Java 反序列化

1. 序列化与反序列化

面向对象的世界中，数据封装为类的属性，对数据进行处理的算法或者说逻辑封装为类的方法，程序的结构就是对象的调用。我们面向对象开发，当然希望对象可以复用，所以需要传输或存储对象。

---

程序运行后是存放在内存中的，我们在源代码中new Student("mingsec",7)，这个类及对象是JVM在负责管理，其在内存中的物理结构可能是散乱在各个物理地址空间的01比特流，也可能是一段连续的地址空间。JVM抽象了底层的一切，使Java程序员可以以“面向对象”这种逻辑视图进行程序开发。

要想将内存中的一个对象发送给另一台机器上的JVM进程使用，就需要足够的信息：

• 对象的类型（是什么类）
• 对象的状态（属性的值）
• 附加信息

那么，我们就需要定义一个数据格式，规定提取出来的对象数据是怎样组织的。与之相对应我们需要两个程序：

• 读取类元数据、内存中的对象状态等信息，输出一个规范格式字节流/字符流（序列化）
• 读取一个规范格式的字节流/字符流，解析输出一个对象（反序列化）

2. Java中的序列化与反序列化

学习过PHP的应该知道，PHP中的序列化是将对象组织为一个字符流，即一个字符串。在Java原生提供的序列化中，输出的一个字节流，即一个二进制数据文件。

关于Java中序列化的格式规范，官方文档给出了详细说明，也在相应的类中定义了格式标记位。想要深入了解规范，追着AI问或者自行阅读官方文档。

Java中的对象想要支持序列化，其类需要实现Serialiable接口。这个接口只起到标记作用，告诉JVM该类的对象是可序列化的。实现序列化和反序列化的功能由java.base模块里的java.io包下的ObjectInputStream和ObjectOutputStream类提供，下图给出一个序列化的demo.

---

Java序列化的数据以标记AC ED 00 05开头，base64编码的特征为rO0AB。我们看一下官方文档协议格式定义给的类源码：

3. 方法调用链

1. 序列化主要方法调用链（Java 层面 → JVM 本地方法）：

ObjectOutputStream.writeObject(Object obj)→ writeObject0(Object obj, boolean unshared)→ writeOrdinaryObject(Object obj, ObjectStreamClass desc, boolean unshared)→ writeSerialData(Object obj, ObjectStreamClass desc)→ DataOutputStream.writeInt(int val)→ JVM_WriteInt (C/C++ 实现) // 本地方法写入基本类型

2. 反序列化主要方法调用链（Java 层面 → JVM 本地方法）：

ObjectInputStream.readObject()→ readObject0(boolean unshared)→ readOrdinaryObject(boolean unshared)→ ObjectStreamClass.newInstance() → JVM_NewInstanceFromConstructor (C/C++ 实现) // 本地方法创建对象→ readSerialData(Object obj, ObjectStreamClass desc)→ Field.set(Object obj, Object value) → JVM_SetField (C/C++ 实现) // 本地方法设置字段值

4. 参考

[1] Java序列化格式详解
[2] 官方文档：Java Object Serialization Specification
[3] Java安全小白的入门心得 - java反序列化
[4] 通义qwen3
[5] deepseek