使Java运行时忽略serialVersionUIDs？

Question

我必须处理大量已编译的Java类，这些类没有明确指定serialVersionUID。因为它们的UID是由编译器任意生成的，所以许多需要序列化和反序列化的类最终会导致异常，即使实际的类定义匹配。 （当然，这是所有预期的行为。）

返回并修复所有第三方代码是不切实际的。

因此，我的问题是：是否有任何方法可以在serialVersionUID中使Java运行时忽略差异，并且只有在结构存在实际差异时才能反序列化？

Answer 1

如果您有权访问代码库，则可以使用 Ant的SerialVer任务来插入代码库修改可序列化类的源代码中的 serialVersionUID ，并为所有人解决问题。

如果你不能，或者这不是一个选项（例如，如果你已经序列化了一些需要反序列化的对象），一个解决方案就是扩展 ObjectInputStream 。增加其行为以将流描述符的 serialVersionUID 与此描述符所代表的本地JVM中的类的 serialVersionUID 进行比较，并在不匹配的情况下使用本地类描述符。然后，只需使用此自定义类进行反序列化。像这样的东西（此消息）：

import java.io.IOException;
import java.io.InputStream;
import java.io.InvalidClassException;
import java.io.ObjectInputStream;
import java.io.ObjectStreamClass;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;


public class DecompressibleInputStream extends ObjectInputStream {

    private static Logger logger = LoggerFactory.getLogger(DecompressibleInputStream.class);

    public DecompressibleInputStream(InputStream in) throws IOException {
        super(in);
    }

    protected ObjectStreamClass readClassDescriptor() throws IOException, ClassNotFoundException {
        ObjectStreamClass resultClassDescriptor = super.readClassDescriptor(); // initially streams descriptor
        Class localClass; // the class in the local JVM that this descriptor represents.
        try {
            localClass = Class.forName(resultClassDescriptor.getName()); 
        } catch (ClassNotFoundException e) {
            logger.error("No local class for " + resultClassDescriptor.getName(), e);
            return resultClassDescriptor;
        }
        ObjectStreamClass localClassDescriptor = ObjectStreamClass.lookup(localClass);
        if (localClassDescriptor != null) { // only if class implements serializable
            final long localSUID = localClassDescriptor.getSerialVersionUID();
            final long streamSUID = resultClassDescriptor.getSerialVersionUID();
            if (streamSUID != localSUID) { // check for serialVersionUID mismatch.
                final StringBuffer s = new StringBuffer("Overriding serialized class version mismatch: ");
                s.append("local serialVersionUID = ").append(localSUID);
                s.append(" stream serialVersionUID = ").append(streamSUID);
                Exception e = new InvalidClassException(s.toString());
                logger.error("Potentially Fatal Deserialization Operation.", e);
                resultClassDescriptor = localClassDescriptor; // Use local class descriptor for deserialization
            }
        }
        return resultClassDescriptor;
    }
}

Answer 2

这是多么不切实际的修复？如果您有源并且可以重建，那么您是否可以通过整个代码库运行脚本来插入

private long serialVersionUID = 1L;

到处都是？

Answer 3

使用CGLIB将它们插入二进制类？

Answer 4

运行时的序列化错误会明确告诉您ID应该是什么。只需更改您的类以将其声明为ID，一切都会正常。这确实涉及你做出改变，但我不相信这是可以避免的

Answer 5

您可以使用Aspectj在加载时将字段“引入”每个可序列化类。我首先使用包在每个类中引入一个标记接口，然后使用类文件的哈希为serialVersionUID引入该字段

public aspect SerializationIntroducerAspect {

   // introduce marker into each class in the org.simple package
   declare parents: (org.simple.*) implements SerialIdIntroduced;

   public interface SerialIdIntroduced{}

   // add the field to each class marked with the interface above.
   private long SerialIdIntroduced.serialVersionUID = createIdFromHash(); 

   private long SerialIdIntroduced.createIdFromHash()
   {
       if(serialVersionUID == 0)
       {
           serialVersionUID = getClass().hashCode();
       }
       return serialVersionUID;
   }
}

您需要添加 aspectj load time weaver agent 到VM，以便它可以将建议编入您现有的第三方课程。它很有趣虽然一旦你开始设置Aspectj，它将会给你带来非凡的用途。

HTH

STE