参考链接：

Java 序列化与反序列化_Jacks丶的博客-CSDN博客_java反序列化

1 序列化与反序列化的概念

Java 序列化是指：将对象转化成一个字节序列(二进制数据)的过程。

将序列化对象写入文件之后，可以从文件中读取出来，并且对它进行反序列化。

Java 反序列化是指：将一个对象的字节序列恢复成 Java 对象的过程。

一个平台中序列化的对象，可以在另一个平台中进行反序列化，因为这个过程是在 JVM 中独立完成的，可以依赖于 Java 的可移植性。

2 核心类与关键字总览

ObjectOutputStream：IO 类，包含序列化对象的方法，writeObject()

ObjectInputStream：IO 类，包含反序列化对象的方法，readObject()

上面两个 IO 流类是高层次的数据库，需要借助文件流进行序列化与反序列化操作。

Serializable ，接口，是一个标志性接口，标识可以在 JVM 中进行序列化，JVM 会为该类自动生成一个序列化版本号。参与序列化与反序列化的类必须实现 Serializable 接口。

serialVersionUID，类属性，序列化版本号，用于给 JVM 区别同名类，没有提供版本号，JVM会默认提供序列化版本号。

transient，关键字，当序列化时，不希望某些属性参与，则可以使用这个关键字标注该属性。

3 序列化与反序列化的过程

内存中的数据信息被拆分成一小块一小块的部分，为每个小块设置编号，然后存放到硬盘文件中，也就是将 Java 对象对象的状态保存下来存储到文件中的过程就叫做序列化。

将硬盘中保存了 Java 对象状态的字节序列按照编号组装成对象恢复到内存中，这个过程称为反序列化。

3 应用示例

参与序列化和反序列化的 Java 类

public class Student implements Serializable {private String name;private int age;//  以下省略有参构造、无参构造、set、get、toString
}

参与序列化和反序列化的类必须实现 Serializable 接口。

序列化操作

public static void main(String[] args) throws Exception {//  创建 Java 对象Student student = new Student("张三",22);//  对象输出流ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("student"));// 使用 writeObject 序列化对象oos.writeObject(student);// 刷新oos.flush();//  关闭流oos.close();
}

序列化后的二进制文件会被保存到文件输出流指定的路径。

反序列化操作

public static void main(String[] args) throws Exception {//  对象输入流ObjectInputStream ois = new ObjectInputStream(new FileInputStream("student"));//  使用 readObject() 反序列化  Object obj = ois.readObject();//  使用对象System.out.println(obj);//  关闭流ois.close();
}

反序列化需要借助文件输入流读取指定路径的二进制文件。

4 序列化版本号的作用 serialVersionUID

JVM 首先会通过类名来区分 Java 类，类名不同，则不是同一个类。当类名相同时，JVM 就会通过序列化版本号来区分 Java 类，如果序列化版本号相同就为同一个类，序列化版本号不同就为不同的类。
在序列化一个对象时，如果没有指定序列化版本号，后期对该类的源码进行修改并重新编译后，会导致修改前后的序列化版本号不一致，因为 JVM 会提供一个新的序列化版本号给该类对象。
此时再用以往的反序列化代码去反序列化该类的对象，就会抛出异常 java.io.InvalidClassException ，所以序列化一个类时最好指定一个序列化版本号，或者永远不修改此类。

public class Student implements Serializable {private static final Long serialVersionUID = 1L;
}

由 JVM 提供序列化版本号的好处是，同名却不同功能的类，会有两个不同的序列化版本号，JVM 可以通过序列化版本号加以区分，缺点是一旦修改源码，会重新提供序列化版本号，导致修改前后的序列化版本号不一致，进行反序列化时会出现运行出现异常。
由开发人员手动提供序列化版本号的好处是，当修改了被序列化类的源码后，以往写的反序列化代码依然可以使用，如 JDK 中的 String 类。以便后期进行增强和维护不会影响使用。

