序列化破坏单例模式以及如何防御的应用与Debug分析

推荐：​​Java设计模式汇总​​

序列化破坏单例模式以及如何防御的应用与Debug分析

需要了解实现单例模式的各种方法，可以参考下方这篇博客。
​​设计模式-单例模式（Singleton Pattern）​​ 单例模式类Singleton，是使用静态内部类实现的单例模式，并且实现​​Serializable接口​​（不实现​​Serializable接口​​进行序列化会报错）。

package com.kaven.design.pattern.creational.singleton;

import java.io.Serializable;

public class Singleton implements Serializable {
    private Singleton(){}

    public static Singleton getInstance(){
        return Inner.instance;
    }
    
    private static class Inner{
        private static final Singleton instance = new Singleton();
    }
}

接下来使用序列化来破坏这个单例模式类，其他方法实现的单例模式类也可进行这种破坏，除了枚举方式实现的单例模式类。
​为什么要用枚举实现单例模式(避免反射、序列化问题)​​

package com.kaven.design.pattern.creational.singleton;

import java.io.*;

public class DestroyTest {
    public static void main(String[] args) throws IOException, ClassNotFoundException {
        Singleton instance = Singleton.getInstance();
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("singleton_file"));
        oos.writeObject(instance);

        File file = new File("singleton_file");
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream(file));
        Singleton newInstance = (Singleton) ois.readObject();

        System.out.println(instance);
        System.out.println(newInstance);
        System.out.println(instance == newInstance);
    }
}

结果：

com.kaven.design.pattern.creational.singleton.Singleton@7f31245a
com.kaven.design.pattern.creational.singleton.Singleton@568db2f2
false

怎么解决呢？
在​​​Singleton类​​​中增加​​readResolve()方法​​​，并且该方法返回​​Inner.instance​​。

package com.kaven.design.pattern.creational.singleton;

import java.io.Serializable;
import java.util.concurrent.atomic.AtomicInteger;

public class Singleton implements Serializable {
    private static AtomicInteger count = new AtomicInteger();

    private Singleton(){
        count.getAndAdd(1);
    }

    public static Singleton getInstance(){
        return Inner.instance;
    }

    public static AtomicInteger getCount() {
        return count;
    }
    private static class Inner{
        private static final Singleton instance = new Singleton();
    }

    private Object readResolve(){
        return Inner.instance;
    }
}

看看结果：

com.kaven.design.pattern.creational.singleton.Singleton@7f31245a
com.kaven.design.pattern.creational.singleton.Singleton@7f31245a
true

这样为什么就正确了？

我们来Debug一下。

把​​DestroyTest类​​中这一行打上断点。

按住CTRL，点击​​readObject()方法​​​，进入该方法，在调用​​readObject0()方法​​这一行打上断点，并且进入该方法。

在​​readObject0()方法​​​中如图所示位置打上断点，并且进入​​readOrdinaryObject()方法​​。

在​​readOrdinaryObject()方法​​中如下图所示两个位置打上断点。

进入​​invokeReadResolve()方法​​中，在如图所示位置打上断点。

最后在​​Singleton类​​​中新添加的​​readResolve()方法​​如图所示位置打上断点。

我们开始Debug。

读取实例对象。

进一步读取实例对象。

再进一步读取实例对象。

进入如图所示位置的断点，首先调用​​isInstantiable()方法​​​，判断​​Singleton类​​​是否有构造器。我们这里是有的，就会调用​​newInstance()方法​​​，通过反射创建出​​Singleton类​​​实例，所以这里总是会重新创建一个​​Singleton类​​​实例，不管我们是否添加​​readResolve()方法​​。

下图中desc的值如下（下图可见）：

com.kaven.design.pattern.creational.singleton.Singleton: static final long serialVersionUID = 739035658457974510L;

调用​​invokeReadResolve()方法​​。

调用​​invoke()方法​​。

再通过反射调用​​readResolve()​​方法。

最后进入了​​readResolve()方法​​。

通过Debug，我们应该已经清楚了，程序总会创建一个新的​​Singleton类​​​实例，但是程序最后会调用我们写的​​readResolve()方法​​​，返回的是之前的​​Singleton类​​​实例，如果我们没有添加​​readResolve()方法​​​，就会返回那个新创建的​​Singleton类​​实例。

如果有说错的地方，请大家不吝赐教（记得留言哦~~~~）。