【java设计模式】单例模式之解决序列化和反射攻击问题

最新推荐文章于 2024-06-12 16:46:06 发布
原创 最新推荐文章于 2024-06-12 16:46:06 发布 · 466 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#序列化与反序列化破坏单例 #反射攻击

本文探讨了饿汉式单例模式在面对序列化和反序列化时的问题及解决方案,通过实现序列化接口并重写readResolve方法确保单例模式的一致性。同时,文章还介绍了如何防止反射攻击,保持单例模式的完整性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

饿汉式被序列化和反序列化破坏

解决办法:

单例类:实现序列化接口

//实现序列化接口,应对序列化与反序列化破坏单利模式
public class HungrySingleton implements Serializable {

    private  final  static HungrySingleton hungrySingleton;
    static{
        hungrySingleton =new HungrySingleton();
    }

    private HungrySingleton() {
    }

    public static HungrySingleton getInstance(){
        return hungrySingleton;
    }

//    解决序列化和反序列化破坏单例模式问题
//	这个方法通过反射出来,在序列化与反序列化时会通过反射形式调用此方法。
    private Object readResolve(){
        return hungrySingleton;
    }
}

测试类:

//        序列化与反序列化的破坏
        HungrySingleton instance=HungrySingleton.getInstance();//饿汉式

//        将对象序列化到文件中
        ObjectOutputStream oos=new ObjectOutputStream(new FileOutputStream("singleton_file"));
        oos.writeObject(instance);
//      将文件中的序列化对象读出来
        File file=new File("singleton_file");
        ObjectInputStream ois=new ObjectInputStream(new FileInputStream(file));
       HungrySingleton newInstance=(HungrySingleton)ois.readObject();//饿汉式
 
        System.out.println(instance);
        System.out.println(newInstance);
        System.out.println(instance==newInstance);

结果:
未实现接口之前输出(对象不一致):

com.tfjybj.creating.single单例.muke.HungrySingleton@7f31245a
com.tfjybj.creating.single单例.muke.HungrySingleton@6d6f6e28
false

Process finished with exit code 0

实现接口之后输出(对象一致):

com.tfjybj.creating.single单例.muke.HungrySingleton@7f31245a
com.tfjybj.creating.single单例.muke.HungrySingleton@7f31245a
true

Process finished with exit code 0

反射攻击(饿汉式和静态内部类都可以解决反射攻击,但懒汉式无法解决)

解决反射攻击,需要在单例类的构造器中加入如下代码:

 //     解决反射破坏问题
        if (hungrySingleton != null){
            throw new RuntimeException("单例构造器禁止反射调用!");
        }

栗子:
饿汉式类:

public class HungrySingleton {

    private  final  static HungrySingleton hungrySingleton;
    static{
        hungrySingleton =new HungrySingleton();
    }

    private HungrySingleton() {
        //     解决反射破坏问题
        if (hungrySingleton != null){
            throw new RuntimeException("单例构造器禁止反射调用!");
        }
    }

    public static HungrySingleton getInstance(){
        return hungrySingleton;
    }

测试代码:

//        反射攻击解决方案(饿汉式和静态内部类都会遇到反射攻击)
        Class objectClass = HungrySingleton.class;  //饿汉式
//       Class objectClass = StaticInnerClassSingleton.class; //静态内部类

//        通过反射,将HungrySingleton类构造器权限打开,获得其中对象
//        构造器类
        Constructor constructor=objectClass.getDeclaredConstructor();
//        更改权限为true(可访问)
        constructor.setAccessible(true);

//        普通获得对象
        HungrySingleton instance=HungrySingleton.getInstance(); //饿汉式
//        StaticInnerClassSingleton instance=StaticInnerClassSingleton.getInstance(); //静态内部类

//        通过反射获得对象
        HungrySingleton newinstance= (HungrySingleton) constructor.newInstance();  //饿汉式
//        StaticInnerClassSingleton newinstance= (StaticInnerClassSingleton) constructor.newInstance(); //静态内部类


        System.out.println(instance);
        System.out.println(newinstance);
        System.out.println(instance==newinstance);

结果:

Exception in thread "main" java.lang.reflect.InvocationTargetException
	at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)
	at sun.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:62)
	at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:45)
	at java.lang.reflect.Constructor.newInstance(Constructor.java:422)
	at com.tfjybj.creating.single单例.muke.test.main(test.java:59)
Caused by: java.lang.RuntimeException: 单例构造器禁止反射调用!
	at com.tfjybj.creating.single单例.muke.HungrySingleton.<init>(HungrySingleton.java:21)
	... 5 more