在这里插入图片描述

5 transient 关键字

这个关键字表示游离的，不参与序列化的。
在序列化一个对象时，如果不希望某个属性参加序列化，可以使用 transient 修饰该属性。
被该关键字修饰的属性不会参与到序列化中。

public class Student implements Serializable {private static final Long serialVersionUID = 1L;private String name;private transient int age;
}

如上类，在序列化时就不会保存 age 属性，在反序列化时就不能恢复出该属性，默认恢复成 null 或 0 ，由属性类型决定。

6 序列化的好处及应用场景

序列化会将内存中对象的状态转换成二进制文件保存到磁盘当中，当再次使用时会从磁盘中读取该二进制文件，将 Java 对象的状态恢复到内存中。
当你想把内存中的对象保存到磁盘文件或数据库中时可以使用序列化。
当你想在网络传输中传送 Java 对象时，可以使用序列化。
当你想通过 RMI 传输对象时，可以使用序列化。

7 序列化注意事项

序列化只会保存对象的属性状态，不会保存对象中的方法。
父类实现了 Serializable 接口，则其子类也自动实例化了该接口，也就是说子类不用显式实现 Serializable 接口也能参与序列化和反序列化。
一个对象 A 的实例变量引用了其他对象 B，在 A 对象实例化的过程中，也会序列化 B ，前提是 A、B 两个类都实现了 Serializable 接口。
当一个类实现 Serializable 接口时，最好手动指定一个序列化版本号(serialVersionUID)，避免修改源代码后导致反序列化出现异常。
当一个类对象会被多次重复使用，且一般不会对其属性做修改，就可以对其进行序列化。例如数据库操作中的实体类。

参考链接：java序列化，看这篇就够了 - 9龙 - 博客园

一、序列化的含义、意义及使用场景

序列化：将对象写入到IO流中
反序列化：从IO流中恢复对象
意义：序列化机制允许将实现序列化的Java对象转换位字节序列，这些字节序列可以保存在磁盘上，或通过网络传输，以达到以后恢复成原来的对象。序列化机制使得对象可以脱离程序的运行而独立存在。
使用场景：所有可在网络上传输的对象都必须是可序列化的，比如RMI（remote method invoke,即远程方法调用），传入的参数或返回的对象都是可序列化的，否则会出错；所有需要保存到磁盘的java对象都必须是可序列化的。通常建议：程序创建的每个JavaBean类都实现Serializeable接口。

二、序列化实现的方式

如果需要将某个对象保存到磁盘上或者通过网络传输，那么这个类应该实现Serializable接口或者Externalizable接口之一。

1、Serializable

1.1 普通序列化

Serializable接口是一个标记接口，不用实现任何方法。一旦实现了此接口，该类的对象就是可序列化的。

序列化步骤：

步骤一：创建一个ObjectOutputStream输出流；
步骤二：调用ObjectOutputStream对象的writeObject输出可序列化对象。

public class Person implements Serializable {private String name;private int age;//我不提供无参构造器public Person(String name, int age) {this.name = name;this.age = age;}@Overridepublic String toString() {return "Person{" +"name='" + name + '\'' +", age=" + age +'}';}
}public class WriteObject {public static void main(String[] args) {try (//创建一个ObjectOutputStream输出流ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("object.txt"))) {//将对象序列化到文件sPerson person = new Person("9龙", 23);oos.writeObject(person);} catch (Exception e) {e.printStackTrace();}}
}

反序列化步骤：

步骤一：创建一个ObjectInputStream输入流；
步骤二：调用ObjectInputStream对象的readObject()得到序列化的对象。

我们将上面序列化到person.txt的person对象反序列化回来

public class Person implements Serializable {private String name;private int age;//我不提供无参构造器public Person(String name, int age) {System.out.println("反序列化，你调用我了吗？");this.name = name;this.age = age;}@Overridepublic String toString() {return "Person{" +"name='" + name + '\'' +", age=" + age +'}';}
}public class ReadObject {public static void main(String[] args) {try (//创建一个ObjectInputStream输入流ObjectInputStream ois = new ObjectInputStream(new FileInputStream("person.txt"))) {Person brady = (Person) ois.readObject();System.out.println(brady);} catch (Exception e) {e.printStackTrace();}}
}
//输出结果
//Person{name='9龙', age=23}

