单例模式指的是一个类只有一个对象,通过一些措施达到达到这个目的。但是反射和反序列化可以获得多个不同的对象。

  先简单的认识一下单例模式

一:单例模式

  通过私有构造器,声明一个该类的静态对象成员,提供一个获得对象的静态方法实现单例模式。单列模式有饿汉式和懒汉式,饿汉式是声明的同时就为该对象赋值。

懒汉式指的是使用到的时候再创建。虚拟机的实现会保证:类加载会确保类和对象的初始化方法在多线程场景下能够正确的同步加锁,即饿汉式声明并赋值是原子操作,不会存在同步问题。懒汉式为了应付同步问题出现了加锁,内部类延时加载等。

  单例模式博客地址:http://www.cnblogs.com/tfper/p/9890971.html

二:单例模式存在的漏洞

  1.反射破解单例模式

    java的访问控制是停留在编译层的,也就是它不在在class文件中保留下任何痕迹,只在编译的时候进行访问控制的检查。通过反射的手段可以访问类中的成员,比如私有构造方法。

    我们先写一个简单的懒汉式的类:

package cnblogs.bean;

public class Singleton {

    private static Singleton sl; //懒汉式

    private Singleton() {}

    public static Singleton getInstance() {

        if(sl == null)

            sl = new Singleton();

        return sl;

    }

}

通过反射获取单例对象。

package cnblogs.test;

import java.lang.reflect.Constructor;

import cnblogs.bean.Singleton;

public class Test2 {

	@SuppressWarnings("unchecked")

	public static void main(String[] args) throws Exception {

		//正常获得单例模式对象

		Singleton s1 = Singleton.getInstance();

		System.out.println(s1);

		//通过反射获得单例模式对象

		Class<Singleton> cl = (Class<Singleton>)

				Class.forName("cnblogs.bean.Singleton");

		Constructor<Singleton> constructor = cl.getDeclaredConstructor();

		constructor.setAccessible(true);

		Singleton s2 = constructor.newInstance();

		System.out.println(s2);

		System.out.println("s1 == s2? " + (s1 == s2));

	}

}

控制台输出:

  cnblogs.bean.Singleton@6d06d69c
  cnblogs.bean.Singleton@7852e922
   s1 == s2? false

观察一下就可以发现两种方式获得的单例模式不一样,违反了单例模式。

破解方式:

  我们观察反射获取单例的代码,发现它还是调用了私有的构造方法获取对象【声明为私有的构造方法就是为了不让类外直接new对象】。如果只让私有的构造器只能调用一次就可以避免反射。

package cnblogs.bean;

public class Singleton {

	private static Singleton sl;

	private Singleton() {

		//如果sl不为空即这不是第一次调用该构造器

		if(sl != null)

			throw new RuntimeException();

	}

	public static Singleton getInstance() {

		if(sl == null) {

			sl = new Singleton();

		}

		return sl;

	}

}

再次调用上面的反射测试类看控制台输出:

cnblogs.bean.Singleton@6d06d69c
Exception in thread "main" java.lang.reflect.InvocationTargetException
    at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method)
    at sun.reflect.NativeConstructorAccessorImpl.newInstance(Unknown Source)
    at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(Unknown Source)
    at java.lang.reflect.Constructor.newInstance(Unknown Source)
    at cnblogs.test.Test2.main(Test2.java:20)
Caused by: java.lang.RuntimeException
    at cnblogs.bean.Singleton.<init>(Singleton.java:10)
    ... 5 more

三:反序列化获得单例模式对象

  单例类:

package cnblogs.bean;

import java.io.Serializable;

/**

 * 序列化必须实现Serializable接口,否则序列化时会报错

 *

 */

public class Singleton implements Serializable{

	private static final long serialVersionUID = 1L;

	private static Singleton sl;

	private Singleton() {

		//如果sl不为空即这不是第一次调用该构造器

		if(sl != null)

			throw new RuntimeException();

	}

	public static Singleton getInstance() {

		if(sl == null) {

			sl = new Singleton();

		}

		return sl;

	}

}

  测试类:

package cnblogs.test;

import java.io.ByteArrayInputStream;

import java.io.ByteArrayOutputStream;

import java.io.IOException;

import java.io.InputStream;

import java.io.ObjectInputStream;

import java.io.ObjectOutputStream;

import cnblogs.bean.Singleton;

public class Test3 {

	public static void main(String[] args) {

		Singleton s1 = Singleton.getInstance();

		System.out.println(s1);

		//先序列化后反序列化

		try {

			ByteArrayOutputStream os = new ByteArrayOutputStream();

			ObjectOutputStream oos = new ObjectOutputStream(os);

			oos.writeObject(s1);

			InputStream is = new ByteArrayInputStream(os.toByteArray());

			ObjectInputStream ois = new ObjectInputStream(is);

			Singleton s2 = (Singleton) ois.readObject();

			System.out.println(s2);

			System.out.println("s1 == s2? " + (s1 == s2));

		} catch (IOException e) {

			e.printStackTrace();

		} catch (ClassNotFoundException e) {

			e.printStackTrace();

		}

	}

}

控制台输出:

  cnblogs.bean.Singleton@6d06d69c
  cnblogs.bean.Singleton@42a57993
  s1 == s2? false

解决方法:

  

package cnblogs.bean;

import java.io.Serializable;

/**

 * 序列化必须实现Serializable接口,否则序列化时会报错

 *

 */

public class Singleton implements Serializable{

	private static final long serialVersionUID = 1L;

	private static Singleton sl;

	private Singleton() {

		//如果sl不为空即这不是第一次调用该构造器

		if(sl != null)

			throw new RuntimeException();

	}

	public static Singleton getInstance() {

		if(sl == null) {

			sl = new Singleton();

		}

		return sl;

	}

	/**

	 * 反序列化时,如果定义了readResolve()则直接返回此方法指定的对象,而不需要在创建新的对象!

