Spring使用@responseBody與序列化詳解
@responseBody
Spring中使用@responseBody的Json序列化,為啥不用最常用的Serializable序列化呢?直接轉換為二進制流不好嗎???
先說@responseBody
1、@responseBody注解的作用
是將controller的方法返回的對象通過適當?shù)霓D換器轉換為指定的格式之后,寫入到response對象的body區(qū),通常用來返回JSON數(shù)據或者是XML數(shù)據
需要注意的呢,在使用此注解之后不會再走試圖處理器,而是直接將數(shù)據寫入到輸入流中,他的效果等同于通過response對象輸出指定格式的數(shù)據。
2、使用
@RequestMapping("/login") @ResponseBody public User login(User user){ return user; }
User字段:userName pwd 那么在前臺接收到的數(shù)據為:'{"userName":"xxx","pwd":"xxx"}'
效果等同于如下代碼:
@RequestMapping("/login") public void login(User user, HttpServletResponse response){ response.getWriter.write(JSONObject.fromObject(user).toString()); }
序列化
什么是序列化?
內存中的數(shù)據對象只有轉換為二進制流才可以進行數(shù)據持久化和網絡傳輸。
將數(shù)據對象轉換為二進制流的過程稱為對象的序列化(Serialization)。
反之,將二進制流恢復為數(shù)據對象的過程稱為反序列化(Deserialization)。
序列化需要保留充分的信息以恢復數(shù)據對象,但是為了節(jié)約存儲空間和網絡帶寬,序列化后的二進制流又要盡可能小。
序列化常見的使用場景是RPC框架的數(shù)據傳輸。
1.Java原生序列化
- Java類通過實現(xiàn)Serializable接口來實現(xiàn)該類對象的序列化,這個接口非常特殊,沒有任何方法,只起標識作用.Java序列化保留了對象類的元數(shù)據(如類、成員變量、繼承類信息等),以及對象數(shù)據等,兼容性最好,但不支持跨語言,而且性能一般。
- 實現(xiàn)Serializable接口的類建議設置serialVersionUID字段值,如果不設置,那么每次運行時,編譯器會根據類的內部實現(xiàn),包括類名、接口名、方法和屬性等來自動生成serialVersionUID。
如果類的源代碼有修改,那么重新編譯后serial VersionUID的取值可能會發(fā)生變化。
因此實現(xiàn)Serializable接口的類一定要顯式地定義serialVersionUID屬性值。
修改類時需要根據兼容性決定是否修改serialVersionUID值:
1.如果是兼容升級,請不要修改serialVersionUID字段,避免反序列化失敗。
2.如果是不兼容升級,需要修改serialVersionUID值,避免反序列化混亂。
使用Java原生序列化需注意,Java反序列化時不會調用類的無參構造方法,而是調用native方法將成員變量賦值為對應類型的初始值?;谛阅芗凹嫒菪钥紤],不推薦使用Java 原生序列化。
2.Json序列化
JSON ( JavaScript O同ect Notation )是一種輕量級的數(shù)據交換格式。
JSON 序列化就是將數(shù)據對象轉換為 JSON 字符串。
在序列化過程中拋棄了類型信息,所以反序列化時只有提供類型信息才能準確地反序列化。
相比前兩種方式,JSON 可讀性比較好,方便調試。
序列化通常會通過網絡傳輸對象 , 而對象中往往有敏感數(shù)據,所以序列化常常成為黑客的攻擊點,攻擊者巧妙地利用反序列化過程構造惡意代碼,使得程序在反序列化的過程中執(zhí)行任意代碼。 Java 工程中廣泛使用的 Apache Commons Collections 、Jackson 、 fastjson 等都出現(xiàn)過反序列化漏洞。如何防范這種黑客攻擊呢?有些對象的敏感屬性不需要進行序列化傳輸 ,可以加 transient 關鍵字,避免把此屬性信息轉化為序列化的二進制流。如果一定要傳遞對象的敏感屬性,可以使用對稱與非對稱加密方
式獨立傳輸,再使用某個方法把屬性還原到對象中。應用開發(fā)者對序列化要有一定的安全防范意識 , 對傳入數(shù)據的內容進行校驗或權限控制,及時更新安全漏洞,避免受到攻擊。
到此這篇關于Spring使用@responseBody與序列化詳解的文章就介紹到這了,更多相關@responseBody與序列化內容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關文章希望大家以后多多支持腳本之家!
相關文章
springboot+vue2+elementui實現(xiàn)時間段查詢方法
這篇文章主要介紹了springboot+vue2+elementui實現(xiàn)時間段查詢方法,本文通過實例代碼給大家介紹的非常詳細,感興趣的朋友跟隨小編一起看看吧2024-05-05UrlDecoder和UrlEncoder使用詳解_動力節(jié)點Java學院整理
這篇文章主要為大家詳細介紹了UrlDecoder和UrlEncoder使用方法,具有一定的參考價值,感興趣的小伙伴們可以參考一下2017-07-07