单例模式反射序列化漏洞及解决方案！

Posted 2021-04-18 Java技术栈

Java技术栈

www.javastack.cn

推荐阅读：

使用 反射技术 来获取不同的实例，以下是一个简单的饿汉式的 的代码实现：

当我们需要获取Singleton对象的时候，直接调用静态方法getInstance就可以了：

但是学过反射的人都知道，通过反射技术也能获取到一个类的实例对象，即使它的构造函数时私有化的，我们也可以通过暴力访问来调用其构造函数，所以以上测试类的运行结果为：

可以看出通过调用getInstance方法获取到的实例是一样的，但是通过反射获取到的实例却是不同的，违反了模式的思想，那么我们应该怎么解决呢？我们只需要在私有的构造函数中加入一个判断即可：

此时，我们再次启动测试类，获得到以下结果：

当然，就解决了使用反射技术来获取不同实例的问题了。

使用序列化及反序列化技术获取不同的实例：

如果我们的单例类实现了Serializable接口，那么这个类就能进行序列化和反序列化，测试代码如下：

运行结果如下：

我们发现进过序列化及反序列化之后对象的引用就改变了，显然也是违反了单例设计模式的思想的，跟踪readObject源码后，发现这个方法会先写出一个newInstance,然后判断这个对象中是否存在readResolve这个方法，如果不存在，那么直接返回这个newInstance,如果存在，那么就调用readResolve这个方法，将这个方法的返回值返回给readObject.源码片段如下：

由上可知，我们只需要在Singleton这个类中添加一个readResolve这个方法即可。

再次启用测试类，运行结果如下：

作者：Mazin
https://my.oschina.net/u/3441184/blog/884767

END

学习资料：

最近热文：

1、

2、

3、

4、

5、

6、

7、

8、

9、

10、

公众号干货实在太多，扫码关注 Java技术栈 公众号阅读更多。

点击「阅读原文」带你飞～