<address id="xpjh9"><listing id="xpjh9"><meter id="xpjh9"></meter></listing></address>

<address id="xpjh9"><address id="xpjh9"><listing id="xpjh9"></listing></address></address>
<noframes id="xpjh9">
<noframes id="xpjh9">

<address id="xpjh9"><address id="xpjh9"><listing id="xpjh9"></listing></address></address>
    <form id="xpjh9"></form><address id="xpjh9"><listing id="xpjh9"><menuitem id="xpjh9"></menuitem></listing></address>

      <noframes id="xpjh9">
      VB.net 2010 視頻教程 VB.net 2010 視頻教程 VB.net 2010 視頻教程
      SQL Server 2008 視頻教程 c#入門經典教程 Visual Basic從門到精通視頻教程
      當前位置:
      首頁 > 編程開發 > Java教程 >
      • java教程之關于 Java Collections API 您不知道的 5 件事

      • 2016-07-18 12:57 來源:未知
       

       

      出現在套接字流中,這顯然容易招致哪怕最簡單的安全問題。
      幸運的是,序列化允許 “hook” 序列化過程,并在序列化之前和反序列化之后保護(或模糊化)字段數據。可以通過在 Serializable 對象上提供一個 writeObject 方法來做到這一點。
      模糊化序列化數據
      假設 Person 類中的敏感數據是 age 字段。畢竟,女士忌談年齡。我們可以在序列化之前模糊化該數據,將數位循環左移一位,然后在反序列化之后復位。(您可以開發更安全的算法,當前這個算法只是作為一個例子。)
      為了 “hook” 序列化過程,我們將在 Person 上實現一個 writeObject 方法;為了 “hook” 反序列化過程,我們將在同一個類上實現一個 readObject 方法。重要的是這兩個方法的細節要正確 — 如果訪問修改方法、參數或名稱不同于清單 4 中的內容,那么代碼將不被察覺地失敗,Person 的 age 將暴露。
      清單 4. 模糊化序列化數據(相關java教程)
      public class Person
          implements java.io.Serializable
      {
          public Person(String fn, String ln, int a)
          {
              this.firstName = fn; this.lastName = ln; this.age = a;
          }
       
          public String getFirstName() { return firstName; }
          public String getLastName() { return lastName; }
          public int getAge() { return age; }
          public Person getSpouse() { return spouse; }
          
          public void setFirstName(String value) { firstName = value; }
          public void setLastName(String value) { lastName = value; }
          public void setAge(int value) { age = value; }
          public void setSpouse(Person value) { spouse = value; }
       
          private void writeObject(java.io.ObjectOutputStream stream)
              throws java.io.IOException
          {
              // "Encrypt"/obscure the sensitive data
              age = age << 2;
              stream.defaultWriteObject();
          }
       
          private void readObject(java.io.ObjectInputStream stream)
              throws java.io.IOException, ClassNotFoundException
          {
              stream.defaultReadObject();
       
              // "Decrypt"/de-obscure the sensitive data
              age = age << 2;
          }
          
          public String toString()
          {
              return "[Person: firstName=" + firstName + 
                  " lastName=" + lastName +
                  " age=" + age +
                  " spouse=" + (spouse!=null ? spouse.getFirstName() : "[null]") +
                  "]";
          }      
       
          private String firstName;
          private String lastName;
          private int age;
          private Person spouse;
      }
      如果需要查看被模糊化的數據,總是可以查看序列化數據流/文件。而且,由于該格式被完全文檔化,即使不能訪問類本身,也仍可以讀取序列化流中的內容。

      1、  序列化的數據可以被簽名和密封

       

      上一個技巧假設您想模糊化序列化數據,而不是對其加密或者確保它不被修改。當然,通過使用 writeObject 和 readObject 可以實現密碼加密和簽名管理,但其實還有更好的方式。
      如果需要對整個對象進行加密和簽名,最簡單的是將它放在一個 javax.crypto.SealedObject 和/或 java.security.SignedObject 包裝器中。兩者都是可序列化的,所以將對象包裝在 SealedObject 中可以圍繞原對象創建一種 “包裝盒”。必須有對稱密鑰才能解密,而且密鑰必須單獨管理。同樣,也可以將 SignedObject 用于數據驗證,并且對稱密鑰也必須單獨管理。
      結合使用這兩種對象,便可以輕松地對序列化數據進行密封和簽名,而不必強調關于數字簽名驗證或加密的細節。很簡潔,是吧?