waht???? 输出告诉我们，反序列化并不会调用构造方法。反序列的对象是由JVM自己生成的对象，不通过构造方法生成。

1.2 成员是引用的序列化

如果一个可序列化的类的成员不是基本类型，也不是String类型，那这个引用类型也必须是可序列化的；否则，会导致此类不能序列化。

看例子，我们新增一个Teacher类。将Person去掉实现Serializable接口代码。

public class Person{//省略相关属性与方法
}
public class Teacher implements Serializable {private String name;private Person person;public Teacher(String name, Person person) {this.name = name;this.person = person;}public static void main(String[] args) throws Exception {try (ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("teacher.txt"))) {Person person = new Person("路飞", 20);Teacher teacher = new Teacher("雷利", person);oos.writeObject(teacher);}}
}

我们看到程序直接报错，因为Person类的对象是不可序列化的，这导致了Teacher的对象不可序列化

1.3 同一对象序列化多次的机制

同一对象序列化多次，会将这个对象序列化多次吗？答案是否定的。

public class WriteTeacher {public static void main(String[] args) throws Exception {try (ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("teacher.txt"))) {Person person = new Person("路飞", 20);Teacher t1 = new Teacher("雷利", person);Teacher t2 = new Teacher("红发香克斯", person);//依次将4个对象写入输入流oos.writeObject(t1);oos.writeObject(t2);oos.writeObject(person);oos.writeObject(t2);}}
}

依次将t1、t2、person、t2对象序列化到文件teacher.txt文件中。

注意：反序列化的顺序与序列化时的顺序一致。

public class ReadTeacher {public static void main(String[] args) {try (ObjectInputStream ois = new ObjectInputStream(new FileInputStream("teacher.txt"))) {Teacher t1 = (Teacher) ois.readObject();Teacher t2 = (Teacher) ois.readObject();Person p = (Person) ois.readObject();Teacher t3 = (Teacher) ois.readObject();System.out.println(t1 == t2);System.out.println(t1.getPerson() == p);System.out.println(t2.getPerson() == p);System.out.println(t2 == t3);System.out.println(t1.getPerson() == t2.getPerson());} catch (Exception e) {e.printStackTrace();}}
}
//输出结果
//false
//true
//true
//true
//true

从输出结果可以看出，Java序列化同一对象，并不会将此对象序列化多次得到多个对象。

Java序列化算法

所有保存到磁盘的对象都有一个序列化编码号
当程序试图序列化一个对象时，会先检查此对象是否已经序列化过，只有此对象从未（在此虚拟机）被序列化过，才会将此对象序列化为字节序列输出。
如果此对象已经序列化过，则直接输出编号即可。

图示上述序列化过程。

1.4 java序列化算法潜在的问题

由于java序利化算法不会重复序列化同一个对象，只会记录已序列化对象的编号。如果序列化一个可变对象（对象内的内容可更改）后，更改了对象内容，再次序列化，并不会再次将此对象转换为字节序列，而只是保存序列化编号。

public class WriteObject {public static void main(String[] args) {try (ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("person.txt"));ObjectInputStream ios = new ObjectInputStream(new FileInputStream("person.txt"))) {//第一次序列化personPerson person = new Person("9龙", 23);oos.writeObject(person);System.out.println(person);//修改nameperson.setName("海贼王");System.out.println(person);//第二次序列化personoos.writeObject(person);//依次反序列化出p1、p2Person p1 = (Person) ios.readObject();Person p2 = (Person) ios.readObject();System.out.println(p1 == p2);System.out.println(p1.getName().equals(p2.getName()));} catch (Exception e) {e.printStackTrace();}}
}
//输出结果
//Person{name='9龙', age=23}
//Person{name='海贼王', age=23}
//true
//true

1.5 可选的自定义序列化

1. 有些时候，我们有这样的需求，某些属性不需要序列化。使用transient关键字选择不需要序列化的字段。

public class Person implements Serializable {//不需要序列化名字与年龄private transient String name;private transient int age;private int height;private transient boolean singlehood;public Person(String name, int age) {this.name = name;this.age = age;}//省略get,set方法
}public class TransientTest {public static void main(String[] args) throws Exception {try (ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("person.txt"));ObjectInputStream ios = new ObjectInputStream(new FileInputStream("person.txt"))) {Person person = new Person("9龙", 23);person.setHeight(185);System.out.println(person);oos.writeObject(person);Person p1 = (Person)ios.readObject();System.out.println(p1);}}
}
//输出结果
//Person{name='9龙', age=23', singlehood=true', height=185cm}
//Person{name='null', age=0', singlehood=false', height=185cm}

从输出我们看到，使用transient修饰的属性，java序列化时，会忽略掉此字段，所以反序列化出的对象，被transient修饰的属性是默认值。对于引用类型，值是null；基本类型，值是0；boolean类型，值是false。

2. 使用transient虽然简单，但将此属性完全隔离在了序列化之外。java提供了可选的自定义序列化。可以进行控制序列化的方式，或者对序列化数据进行编码加密等。

private void writeObject(java.io.ObjectOutputStream out) throws IOException；
private void readObject(java.io.ObjectIutputStream in) throws IOException,ClassNotFoundException;
private void readObjectNoData() throws ObjectStreamException;

通过重写writeObject与readObject方法，可以自己选择哪些属性需要序列化，哪些属性不需要。如果writeObject使用某种规则序列化，则相应的readObject需要相反的规则反序列化，以便能正确反序列化出对象。这里展示对名字进行反转加密。

public class Person implements Serializable {private String name;private int age;//省略构造方法，get及set方法private void writeObject(ObjectOutputStream out) throws IOException {//将名字反转写入二进制流out.writeObject(new StringBuffer(this.name).reverse());out.writeInt(age);}private void readObject(ObjectInputStream ins) throws IOException,ClassNotFoundException{//将读出的字符串反转恢复回来this.name = ((StringBuffer)ins.readObject()).reverse().toString();this.age = ins.readInt();}
}

当序列化流不完整时，readObjectNoData()方法可以用来正确地初始化反序列化的对象。例如，使用不同类接收反序列化对象，或者序列化流被篡改时，系统都会调用readObjectNoData()方法来初始化反序列化的对象。

3. 更彻底的自定义序列化

ANY-ACCESS-MODIFIER Object writeReplace() throws ObjectStreamException;
ANY-ACCESS-MODIFIER Object readResolve() throws ObjectStreamException;

writeReplace：在序列化时，会先调用此方法，再调用writeObject方法。此方法可将任意对象代替目标序列化对象

public class Person implements Serializable {private String name;private int age;//省略构造方法，get及set方法private Object writeReplace() throws ObjectStreamException {ArrayList<Object> list = new ArrayList<>(2);list.add(this.name);list.add(this.age);return list;}public static void main(String[] args) throws Exception {try (ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("person.txt"));ObjectInputStream ios = new ObjectInputStream(new FileInputStream("person.txt"))) {Person person = new Person("9龙", 23);oos.writeObject(person);ArrayList list = (ArrayList)ios.readObject();System.out.println(list);}}
}
//输出结果
//[9龙, 23]

readResolve：反序列化时替换反序列化出的对象，反序列化出来的对象被立即丢弃。此方法在readeObject后调用。

public class Person implements Serializable {private String name;private int age;//省略构造方法，get及set方法private Object readResolve() throws ObjectStreamException{return new ("brady", 23);}public static void main(String[] args) throws Exception {try (ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("person.txt"));ObjectInputStream ios = new ObjectInputStream(new FileInputStream("person.txt"))) {Person person = new Person("9龙", 23);oos.writeObject(person);HashMap map = (HashMap)ios.readObject();System.out.println(map);}}
}
//输出结果
//{brady=23}

readResolve常用来反序列单例类，保证单例类的唯一性。

注意：readResolve与writeReplace的访问修饰符可以是private、protected、public，如果父类重写了这两个方法，子类都需要根据自身需求重写，这显然不是一个好的设计。通常建议对于final修饰的类重写readResolve方法没有问题；否则，重写readResolve使用private修饰。

