栈
id: javastack
 
序列化之后
username: Java技术栈
id: null 

示例1在 id 字段上加了 transient 关键字修饰，反序列化出来之后值为 null，说明了被 transient 修饰的变量不能被序列化。

但是 transient只作用于实现 Serializable 接口；

import java.io.Externalizable;
import java.io.File;
import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.IOException;
import java.io.ObjectInput;
import java.io.ObjectInputStream;
import java.io.ObjectOutput;
import java.io.ObjectOutputStream;/*** @author 微信公众号：Java技术栈*/
public class ExternalizableTest {public static void main(String[] args) throws Exception {User3 user = new User3();user.setUsername("Java技术栈");user.setId("javastack");ObjectOutput objectOutput = new ObjectOutputStream(new FileOutputStream(new File("javastack")));objectOutput.writeObject(user);ObjectInput objectInput = new ObjectInputStream(new FileInputStream(new File("javastack")));user = (User3) objectInput.readObject();System.out.println(user.getUsername());System.out.println(user.getId());objectOutput.close();objectInput.close();}}/*** @author 微信公众号：Java技术栈*/
class User3 implements Externalizable {private static final long serialVersionUID = 1L;public User3() {}private String username;private transient String id;public String getUsername() {return username;}public void setUsername(String username) {this.username = username;}public String getId() {return id;}public void setId(String id) {this.id = id;}@Overridepublic void writeExternal(ObjectOutput objectOutput) throws IOException {objectOutput.writeObject(id);}@Overridepublic void readExternal(ObjectInput objectInput) throws IOException, ClassNotFoundException {id = (String) objectInput.readObject();}}

结果

null
javastack

示例3的 id 被 transient 修改了，为什么还能序列化出来？那是因为 User3 实现了接口 Externalizable，而不是 Serializable。

在 Java 中有两种实现序列化的方式，Serializable 和 Externalizable，可能大部分人只知道 Serializable 而不知道 Externalizable。

这两种序列化方式的区别是：实现了 Serializable 接口是自动序列化的，实现 Externalizable 则需要手动序列化，通过 writeExternal 和 readExternal 方法手动进行，这也是为什么上面的 username 为 null 的原因了。

transient 关键字总结

1）transient修饰的变量不能被序列化；

2）transient只作用于实现 Serializable 接口；

3）transient只能用来修饰普通成员变量字段；

探究static是否能够序列化

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.io.Serializable;/*** @author 微信公众号：Java技术栈*/
public class TransientStaticTest {public static void main(String[] args) throws Exception {User2 user = new User2();User2.username = "Java技术栈1";user.setId("javastack");System.out.println("\n序列化之前");System.out.println("username: " + user.getUsername());System.out.println("id: " + user.getId());ObjectOutputStream os = new ObjectOutputStream(new FileOutputStream("d:/user.txt"));os.writeObject(user);os.flush();os.close();// 在反序列化出来之前，改变静态变量的值User2.username = "Java技术栈2";ObjectInputStream is = new ObjectInputStream(new FileInputStream("d:/user.txt"));user = (User2) is.readObject();is.close();System.out.println("\n序列化之后");System.out.println("username: " + user.getUsername());System.out.println("id: " + user.getId());}
}/*** @author 微信公众号：Java技术栈*/
class User2 implements Serializable {private static final long serialVersionUID = 1L;public static String username;private transient String id;public String getUsername() {return username;}public String getId() {return id;}public void setId(String id) {this.id = id;}}

结果

序列化之前
username: Java技术栈1
id: javastack
 
序列化之后
username: Java技术栈2
id: null

示例2把 username 改为了 public static, 并在反序列化出来之前改变了静态变量的值，结果可以看出序列化之后的值并非序列化进去时的值。

由以上结果分析可知，静态变量不能被序列化，示例2读取出来的是 username 在 JVM 内存中存储的值 ，不管有没有 transient 修饰，静态变量都不能被序列化；