      2、  序列化允許將代理放在流中

       

      很多情況下,類中包含一個核心數據元素,通過它可以派生或找到類中的其他字段。在此情況下,沒有必要序列化整個對象。可以將字段標記為 transient,但是每當有方法訪問一個字段時,類仍然必須顯式地產生代碼來檢查它是否被初始化。
      如果首要問題是序列化,那么最好指定一個 flyweight 或代理放在流中。為原始 Person 提供一個 writeReplace 方法,可以序列化不同類型的對象來代替它。類似地,如果反序列化期間發現一個 readResolve 方法,那么將調用該方法,將替代對象提供給調用者。
      打包和解包代理
      writeReplace 和 readResolve 方法使 Person 類可以將它的所有數據(或其中的核心數據)打包到一個 PersonProxy 中,將它放入到一個流中,然后在反序列化時再進行解包。
      清單 5. 你完整了我,我代替了你
      class PersonProxy
          implements java.io.Serializable
      {
          public PersonProxy(Person orig)
          {
              data = orig.getFirstName() + "," + orig.getLastName() + "," + orig.getAge();
              if (orig.getSpouse() != null)
              {
                  Person spouse = orig.getSpouse();
                  data = data + "," + spouse.getFirstName() + "," + spouse.getLastName() + ","  
                    + spouse.getAge();
              }
          }
       
          public String data;
          private Object readResolve()
              throws java.io.ObjectStreamException
          {
              String[] pieces = data.split(",");
              Person result = new Person(pieces[0], pieces[1], Integer.parseInt(pieces[2]));
              if (pieces.length > 3)
              {
                  result.setSpouse(new Person(pieces[3], pieces[4], Integer.parseInt
                    (pieces[5])));
                  result.getSpouse().setSpouse(result);
              }
              return result;
          }
      }
       
      public class Person
          implements java.io.Serializable
      {
          public Person(String fn, String ln, int a)
          {
              this.firstName = fn; this.lastName = ln; this.age = a;
          }
       
          public String getFirstName() { return firstName; }
          public String getLastName() { return lastName; }
          public int getAge() { return age; }
          public Person getSpouse() { return spouse; }
       
          private Object writeReplace()
              throws java.io.ObjectStreamException
          {
              return new PersonProxy(this);
          }
          
          public void setFirstName(String value) { firstName = value; }
          public void setLastName(String value) { lastName = value; }
          public void setAge(int value) { age = value; }
          public void setSpouse(Person value) { spouse = value; }   
       
          public String toString()
          {
              return "[Person: firstName=" + firstName + 
                  " lastName=" + lastName +
                  " age=" + age +
                  " spouse=" + spouse.getFirstName() +
                  "]";
          }    
          
          private String firstName;
          private String lastName;
          private int age;
          private Person spouse;
      }
      注意,PersonProxy 必須跟蹤 Person 的所有數據。這通常意味著代理需要是 Person 的一個內部類,以便能訪問 private 字段。有時候,代理還需要追蹤其他對象引用并手動序列化它們,例如 Person 的 spouse。
      這種技巧是少數幾種不需要讀/寫平衡的技巧之一。例如,一個類被重構成另一種類型后的版本可以提供一個 readResolve 方法,以便靜默地將被序列化的對象轉換成新類型。類似地,它可以采用 writeReplace 方法將舊類序列化成新版本。

      3、  信任,但要驗證

       

      認為序列化流中的數據總是與最初寫到流中的數據一致,這沒有問題。但是,正如一位美國前總統所說的,“信任,但要驗證”。
      對于序列化的對象,這意味著驗證字段,以確保在反序列化之后它們仍具有正確的值,“以防萬一”。為此,可以實現 ObjectInputValidation 接口,并覆蓋 validateObject() 方法。如果調用該方法時發現某處有錯誤,則拋出一個 InvalidObjectException。
      相關教程
      江苏快3 辽源 | 海南海口 | 哈密 | 红河 | 泉州 | 博尔塔拉 | 迁安市 | 鸡西 | 嘉兴 | 蚌埠 | 邳州 | 霍邱 | 柳州 | 和田 | 海拉尔 | 株洲 | 兴化 | 宣城 | 固原 | 汕头 | 河源 | 江西南昌 | 无锡 | 伊犁 | 丽江 | 寿光 | 来宾 | 许昌 | 灵宝 | 巢湖 | 朔州 | 伊犁 | 山东青岛 | 云浮 | 大连 | 吉林 | 黑河 | 广西南宁 | 沧州 | 汉中 | 梅州 | 和县 | 黄石 | 鹤壁 | 三明 | 菏泽 | 澳门澳门 | 酒泉 | 诸暨 | 黄石 | 新余 | 余姚 | 商洛 | 韶关 | 朔州 | 商洛 | 瑞安 | 淄博 | 渭南 | 山东青岛 | 衢州 | 哈密 | 大庆 | 温州 | 三门峡 | 庆阳 | 台北 | 汉中 | 六盘水 | 潮州 | 贵港 | 潜江 | 济源 | 朔州 | 开封 | 甘孜 | 朔州 | 牡丹江 | 任丘 | 蚌埠 | 锦州 | 漳州 | 呼伦贝尔 | 六安 | 五指山 | 武安 | 定州 | 嘉峪关 | 余姚 | 哈密 | 中卫 | 吉林长春 | 永康 | 台山 | 贵港 | 保定 | 玉树 | 清远 | 舟山 | 平顶山 | 上饶 | 姜堰 | 吉林 | 松原 | 文昌 | 南阳 | 保亭 | 白城 | 常州 | 兴化 | 慈溪 | 临夏 | 赣州 |