Process finished with exit code 1

Java 中的设计模式单例模式工厂模式解析
shrgegrb的博客
03-12 1134
单例模式确保一个类在整个应用程序生命周期内仅有一个实,并提供一个全局访问点。数据库连接管理线程池配置管理日志管理工厂模式是一种创建型设计模式,它通过封装对象创建逻辑,避免在代码中直接使用new关键字,提高代码的灵活性可维护性。简工厂模式(Simple Factory)工厂方法模式(Factory Method)抽象工厂模式(Abstract Factory)
单例模式存在的问题以及解决方案
实践求真知
01-30 1630
问题演示 1 破坏单例模式 除枚举方式外,其它类(Singleton)可以创建多个对象。有两种方式可以破坏单例模式,分别是序列化反射。 1.1 序列化反序列化 Singleton类: public class Singleton implements Serializable { // 私有构造方法 private Singleton() {} private static class SingletonHolder { private static f
Java 序列化单例模式
jijianshuai的专栏
04-14 2675
序列化相关文章: * Java 序列化 之 Serializable * Java 序列化之 Externalizable 当我们使用Singleton模式时,应该是期望某个类的实应该是唯一的,但如果该类是可序列化的,那么发序列化后还会是的吗?下面我们通过如下示一来验证一下: 示一 User 类 User 类是单例模式,使用的饿汉模式,在类加载的时候就创建对象实。...
序列化反射
qq_25825923
08-22 220
这是一个简但是存在序列化反射问题 , 通过对其序列化或者反射会得到全新的对象。 public class Single implements Serializable{ private static final SINGLE single = new Single(); private Single() { } priv...
java 单例模式 序列化_单例模式序列化反序列化
weixin_35753431的博客
02-26 189
package com.wz.thread.resolve;import java.io.ObjectStreamException;import java.io.Serializable;/*** 序列化反序列化* @author Administrator**/public class MyObject implements Serializable {private static fina...
java_设计模式单例模式 反序列化攻击
chenghan_yang的博客
05-23 350
学习路径:https://coding.imooc.com/class/270.html 前言 无论是【懒汉式】还是【饿汉式】的单例模式,不加以处理,都可以使用序列化反序列化攻击攻击代码 HungrySingleton instance = HungrySingleton.getInstance(); ObjectOutputStream oos = new Ob...
单例模式反射漏洞反序列化漏洞代码实
08-26
单例模式反射漏洞反序列化漏洞是需要关注的安全问题,需要采取相应的防护措施来避免这些漏洞。在实际开发中,需要合理使用单例模式,避免滥用单例模式,并采取相应的防护措施来确保应用程序的安全。
Java设计模式单例模式讲解
08-01
入名所示,该文件为最详细的Java单例模式讲解并附有讲解代码。主要讲了单例模式的几种方法,懒汉...饿汉模式静态内部类模式如何设置能够避免使用反射方法获取多个实列,以及实现了序列化的类如何避免创建多个实列。
深入理解java设计模式单例模式
最新发布
忆亦何为的博客
06-12 2315
单例模式确保一个类在应用程序中只有一个对象实存在,并提供一种全局访问该实的方式。
Java+设计模式】通过反射机制/序列化机制破解单例模式,及其解决方法
丧心病狂Loli控的博客
08-12 230
单例模式 关于单例模式,可以戳这篇文章:《【设计模式单例模式(Singleton Pattern)》 下面这是一个经典的懒汉式单例模式实现。 public class Singleton { // 1.在类中添加一个私有静态成员变量用于保存唯一实 private static Singleton instance; // 2.将默认构造方法设置为私有,这样它就不能被new了 private Singleton() { } // 3.写一个公有静态成员方法,暴露给外部用于获取唯
Java设计模式单例模式序列化
qq_45461593的博客
07-29 417
序列化破坏单例模式 当使用双重校验锁并且使用了volatile的时候,这种看上去非常perfect的方式也可能存在单例模式破坏问题,那就是遇到序列化的时候。 Q:序列化之后的对象还是同一个吗 答案是 不是 public class Singleton implements Serializable{ private volatile static Singleton singleton; private Singleton (){} public static Singleto
