? java亚博优惠活动之关于 Java Collections API 您不知道的 5 件事 亚博优惠活动,亚博体育网页版,亚博app怎么下载「官网直营」
VB.net 2010 视频亚博优惠活动 VB.net 2010 视频亚博优惠活动 VB.net 2010 视频亚博优惠活动
SQL Server 2008 视频亚博优惠活动 c#入门经典亚博优惠活动 Visual Basic从门到精通视频亚博优惠活动
  • java亚博优惠活动之关于 Java Collections API 您不知道的 5 件事

  • 2016-07-18 12:57 来源:未知
?

?

出现在套接字流中,这显然容易招致哪怕最简单的安全问题。
幸运的是,序列化允许?“hook”?序列化过程,并在序列化之前和反序列化之后保护(或模糊化)字段数据。可以通过在?Serializable?对象上提供一个?writeObject?方法来做到这一点。
模糊化序列化数据
假设?Person?类中的敏感数据是?age?字段。毕竟,女士忌谈年龄。我们可以在序列化之前模糊化该数据,将数位循环左移一位,然后在反序列化之后复位。(您可以开发更安全的算法,当前这个算法只是作为一个例子。)
为了?“hook”?序列化过程,我们将在?Person?上实现一个?writeObject?方法;为了?“hook”?反序列化过程,我们将在同一个类上实现一个?readObject?方法。重要的是这两个方法的细节要正确?—?如果访问修改方法、参数或名称不同于清单?4?中的内容,那么代码将不被察觉地失败,Person?的?age?将暴露。
清单?4.?模糊化序列化数据(相关java亚博优惠活动)
public class Person
??? implements java.io.Serializable
{
??? public Person(String fn, String ln, int a)
??? {
??????? this.firstName = fn; this.lastName = ln; this.age = a;
??? }
?
??? public String getFirstName() { return firstName; }
??? public String getLastName() { return lastName; }
??? public int getAge() { return age; }
??? public Person getSpouse() { return spouse; }
??? 
????public void setFirstName(String value) { firstName = value; }
??? public void setLastName(String value) { lastName = value; }
??? public void setAge(int value) { age = value; }
??? public void setSpouse(Person value) { spouse = value; }
?
??? private void writeObject(java.io.ObjectOutputStream stream)
??????? throws java.io.IOException
??? {
??????? // "Encrypt"/obscure the sensitive data
??????? age = age << 2;
??????? stream.defaultWriteObject();
??? }
?
??? private void readObject(java.io.ObjectInputStream stream)
??????? throws java.io.IOException, ClassNotFoundException
??? {
??????? stream.defaultReadObject();
?
??????? // "Decrypt"/de-obscure the sensitive data
??????? age = age << 2;
??? }
??? 
????public String toString()
??? {
??????? return "[Person: firstName=" + firstName + 
????????????" lastName=" + lastName +
??????????? " age=" + age +
???????? ???" spouse=" + (spouse!=null ? spouse.getFirstName() : "[null]") +
??????????? "]";
??? }????? 
?
??? private String firstName;
??? private String lastName;
??? private int age;
??? private Person spouse;
}
如果需要查看被模糊化的数据,总是可以查看序列化数据流/文件。而且,由于该格式被完全文档化,即使不能访问类本身,也仍可以读取序列化流中的内容。

1、??序列化的数据可以被签名和密封

?

上一个技巧假设您想模糊化序列化数据,而不是对其加密或者确保它不被修改。当然,通过使用?writeObject?和?readObject?可以实现密码加密和签名管理,但其实还有更好的方式。
如果需要对整个对象进行加密和签名,最简单的是将它放在一个?javax.crypto.SealedObject?和/或?java.security.SignedObject?包装器中。两者都是可序列化的,所以将对象包装在?SealedObject?中可以围绕原对象创建一种?“包装盒”。必须有对称密钥才能解密,而且密钥必须单独管理。同样,也可以将?SignedObject?用于数据验证,并且对称密钥也必须单独管理。
结合使用这两种对象,便可以轻松地对序列化数据进行密封和签名,而不必强调关于数字签名验证或加密的细节。很简洁,是吧?