2、Externalizable：强制自定义序列化

通过实现Externalizable接口，必须实现writeExternal、readExternal方法。

public interface Externalizable extends java.io.Serializable {void writeExternal(ObjectOutput out) throws IOException;void readExternal(ObjectInput in) throws IOException, ClassNotFoundException;
}

public class ExPerson implements Externalizable {private String name;private int age;//注意，必须加上pulic 无参构造器public ExPerson() {}public ExPerson(String name, int age) {this.name = name;this.age = age;}@Overridepublic void writeExternal(ObjectOutput out) throws IOException {//将name反转后写入二进制流StringBuffer reverse = new StringBuffer(name).reverse();System.out.println(reverse.toString());out.writeObject(reverse);out.writeInt(age);}@Overridepublic void readExternal(ObjectInput in) throws IOException, ClassNotFoundException {//将读取的字符串反转后赋值给name实例变量this.name = ((StringBuffer) in.readObject()).reverse().toString();System.out.println(name);this.age = in.readInt();}public static void main(String[] args) throws IOException, ClassNotFoundException {try (ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("ExPerson.txt"));ObjectInputStream ois = new ObjectInputStream(new FileInputStream("ExPerson.txt"))) {oos.writeObject(new ExPerson("brady", 23));ExPerson ep = (ExPerson) ois.readObject();System.out.println(ep);}}
}
//输出结果
//ydarb
//brady
//ExPerson{name='brady', age=23}

注意：Externalizable接口不同于Serializable接口，实现此接口必须实现接口中的两个方法实现自定义序列化，这是强制性的；特别之处是必须提供pulic的无参构造器，因为在反序列化的时候需要反射创建对象。

3、两种序列化对比

实现Serializable接口	实现Externalizable接口
系统自动存储必要的信息	程序员决定存储哪些信息
Java内建支持，易于实现，只需要实现该接口即可，无需任何代码支持	必须实现接口内的两个方法
性能略差	性能略好

虽然Externalizable接口带来了一定的性能提升，但变成复杂度也提高了，所以一般通过实现Serializable接口进行序列化。

三、序列化版本号serialVersionUID

我们知道，反序列化必须拥有class文件，但随着项目的升级，class文件也会升级，序列化怎么保证升级前后的兼容性呢？

java序列化提供了一个private static final long serialVersionUID 的序列化版本号，只有版本号相同，即使更改了序列化属性，对象也可以正确被反序列化回来。

public class Person implements Serializable {//序列化版本号private static final long serialVersionUID = 1111013L;private String name;private int age;//省略构造方法及get,set
}

如果反序列化使用的class的版本号与序列化时使用的不一致，反序列化会报InvalidClassException异常。

序列化版本号可自由指定，如果不指定，JVM会根据类信息自己计算一个版本号，这样随着class的升级，就无法正确反序列化；不指定版本号另一个明显隐患是，不利于jvm间的移植，可能class文件没有更改，但不同jvm可能计算的规则不一样，这样也会导致无法反序列化。

什么情况下需要修改serialVersionUID呢？分三种情况。

如果只是修改了方法，反序列化不容影响，则无需修改版本号；
如果只是修改了静态变量，瞬态变量（transient修饰的变量），反序列化不受影响，无需修改版本号；
如果修改了非瞬态变量，则可能导致反序列化失败。如果新类中实例变量的类型与序列化时类的类型不一致，则会反序列化失败，这时候需要更改serialVersionUID。如果只是新增了实例变量，则反序列化回来新增的是默认值；如果减少了实例变量，反序列化时会忽略掉减少的实例变量。