Java对象创建有五种方式:new最常用但受限于编译期类型和构造器访问权限;Class.newInstance()已废弃,应改用Constructor.newInstance()并手动设accessible;反序列化跳过构造器直接还原字段;Unsafe.allocateInstance()绕过所有初始化逻辑,风险极高。
new 关键字是最常用但不是唯一方式
绝大多数 Java 对象通过 new 创建,它会触发类加载、内存分配、构造函数执行三步。但这个过程依赖编译期已知类型,且要求构造函数可访问——如果类是私有构造、无参构造被删、或仅提供带参构造而你没传对参数,new 就直接报错。
常见错误现象包括:java.lang.InstantiationException(抽象类/接口/无默认构造器)、java.lang.IllegalAccessException(构造器权限不足)。
- 适用于:类型明确、构造逻辑简单、无需绕过访问控制的场景
- 不适用于:需要动态创建未知类、绕过构造器逻辑(如反序列化)、或构造器被禁用(如单例/工具类)
- 注意:
new不会调用父类静态块以外的任何初始化逻辑,字段默认值赋值在构造器之前完成
Class.newInstance() 已废弃,改用 Constructor.newInstance()
Class.newInstance() 在 Java 9 中被标记为 @Deprecated,Java 14 起彻底移除。它隐式调用无参构造器,且无法处理受检异常、泛型擦除、访问权限等问题。
替代方案是显式获取 Constructor 并调用 newInstance():
立即学习“Java免费学习笔记(深入)”;
Class clazz = Class.forName("com.example.User");
Constructor ctor = clazz.getDeclaredConstructor(String.class, int.class);
ctor.setAccessible(true); // 绕过 private 限制
Object instance = ctor.newInstance("Alice", 25);
- 必须手动调用
setAccessible(true)才能访问 private 构造器 - 构造器参数类型必须严格匹配,不能靠自动装箱/拆箱(如传
int给Integer参数会抛NoSuchMethodException) - 抛出的是
InvocationTargetException,原始异常被包装在其getCause()中
反序列化(ObjectInputStream / JSON 库)跳过构造器执行
当对象实现 Serializable 并通过 ObjectInputStream 反序列化时,JVM 直接分配内存并还原字段值,**完全不调用任何构造器**(包括私有构造器)。这是实现“单例破坏防护”的关键点,也是很多框架(如 Spring AOP 代理、Hibernate 懒加载)内部实例化的底层机制。
eSiteGroup站群管理系统是基于eFramework低代码开发平台构建,是一款高度灵活、可扩展的智能化站群管理解决方案,全面支持SQL Server、SQLite、MySQL、Oracle等主流数据库,适配企业级高并发、轻量级本地化、云端分布式等多种部署场景。通过可视化建模与模块化设计,系统可实现多站点的快速搭建、跨平台协同管理及数据智能分析,满足政府、企业、教育机构等组织对多站点统一管控的
JSON 库(如 Jackson、Gson)行为类似但更灵活:默认尝试无参构造器;若不存在,则可能使用反射设字段(需开启 setAccessible),或走工厂方法(如 @JsonCreator)。
- Jackson 默认不调用构造器,除非显式标注
@JsonCreator - Gson 在无无参构造器时会抛
InstantiationException,除非配置GsonBuilder.disableInnerClassSerialization()或使用InstanceCreator - 字段值还原发生在构造器执行之后——所以构造器里对字段的初始化会被反序列化覆盖
Unsafe.allocateInstance() 绕过所有初始化逻辑
sun.misc.Unsafe 的 allocateInstance() 是 JVM 层最底层的实例化方式:它只分配内存、设置对象头,**连字段默认值都不赋**(所有引用字段为 null,数值字段为 0,布尔为 false),更不会调用任何构造器或静态块。
它常用于高性能框架(如 Netty、Kryo)或需要极端控制对象生命周期的场景,但风险极高:
- 必须确保后续手动初始化所有必要字段,否则运行时 NPE 风险极大
- Java 9+ 中
Unsafe访问受限,需用--add-opens启动参数放开模块限制 - 不同 JDK 版本中
Unsafe获取方式不同(getUnsafe()在 JDK 17+ 返回null,需反射绕过)
真正需要它的场景极少,多数时候是过度优化或对初始化机制理解偏差导致的误用。
