单例模式指的是一个类只有一个对象,通过一些措施达到达到这个目的。但是反射和反序列化可以获得多个不同的对象。

  先简单的认识一下单例模式

一:单例模式

  通过私有构造器,声明一个该类的静态对象成员,提供一个获得对象的静态方法实现单例模式。单列模式有饿汉式和懒汉式,饿汉式是声明的同时就为该对象赋值。

懒汉式指的是使用到的时候再创建。虚拟机的实现会保证:类加载会确保类和对象的初始化方法在多线程场景下能够正确的同步加锁,即饿汉式声明并赋值是原子操作,不会存在同步问题。懒汉式为了应付同步问题出现了加锁,内部类延时加载等。

  单例模式博客地址:http://www.cnblogs.com/tfper/p/9890971.html

二:单例模式存在的漏洞

  1.反射破解单例模式

    java的访问控制是停留在编译层的,也就是它不在在class文件中保留下任何痕迹,只在编译的时候进行访问控制的检查。通过反射的手段可以访问类中的成员,比如私有构造方法。

    我们先写一个简单的懒汉式的类:

package cnblogs.bean;

public class Singleton {

    private static Singleton sl; //懒汉式

    private Singleton() {}

    public static Singleton getInstance() {

        if(sl == null)

            sl = new Singleton();

        return sl;

    }

}

通过反射获取单例对象。

package cnblogs.test;

import java.lang.reflect.Constructor;

import cnblogs.bean.Singleton;

public class Test2 {

	@SuppressWarnings("unchecked")

	public static void main(String[] args) throws Exception {

		//正常获得单例模式对象

		Singleton s1 = Singleton.getInstance();

		System.out.println(s1);

		//通过反射获得单例模式对象

		Class<Singleton> cl = (Class<Singleton>)

				Class.forName("cnblogs.bean.Singleton");

		Constructor<Singleton> constructor = cl.getDeclaredConstructor();

		constructor.setAccessible(true);

		Singleton s2 = constructor.newInstance();

		System.out.println(s2);

		System.out.println("s1 == s2? " + (s1 == s2));

	}

}

控制台输出:

  cnblogs.bean.Singleton@6d06d69c
  cnblogs.bean.Singleton@7852e922
   s1 == s2? false

观察一下就可以发现两种方式获得的单例模式不一样,违反了单例模式。

破解方式:

  我们观察反射获取单例的代码,发现它还是调用了私有的构造方法获取对象【声明为私有的构造方法就是为了不让类外直接new对象】。如果只让私有的构造器只能调用一次就可以避免反射。

package cnblogs.bean;

public class Singleton {

	private static Singleton sl;

	private Singleton() {

		//如果sl不为空即这不是第一次调用该构造器

		if(sl != null)

			throw new RuntimeException();

	}

	public static Singleton getInstance() {

		if(sl == null) {

			sl = new Singleton();

		}

		return sl;

	}

}

再次调用上面的反射测试类看控制台输出:

cnblogs.bean.Singleton@6d06d69c
Exception in thread "main" java.lang.reflect.InvocationTargetException
    at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)
    at sun.reflect.NativeConstructorAccessorImpl.newInstance(Unknown Source)
    at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(Unknown Source)
    at java.lang.reflect.Constructor.newInstance(Unknown Source)
    at cnblogs.test.Test2.main(Test2.java:20)
Caused by: java.lang.RuntimeException
    at cnblogs.bean.Singleton.<init>(Singleton.java:10)
    ... 5 more

三:反序列化获得单例模式对象

  单例类:

package cnblogs.bean;

import java.io.Serializable;

/**

 * 序列化必须实现Serializable接口,否则序列化时会报错

 *

 */

public class Singleton implements Serializable{

	private static final long serialVersionUID = 1L;

	private static Singleton sl;

	private Singleton() {

		//如果sl不为空即这不是第一次调用该构造器

		if(sl != null)

			throw new RuntimeException();

	}

	public static Singleton getInstance() {

		if(sl == null) {

			sl = new Singleton();

		}

		return sl;

	}

}

  测试类:

package cnblogs.test;

import java.io.ByteArrayInputStream;

import java.io.ByteArrayOutputStream;

import java.io.IOException;

import java.io.InputStream;

import java.io.ObjectInputStream;

import java.io.ObjectOutputStream;

import cnblogs.bean.Singleton;

public class Test3 {

	public static void main(String[] args) {

		Singleton s1 = Singleton.getInstance();

		System.out.println(s1);

		//先序列化后反序列化

		try {

			ByteArrayOutputStream os = new ByteArrayOutputStream();

			ObjectOutputStream oos = new ObjectOutputStream(os);

			oos.writeObject(s1);

			InputStream is = new ByteArrayInputStream(os.toByteArray());

			ObjectInputStream ois = new ObjectInputStream(is);

			Singleton s2 = (Singleton) ois.readObject();

			System.out.println(s2);

			System.out.println("s1 == s2? " + (s1 == s2));

		} catch (IOException e) {

			e.printStackTrace();

		} catch (ClassNotFoundException e) {

			e.printStackTrace();

		}

	}

}

控制台输出:

  cnblogs.bean.Singleton@6d06d69c
  cnblogs.bean.Singleton@42a57993
  s1 == s2? false

解决方法:

  

package cnblogs.bean;

import java.io.Serializable;

/**

 * 序列化必须实现Serializable接口,否则序列化时会报错

 *

 */

public class Singleton implements Serializable{

	private static final long serialVersionUID = 1L;

	private static Singleton sl;

	private Singleton() {

		//如果sl不为空即这不是第一次调用该构造器

		if(sl != null)

			throw new RuntimeException();

	}

	public static Singleton getInstance() {

		if(sl == null) {

			sl = new Singleton();

		}

		return sl;

	}

	/**

	 * 反序列化时,如果定义了readResolve()则直接返回此方法指定的对象,而不需要在创建新的对象!