	 * @return

	 */

	private Object readResolve() {

	    return getInstance();

	}

}

反序列化时,如果定义了readResolve()则直接返回此方法指定的对象,而不需要在创建新的对象!

运行效果:

  cnblogs.bean.Singleton@6d06d69c
  cnblogs.bean.Singleton@6d06d69c
  s1 == s2? true


 

java基础(三):反射、反序列化破解单列模式和解决方式的更多相关文章

  1. java基础语法(二)--单列模式

    java基础语法(二)--单列模式 /** * 功能:单列模式 * @author Administrator * */ public class SingletonTest { public sta ...

  2. 黑马程序员:Java基础总结----反射

    黑马程序员:Java基础总结 反射   ASP.Net+Android+IO开发 . .Net培训 .期待与您交流! 反射 反射的基石:Class类 Class类代表Java类,它的各个实例对象又分别 ...

  3. Python 基础 三 反射

    Python 基础 三 反射 今天我们先介绍一下反射这个概念,啥是反射?反射就是自己检测自己.在我们Python的面向对象中的反射是啥意思呢?就是通过字符串的形式操作对象相关的属性.python中的一 ...

  4. Java基础之一反射

    反射是框架设计的灵魂 (使用的前提条件:必须先得到代表的字节码的Class,Class类用于表示.class文件(字节码))   一.反射的概述 JAVA反射机制是在运行状态中,对于任意一个类,都能够 ...

  5. Java基础之—反射

    反射是框架设计的灵魂 (使用的前提条件:必须先得到代表的字节码的Class,Class类用于表示.class文件(字节码))   一.反射的概述 JAVA反射机制是在运行状态中,对于任意一个类,都能够 ...

  6. Java基础—序列化与反序列化(转载)

    转载自: Java序列化与反序列化 1.Java序列化与反序列化 Java序列化是指把Java对象转换为字节序列的过程:而Java反序列化是指把字节序列恢复为Java对象的过程. 2.为什么需要序列化 ...

  7. JAVA基础知识|反射

    一.理解反射 1.1.基础概念 反射:在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法:对于任意一个对象,都能够调用它的任意方法和属性:这种动态获取信息以及动态调用对象方法的功能称为ja ...

  8. 在JAVA和android中常用的单列模式

    在很多开发中,项目为了节约资源,都把一个类的构造函数变为私有化,这样整个项目中就不能创建多个实例,这样的方法我们称为单例模式 现在通过代码来简介下这个单例模式: 在新建一个java项目后,创建一个实体 ...

  9. java基础之反射机制

    一.概念 JAVA反射机制是在运行状态中,对于任意一个类,都能够知道这个类的所有属性和方法:对于任意一个对象,都能够调用它的任意一个方法和属性:这种动态获取的信息以及动态调用对象的方法的功能称为jav ...

随机推荐

  1. [ffmpeg]安装

    下载源码: 我们选择去官网http://ffmpeg.org下载.版本和打包方式譬如:ffmpeg-3.1.11.tar.bz2 安装过程: tar   -jxvf ./ffmpeg-3.1.11.t ...

  2. struts2的文件配置以及注释代码

    <?xml version="1.0" encoding="UTF-8" ?><!DOCTYPE struts PUBLIC "-/ ...

  3. jquery slideDown 控制div出现的方向

    .custom-popup { position: absolute; /*top: 0;*/ 上向下 ; 下向上 ; ; display: none; width: 100%; height: 10 ...

  4. 【译】REM vs EM - 世纪之争

    原文链接:https://zellwk.com/blog/rem-vs-em/ 在网络上排版的最佳做法之一是使用像rem和em这样的相对单位. 问题是,你应该使用哪个? 在rem支持者和em支持者之间 ...

  5. 2017-9-24模拟赛T1 个人卫生综合征(school.*)

    题目 每天 BBS 都要从家里经过城市中的一段路到学校刷五三.城市中一共有 n 个路口和 m 条双向道路,每条双向道路都连接着两个路口 a i .b i 且有一定的时间花费 v i .BBS家编号为 ...

  6. Groovy学习笔记-布尔求值

    1.判断字符串为null或空字符串 def str = null if(str) println 'str is not null' else println 'str is null' str = ...

  7. Springboot添加定时任务

    请参考这篇文章:https://blog.csdn.net/ysp_0607/article/details/71430281

  8. gulp的使用(三)之把gulp运用到项目实战中

    在了解了上面的gulp(一)(二)以后,我们就可以开始在项目中具体使用了,具体使用流程如下: 1. 创建一个project文件夹,然后里面首先创建一个src文件夹,里面放置开发要用到的文件夹: 2. ...

  9. (原创)Spice 网表范例

    一.常规网表 Inverter .lib "D:\lib\l0040ll_v1p4_1r.lib" TT .param SUPPLY=.1V .param T=10ns .para ...

  10. Sonar Java 规则插件开发 (基于阿里开发手册)

    引言 最近在做Sonar静态代码扫描管理,以此顺手接了Sonar的插件开发,基于阿里开发手册进行开发,在整体开发过程中,其中还是遇到不少坑位,也以此给大家做相应借鉴官网Demo演示插件开发地址:htt ...