java序列化是冻结对象状态并编码成字节流,反序列化是按协议重建对象并恢复字段值;serializable仅为jvm启用默认序列化流程的标记接口,未实现则抛notserializableexception。
Java序列化不是“保存对象”,而是“冻结对象状态并编码成字节流”;反序列化也不是“还原对象”,而是“按协议重建对象实例并恢复字段值”。Serializable接口本身不提供任何逻辑,它只是JVM识别“允许走默认序列化流程”的开关。
为什么必须实现 Serializable 接口?
不实现就调用 ObjectOutputStream.writeObject(),会直接抛出 NotSerializableException —— 这是JVM在写死的校验逻辑里硬编码的拦截点。它不是语法检查,而是在运行时反射扫描类的接口继承链,没找到 Serializable 就拒绝执行。
- 这不是设计选择,是Java序列化协议强制要求:只有标记过的类才被纳入JVM内置的序列化引擎(
ObjectStreamClass)处理范围 - 静态字段、方法、构造器、本地资源(如
Socket、Thread)天然不参与序列化,接口不负责控制这些,只决定“是否启动整套流程” - 哪怕你只序列化一个
String字段,只要所在类没实现Serializable,照样报错
serialVersionUID 不写会怎样?
不显式声明 serialVersionUID,JVM会基于类名、接口、字段、方法签名等自动生成一个64位哈希值。一旦类结构微调(比如加个注释、改个访问修饰符、增删无关方法),这个值就变,反序列化时遇到 InvalidClassException: local class incompatible —— 即便字段完全没动,也会失败。
- 线上系统升级类定义后,旧数据文件或缓存里的字节流大概率无法反序列化
- 分布式场景下,不同节点部署了类的小版本差异,RPC响应可能直接崩溃
- 建议始终显式写死:例如
private static final long serialVersionUID = 1L;,后续兼容性变更再手动递增
哪些字段不会被序列化?怎么控制?
默认只序列化非 static、非 transient 的实例字段。这是硬规则,和 Serializable 接口本身无关,但它是你实际使用中绕不开的控制点。
立即学习“Java免费学习笔记(深入)”;
-
static字段属于类,不属于对象实例,序列化目标是“对象状态”,所以跳过 -
transient是明确告诉JVM“这个字段别碰”,常用于密码、连接池、缓存引用等不该持久化或跨网络传输的内容 - 如果需要更精细控制(比如加密敏感字段),得重写
writeObject()和readObject()方法,且必须调用defaultWriteObject()/defaultReadObject()来保留默认逻辑
序列化真的安全吗?
不安全。反序列化是JVM在无约束环境下执行类加载和对象构造的过程,攻击者可构造恶意字节流触发任意代码执行(如通过 AnnotationInvocationHandler 链)。2026年主流框架已默认禁用原生Java序列化用于网络通信。
- 不要反序列化不可信来源的字节流(如HTTP请求体、MQ消息、用户上传文件)
- 避免在生产环境用
ObjectInputStream直接读取外部输入;优先选JSON、Protobuf等白名单可控格式 - 若必须用,至少配合
ObjectInputFilter(Java 9+)配置允许的类名模式,但仍有绕过风险
真正难的从来不是“怎么写 implements Serializable”,而是想清楚:这个对象的状态是否真的适合被冻结?它的生命周期是否跨JVM?它的字段有没有隐式依赖(比如线程上下文、Spring代理)?这些问题没答案之前,加那个接口只是埋雷。