	 * @return

	 */

	private Object readResolve() {

	    return getInstance();

	}

}

反序列化时,如果定义了readResolve()则直接返回此方法指定的对象,而不需要在创建新的对象!

运行效果:

  cnblogs.bean.Singleton@6d06d69c
  cnblogs.bean.Singleton@6d06d69c
  s1 == s2? true


 

java基础(三):反射、反序列化破解单列模式和解决方式的更多相关文章

  1. java基础语法(二)--单列模式

    java基础语法(二)--单列模式 /** * 功能:单列模式 * @author Administrator * */ public class SingletonTest { public sta ...

  2. 黑马程序员:Java基础总结----反射

    黑马程序员:Java基础总结 反射   ASP.Net+Android+IO开发 . .Net培训 .期待与您交流! 反射 反射的基石:Class类 Class类代表Java类,它的各个实例对象又分别 ...

  3. Python 基础 三 反射

    Python 基础 三 反射 今天我们先介绍一下反射这个概念,啥是反射?反射就是自己检测自己.在我们Python的面向对象中的反射是啥意思呢?就是通过字符串的形式操作对象相关的属性.python中的一 ...

  4. Java基础之一反射

    反射是框架设计的灵魂 (使用的前提条件:必须先得到代表的字节码的Class,Class类用于表示.class文件(字节码))   一.反射的概述 JAVA反射机制是在运行状态中,对于任意一个类,都能够 ...

  5. Java基础之—反射

    反射是框架设计的灵魂 (使用的前提条件:必须先得到代表的字节码的Class,Class类用于表示.class文件(字节码))   一.反射的概述 JAVA反射机制是在运行状态中,对于任意一个类,都能够 ...

  6. Java基础—序列化与反序列化(转载)

    转载自: Java序列化与反序列化 1.Java序列化与反序列化 Java序列化是指把Java对象转换为字节序列的过程:而Java反序列化是指把字节序列恢复为Java对象的过程. 2.为什么需要序列化 ...

  7. JAVA基础知识|反射

    一.理解反射 1.1.基础概念 反射:在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法:对于任意一个对象,都能够调用它的任意方法和属性:这种动态获取信息以及动态调用对象方法的功能称为ja ...

  8. 在JAVA和android中常用的单列模式

    在很多开发中,项目为了节约资源,都把一个类的构造函数变为私有化,这样整个项目中就不能创建多个实例,这样的方法我们称为单例模式 现在通过代码来简介下这个单例模式: 在新建一个java项目后,创建一个实体 ...

  9. java基础之反射机制

    一.概念 JAVA反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法:对于任意一个对象,都能够调用它的任意一个方法和属性:这种动态获取的信息以及动态调用对象的方法的功能称为jav ...

随机推荐

  1. P5016 龙虎斗 题解

    这题真是*到家了QAQ 我在考场上调了将近75min,总算过了大样例. 首先,我们可以简化这一题,这道题的本质就是让我们找出一个点p2,往那个点上面加上s2个单位的重量,使得以m为中的两边的权值和的差 ...

  2. servlet操作本地文件汇总: 判断文件是否存在;文件重命名;文件复制; 获取文件属性信息,转成Json对象; 获取指定类型的文件; 查找替换.txt中的文本

    package servlet; import java.io.BufferedReader; import java.io.File; import java.io.FileInputStream; ...

  3. 软件测试:第二次作业(JUnit单元测试方法)

    一.JUnit是什么? JUnit是由 Erich Gamma 和 Kent Beck 编写的一个回归测试框架(regression testing framework).JUnit测试是程序员测试, ...

  4. 体验ToLua框架下热更新(Phpstudy)

    一.关于热更新的详细流程 首先我们需要需要将本机电脑作为服务器打开,这是第一步 1.1.1如何确定我们的电脑是作为服务器打开的. 我们打开一个浏览器在地址栏中输入127.0.0.1.或者是localh ...

  5. Xcode Archive打包失败问题

    ionic3项目 完成 模拟器 真机测试均可以打包安装成功  在Archive的时候报错了 错误如下 code signing is required for product type 'Applic ...

  6. The server time zone value 'Öйú±ê׼ʱ¼ä' is unrecognized or represents more than one time zone.

    今天用mysql连接数据库时,出现The server time zone value 'Öйú±ê׼ʱ¼ä' is unrecognized or represents more than o ...

  7. PCF学习知识

    1. 去PCF官网注册一个免费账号,地址是: https://login.run.pivotal.io/login 2.安装PCF的命名,cf cli. 地址https://pivotal.io/pl ...

  8. makefile笔记3 - makefile规则

    target ... : prerequisites ... command ... ... 规则包含两个部分,一个是依赖关系,一个是生成目标的方法. 在 Makefile 中,规则的顺序是很重要的, ...

  9. 启动fiddler导致浏览器无法上网的解决方法

    1. 开发fiddler,进入Tools->Fiddler Tools,按照如图3部配置,即可实现无法上网的问题. 2. 见图1: 3.见图2: 4.见图3. 4. 完成以上配置后,重启fidd ...

  10. react 组件导出

    前段时间忙于公司的招聘,导致react学习停滞了一段时间.今天通过react官方文档在本地创建了一个项目,把里面的文件自己重新开发.遇到了一个有意思的问题 class App extends Reac ...