快捷導航

Spring使用@responseBody與序列化詳解

更新時間：2023年08月31日 10:28:16 作者：沐雨金鱗

這篇文章主要介紹了Spring使用@responseBody與序列化詳解,@responseBody注解的作用是將controller的方法返回的對象通過適當?shù)霓D(zhuǎn)換器轉(zhuǎn)換為指定的格式之后,寫入到response對象的body區(qū),通常用來返回JSON數(shù)據(jù)或者是XML數(shù)據(jù),需要的朋友可以參考下

@responseBody

Spring中使用@responseBody的Json序列化，為啥不用最常用的Serializable序列化呢？直接轉(zhuǎn)換為二進制流不好嗎？？？

先說@responseBody

1、@responseBody注解的作用

是將controller的方法返回的對象通過適當?shù)霓D(zhuǎn)換器轉(zhuǎn)換為指定的格式之后，寫入到response對象的body區(qū)，通常用來返回JSON數(shù)據(jù)或者是XML數(shù)據(jù)

需要注意的呢，在使用此注解之后不會再走試圖處理器，而是直接將數(shù)據(jù)寫入到輸入流中，他的效果等同于通過response對象輸出指定格式的數(shù)據(jù)。

2、使用

 　　@RequestMapping("/login")
　　@ResponseBody
　　public User login(User user){
　　　　return user;
　　}

User字段：userName pwd 那么在前臺接收到的數(shù)據(jù)為：'{"userName":"xxx","pwd":"xxx"}'

效果等同于如下代碼：

　　@RequestMapping("/login")
　　public void login(User user, HttpServletResponse response){
　　　　response.getWriter.write(JSONObject.fromObject(user).toString());
　　}

序列化

什么是序列化？

內(nèi)存中的數(shù)據(jù)對象只有轉(zhuǎn)換為二進制流才可以進行數(shù)據(jù)持久化和網(wǎng)絡(luò)傳輸。

將數(shù)據(jù)對象轉(zhuǎn)換為二進制流的過程稱為對象的序列化（Serialization）。

反之，將二進制流恢復(fù)為數(shù)據(jù)對象的過程稱為反序列化（Deserialization）。

序列化需要保留充分的信息以恢復(fù)數(shù)據(jù)對象，但是為了節(jié)約存儲空間和網(wǎng)絡(luò)帶寬，序列化后的二進制流又要盡可能小。

序列化常見的使用場景是RPC框架的數(shù)據(jù)傳輸。

1.Java原生序列化

Java類通過實現(xiàn)Serializable接口來實現(xiàn)該類對象的序列化，這個接口非常特殊，沒有任何方法，只起標識作用.Java序列化保留了對象類的元數(shù)據(jù)（如類、成員變量、繼承類信息等），以及對象數(shù)據(jù)等，兼容性最好，但不支持跨語言，而且性能一般。
實現(xiàn)Serializable接口的類建議設(shè)置serialVersionUID字段值，如果不設(shè)置，那么每次運行時，編譯器會根據(jù)類的內(nèi)部實現(xiàn)，包括類名、接口名、方法和屬性等來自動生成serialVersionUID。

如果類的源代碼有修改，那么重新編譯后serial VersionUID的取值可能會發(fā)生變化。

因此實現(xiàn)Serializable接口的類一定要顯式地定義serialVersionUID屬性值。

修改類時需要根據(jù)兼容性決定是否修改serialVersionUID值：

1.如果是兼容升級，請不要修改serialVersionUID字段，避免反序列化失敗。

2.如果是不兼容升級，需要修改serialVersionUID值，避免反序列化混亂。
使用Java原生序列化需注意，Java反序列化時不會調(diào)用類的無參構(gòu)造方法，而是調(diào)用native方法將成員變量賦值為對應(yīng)類型的初始值?；谛阅芗凹嫒菪钥紤]，不推薦使用Java 原生序列化。

2.Json序列化

JSON ( JavaScript O同ect Notation ）是一種輕量級的數(shù)據(jù)交換格式。

JSON 序列化就是將數(shù)據(jù)對象轉(zhuǎn)換為 JSON 字符串。

在序列化過程中拋棄了類型信息，所以反序列化時只有提供類型信息才能準確地反序列化。

相比前兩種方式，JSON 可讀性比較好，方便調(diào)試。

序列化通常會通過網(wǎng)絡(luò)傳輸對象，而對象中往往有敏感數(shù)據(jù)，所以序列化常常成為黑客的攻擊點，攻擊者巧妙地利用反序列化過程構(gòu)造惡意代碼，使得程序在反序列化的過程中執(zhí)行任意代碼。 Java 工程中廣泛使用的 Apache Commons Collections 、Jackson 、 fastjson 等都出現(xiàn)過反序列化漏洞。如何防范這種黑客攻擊呢？有些對象的敏感屬性不需要進行序列化傳輸，可以加 transient 關(guān)鍵字，避免把此屬性信息轉(zhuǎn)化為序列化的二進制流。如果一定要傳遞對象的敏感屬性，可以使用對稱與非對稱加密方

式獨立傳輸，再使用某個方法把屬性還原到對象中。應(yīng)用開發(fā)者對序列化要有一定的安全防范意識，對傳入數(shù)據(jù)的內(nèi)容進行校驗或權(quán)限控制，及時更新安全漏洞，避免受到攻擊。

到此這篇關(guān)于Spring使用@responseBody與序列化詳解的文章就介紹到這了,更多相關(guān)@responseBody與序列化內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: