除了给出transient关键字之外,我们能否从序列化中拒绝java对象 [英] Can we deny a java object from serialization other than giving transient keyword
本文介绍了除了给出transient关键字之外,我们能否从序列化中拒绝java对象的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
我们可以使用 transient
关键字来避免序列化字段。
还有其他办法吗?
We can avoid serialising fields by using the transient
keyword.
Is there any other way of doing that?
推荐答案
http://java.sun.com/javase/6/docs/platform/serialization/spec/security.html
摘要:防止序列化
包含
敏感数据的敏感数据字段不应为
序列化;这样做会将
值暴露给有权访问
序列化流的任何一方。有
防止字段
被序列化的几种方法:
SUMMARY:Preventing Serialization of Sensitive Data Fields containing sensitive data should not be serialized; doing so exposes their values to any party with access to the serialization stream. There are several methods for preventing a field from being serialized:
- 将字段声明为私有瞬态。
- 定义相关类的serialPersistentFields
字段,
省略
字段描述符列表中的字段。 - 编写一个特定于类的序列化
方法(即writeObject或
writeExternal),该方法不会将
字段写入序列化
流(即,不是调用
ObjectOutputStream.defaultWriteObject)。
以下是一些链接。
这篇关于除了给出transient关键字之外,我们能否从序列化中拒绝java对象的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文