什么是java序列化，到底如何实现java序列化？

关键字: 实现java序列化
简单来说序列化就是一种用来处理对象流的机制，所谓对象流也就是将对象的内容进行流化，流的概念这里不用多说（就是I/O），我们可以对流化后的对象进行读写操作，也可将流化后的对象传输于网络之间（注：要想将对象传输于网络必须进行流化）！在对对象流进行读写操作时会引发一些问题，而序列化机制正是用来解决这些问题的！
如上所述，读写对象会有什么问题呢？比如：我要将对象写入一个磁盘文件而后再将其读出来会有什么问题吗？别急，其中一个最大的问题就是对象引用！举个例子来说：假如我有两个类，分别是A和B，B类中含有一个指向A类对象的引用，现在我们对两个类进行实例化{ A a = new A（）； B b = new B（）； }，这时在内存中实际上分配了两个空间，一个存储对象a，一个存储对象b，接下来我们想将它们写入到磁盘的一个文件中去，就在写入文件时出现了问题！因为对象b包含对对象a的引用，所以系统会自动的将a的数据复制一份到b中，这样的话当我们从文件中恢复对象时（也就是重新加载到内存中）时，内存分配了三个空间，而对象a同时在内存中存在两份，想一想后果吧，如果我想修改对象a的数据的话，那不是还要搜索它的每一份拷贝来达到对象数据的一致性，这不是我们所希望的！

实现序列化
操作对象的流Object\OutputStream  ObjectInputStream

对象字节输出流

第一步创建一个可以操作对象的流  
ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream(“obj.txt”));
这里的构造函数是把对象输出到目的。

第二步操作需要被序列化（存放在永久性介质中）的对象，把该对象存放在ObjectOutputStream字节输出流中。通过对象字节输出流在把该序列化对象存入到永久性介质中也就是obj.txt中。
class Person         implements         Serializable{属性，方法........}。如果该类对象需要被序列化则必须实现 Serializable 接口。他是一种标记。
oos.write(new Person());存放需要被存储的对象。
注意!Person必须实现 Serializable接口。该接口是对需要被序列化对象的类的一种标记。只有实现了这种标记该类的对象才能被序列化。这个接口没有方法只作为标记使用。
Serializable标记型接口是通过对象中的成员变量和函数的数字标识（数字标识具有唯一性）算出的一个UID。这个UID也是具有唯一性的。

第三步关闭流
oos.close();

对象字节输入流

第一步创建一个读取字节流。来读取对象

ObjectInputStream ois = new OjbectInputStream(new FileInputStream(“obj.txt”));
这里的构造函数是选择对象的源

第二步把源中的对象字节读取到内存中
Person p = (Person)ois.readObject();读取类型是obj强转成了Person
注意
1这里容易出现类没有找到异常。原因是源中的文件没有存储的对象而是其他数据的情况下就会出现异常。所以在抛异常的时候最好抛父类的异常而不是IO异常了

2源（obj.txt）文件中的数据内容也就是对象和对象本身对应的.class文件是对应。如果改动了.class文件那么文件的UID也会发生变化。所以在此读取的时候会发生异常。如果要改动class文件那么就要把他重新输出一次oos.write(new Person())存放在硬盘上才可以。

3也可以自定义UID把对象的UID固定化这样就不用重新输出一次了。方法是
static final long serialVersionUID = 42L 可以修饰任何访问修饰符

4静态不能被序列化。静态一旦被初始化就不能被改变

5 sransient修饰符。类中不想被序列化的属性加上这个修饰符即可.

第三步可以对读取的对象进行操作。比如打印到控制台
System.out.println(p);

第四步关闭流
ois.close();

这个对象序列化的IO流只能成对使用。使用ObjectOutputStream存入对象。只能用OjbectInputStream来读取。

当你想把的内存中的对象保存到一个文件中或者数据库中时候,需要序列化

Java序列化就是把Java对象按一定方式变成字节流，并且可以从该字节流中通过反向生成原本的对象。要想让一个对象可以序列化很简单，只需要在对象声明里加入implements Serializable即可，但因为它是如此的简单以致有很多人对此产生了误解,以为只要简单加上这段声明即可,却不知道这个简单的背后是要付出代价的
      代价之一:一旦一个类被发布,则"改变这个类的实现"的灵活性将大大降低. 一但你声明了一个类可序列化,在你导出的API中就包含了系列化的定义,如果这个类已经被广泛应用的话,这就意味着以后不论你对该类作何修改,你都要支持原来的反序列化方式,才不会出现无法将之前老版本对象序列批后的字节流重新组装成对象的错误.
     代价之二:增加了BUG和安全漏洞的可能性. 序列化是构造对象的另一种方式,可以通过反序列化组装一个对象也就意味可以绕过构造函数来创建一个新的对象,这也意味着存在被攻击的可能性
    代价之三:随着一个类的新版本的发行,相关的测试负担增加了. 正如第一点说的, 一个新版本的发布要保证它和原老版本要能够相互序列化与反序列化,因而这个测试工作量与类的数量*版本数成正比
    支持序列化的一个初衷是实现对象的传输或者持久化,但从Java1.4发行版本开始,有了一种基于XML的JavaBean持久化机制,所以,对于Beans来说,实现Serializable不再是必需的了
    考虑使用自定义的序列化形式
    如果一个对象的物理表示等同于它的逻辑内容,则默认的序列化形式可能是合适的,即使如此,通常仍然要提供一个readObject方法以保证约束关系和安全性.即还要重写readObject方法来保证读到的字节流组装成的对象的域符合原对象所定义的约束关系,防止通过修改序列化字节流来篡改伪造对象
    当一个对象的物理表示与它的逻辑数据内容有实质性的区别时,使用默认序列化形式有4个缺点:
        1. 它使这个类的导出API永久地束缚在该类的内部表示上
        2.它要消耗过多的空间.
        3. 它要消耗过多的时间.默认序列化是一个图遍历过程
        4. 它会引起栈举出. 默认的序列化过程要对对象图执行一次递归遍历,即使对于中等规模的对象图,这样的操作也可能会引起栈溢出
　　保护性地编写readObject方法
　　readObject可以看成是另一个公有的构造函数，它读取字节流，产生新对象，因而如果有必要请对readObject中的参数进行保护性拷贝，这样可以避免攻击者通过修改序列化后的字节流来制造不符合构造约束的对象。下面的原则有助于编写一个更健壮的readObject方法：
　　1.对于对象引用域必须保持为私有的类，对“将被保存到这些域中的对象”进行保护性拷贝。非可变类的可变组件就属于这一类别。
　　2.对于具有约束条件的类，一定要检查约束条件是否满足，如果不满足的话，则抛出一个InvalidObjectException异常。这些检查动作应该跟在所有的保护性拷贝之后。
　　3.如果在对象图被反序列化之后，整个对象图必须都是有效的，则应该使用ObjectInputValidation接口。
　　4.无论是直接方式还是间接方式，都不要调用类中可被改写的方法。
　　必要时提供一个readResolve方法
　　如果一个类是单例模式，则通过生写readObject方法还是会产生一个新的实例，无法满足单例的要求，这时需要提供一个readResolve方法。
　　对于单例模式，只需要在readResolve方法中返回保存类实例的变量即可：
　　private Object readResolve() throws ObjectStreamException{
          return INSTANCE;
        }
       对于其他情况，可以直接调用构造函数，通过构造函数中的约束来保证反序列化的约束：
　　private Object readResolve() throws ObjectStreamException{
        return new SomeObject(var1,var2);
       }