2、??序列化允许将代理放在流中

?

很多情况下,类中包含一个核心数据元素,通过它可以派生或找到类中的其他字段。在此情况下,没有必要序列化整个对象。可以将字段标记为?transient,但是每当有方法访问一个字段时,类仍然必须显式地产生代码来检查它是否被初始化。
如果首要问题是序列化,那么最好指定一个?flyweight?或代理放在流中。为原始?Person?提供一个?writeReplace?方法,可以序列化不同类型的对象来代替它。类似地,如果反序列化期间发现一个?readResolve?方法,那么将调用该方法,将替代对象提供给调用者。
打包和解包代理
writeReplace?和?readResolve?方法使?Person?类可以将它的所有数据(或其中的核心数据)打包到一个?PersonProxy?中,将它放入到一个流中,然后在反序列化时再进行解包。
清单?5.?你完整了我,我代替了你
class PersonProxy
??? implements java.io.Serializable
{
??? public PersonProxy(Person orig)
??? {
??????? data = orig.getFirstName() + "," + orig.getLastName() + "," + orig.getAge();
??????? if (orig.getSpouse() != null)
??????? {
??????????? Person spouse = orig.getSpouse();
??????????? data = data + "," + spouse.getFirstName() + "," + spouse.getLastName() + ","? 
??????????????+ spouse.getAge();
??????? }
??? }
?
??? public String data;
??? private Object readResolve()
??????? throws java.io.ObjectStreamException
??? {
??????? String[] pieces = data.split(",");
??????? Person result = new Person(pieces[0], pieces[1], Integer.parseInt(pieces[2]));
??????? if (pieces.length > 3)
??????? {
??????????? result.setSpouse(new Person(pieces[3], pieces[4], Integer.parseInt
????????????? (pieces[5])));
??????????? result.getSpouse().setSpouse(result);
??????? }
??????? return result;
??? }
}
?
public class Person
??? implements java.io.Serializable
{
??? public Person(String fn, String ln, int a)
??? {
??????? this.firstName = fn; this.lastName = ln; this.age = a;
??? }
?
??? public String getFirstName() { return firstName; }
??? public String getLastName() { return lastName; }
??? public int getAge() { return age; }
??? public Person getSpouse() { return spouse; }
?
??? private Object writeReplace()
??????? throws java.io.ObjectStreamException
??? {
??????? return new PersonProxy(this);
??? }
??? 
????public void setFirstName(String value) { firstName = value; }
??? public void setLastName(String value) { lastName = value; }
??? public void setAge(int value) { age = value; }
??? public void setSpouse(Person value) { spouse = value; }?? 
?
??? public String toString()
??? {
??????? return "[Person: firstName=" + firstName + 
????????????" lastName=" + lastName +
??????????? " age=" + age +
??????????? " spouse=" + spouse.getFirstName() +
??????????? "]";
??? }??? 
????
????private String firstName;
??? private String lastName;
??? private int age;
??? private Person spouse;
}
注意,PersonProxy?必须跟踪?Person?的所有数据。这通常意味着代理需要是?Person?的一个内部类,以便能访问?private?字段。有时候,代理还需要追踪其他对象引用并手动序列化它们,例如?Person?的?spouse。
这种技巧是少数几种不需要读/写平衡的技巧之一。例如,一个类被重构成另一种类型后的版本可以提供一个?readResolve?方法,以便静默地将被序列化的对象转换成新类型。类似地,它可以采用?writeReplace?方法将旧类序列化成新版本。

3、??信任,但要验证

?

认为序列化流中的数据总是与最初写到流中的数据一致,这没有问题。但是,正如一位美国前总统所说的,“信任,但要验证”。
对于序列化的对象,这意味着验证字段,以确保在反序列化之后它们仍具有正确的值,“以防万一”。为此,可以实现?ObjectInputValidation?接口,并覆盖?validateObject()?方法。如果调用该方法时发现某处有错误,则抛出一个?InvalidObjectException。
相关亚博优惠活动