java基础(22)--单例模式序列化
上善若水,厚德载物
04-24 529
本文转载自:http://zha-zi.iteye.com/blog/903332 尊重原创class Dog implements Serializable{ public static final Dog INSTANCE = new Dog(); private Dog(){} } 上面能控制只生成一个吗? 如果对实现了Serializable的对象进行序列化
java学习--day24(单例模式&序列化&Lambda表达式)
weimingchao的博客
10-10 643
类 ObjectInputStream(反序列化 ObjectOutputStream(序列化) 是高层次的数据流,它们包含反序列化序列化对象的方法。总结:序列化能干嘛?将一个类对象信息(构造方法,属性,方法)可以写到本地一个文件中。上面的方法序列化一个对象,并将它发送到输出流。它的返回值为Object,因此,你需要将它转换成合适的数据类型。总结:序列化将对象的值存到本地磁盘的文件中以作备份。反序列化可以将本次磁盘序列化过的文件读取到实体类的对象中。将本地的文件信息(被序列化过的)写到一个对象中。
java 单例模式_深入分析Java单例模式序列化之间的爱恨情仇
weixin_39610956的博客
11-17 116
首先我们先了解序列化的知识点,参考:面试官:Java序列化为什么要实现Serializable接口?我懵了单例模式的实现public class Singleton { private Singleton() {} //2.本类内部创建对象实 private static volatile Singleton instance; //3.提供一个公有的静态方法,返回实...
java设计模式——单例模式序列化破坏单例模式解决方案
小志的博客
05-24 1105
一、序列化饿汉式单例模式的示 1、定义一个饿汉式单例模式并实现序列化接口 package com.rf.designPatterns.singleton.serializeHungrySingleton; import java.io.Serializable; /** * @description: 饿汉式单例模式实现序列化接口 * @author: xiaozhi * @create: 2020-05-24 15:24 */ public class SerializeHungrySingle
Java序列化攻击最佳实践
KDLin‘s Blog
04-29 624
85. 其他序列化优于Java序列化 Java序列化机制很危险,在新编写的系统中,没有理由再使用Java序列化,应该使用其他序列化机制,如跨平台的JSON序列化;尤其不要反序列化任何不信任的数据,因为容易遭受序列化攻击。 原因在于,反序列化不被信任的数据,容易受到序列化攻击如远程代码执行(RCE),拒绝服务(DoS)等等。研究人员可以基于Java序列化机制开发出很多巧妙的攻击片段。如: public class BombSerializable { public static void
设计模式-单例模式(包括反射序列化的影响解决方法)
Jwasx的博客
01-22 746
文章目录前言1. 单例模式的介绍 前言 在之前写过一篇java单例模式的文章,只是简介绍两种懒汉式饿汉式的,因此在这里重新写一次单例模式,本篇文章基于菜鸟教程的单例模式,会介绍其中的6中单例模式,并且会涉及到多线程情况下的并发问题 1. 单例模式的介绍 ...
设计模式(七): 单例模式(懒汉、饿汉、静态内部类、双重检验锁、枚举、序列化反序列化反射攻击、容器
流的博客
10-17 419
1. 定义 优点 缺点 特性: (1)私有构造函数 (2)线程安全 (3)延迟加载 (4)序列化反序列化 (5)反射攻击 2. 懒汉模式 多线程创建: 主函数直接调用 开启线程调试:类型设置为Thread 开始调试: thread0 thread1 直接往下走,生成两个对象。 3. 双重检验锁 ...
深入浅出单例模式反射序列化破坏
weixin_43975523的博客
11-20 357
单例模式我想大家都不陌生 也可以说是23种设计模式中最著名也是最容易被问到的一种 下面就简说下他的几种实现方式 懒汉: 什么叫懒汉 顾名思义 就是比较懒 类里的对象只会在需要使用的时候在初始化 相比较而言当对象不使用即不加载 可以节省内存开销。 1.0版本 先定义一个类等于null 当如果有对象需要使用的时候判断是否为null 非null创建一个新对象 否则直接返回对象 且创建一个私...
Java枚举单例模式详解反序列化处理
总结起来,枚举是一种推荐的实现单例模式的方法,它具有线程安全、代码简洁、防止反射攻击反序列化问题等优点,尤其适用于Android这样的移动开发环境。在设计实现时,应根据实际需求性能考虑选择最...
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值