你真的以为你了解Java的序列化了吗？

上一篇文章《Java对象的序列化与反序列化》中，简单介绍了Java中对象的序列化和反序列化的一些基础知识。看文那篇文章后，有小伙伴留言说：我终于了解了Java的序列化了。我只想说：小伙子，你真的是图样图森破啊 。

通过那篇文章，读者可以学会如何对Java对象进行序列化和反序列化。但是，还有些原理性知识没有深入讲解。本文，在上一篇文章的基础上，抽丝剥茧，深入底层原理，主要围绕以下几个问题展开：

怎么实现Java的序列化？

为什么实现了java.io.Serializable接口才能被序列化？

transient的作用是什么？

如果在序列化中破坏transitent的限制？

怎么自定义序列化策略？

自定义的序列化策略是如何被调用的？

ArrayList对序列化的实现有哪些好处？

序列化基础知识

关于序列化的用法及基础知识，由于不是本文重点，这里不再详细介绍了，详情请参阅Java对象的序列化与反序列化。这里只做简单回顾。

1、在Java中，只要一个类实现了java.io.Serializable接口，那么它就可以被序列化。

2、通过ObjectOutputStream和ObjectInputStream对对象进行序列化及反序列化。

3、虚拟机是否允许反序列化，不仅取决于类路径和功能代码是否一致，一个非常重要的一点是两个类的序列化 ID 是否一致（就是 private static final long serialVersionUID）

4、序列化并不保存静态变量。

5、要想将父类对象也序列化，就需要让父类也实现Serializable 接口。

6、transient 关键字的作用是控制变量的序列化，在变量声明前加上该关键字，可以阻止该变量被序列化到文件中，在被反序列化后，transient 变量的值被设为初始值，如 int 型的是 0，对象型的是 null。

7、服务器端给客户端发送序列化对象数据，对象中有一些数据是敏感的，比如密码字符串等，希望对该密码字段在序列化时，进行加密，而客户端如果拥有解密的密钥，只有在客户端进行反序列化时，才可以对密码进行读取，这样可以一定程度保证序列化对象的数据安全。

ArrayList的序列化

为了深入的介绍序列化，我们这篇文章准备从Java源码中的ArrayList类入手。看看Java自身是如何使用序列化的。在介绍ArrayList序列化之前，先来考虑一个问题：

“问：如何自定义的序列化和反序列化策略？”

带着这个问题，我们来看java.util.ArrayList的源码

code 1

public class ArrayList<E> extends AbstractList<E> 

       implements List<E>, RandomAccess, Cloneable, java.io.Serializable 

{ 

   private static final long serialVersionUID = 8683452581122892189L; 

   transient Object[] elementData; // non-private to simplify nested class access 

   private int size; 

} 

笔者省略了其他成员变量，从上面的代码中可以知道ArrayList实现了java.io.Serializable接口，那么我们就可以对它进行序列化及反序列化。因为负责保存元素的elementData是transient的，所以我们认为这个成员变量的内容不会被序列化而保留下来。我们写一个Demo，验证一下我们的想法：

code 2

public static void main(String[] args) throws IOException, ClassNotFoundException { 

       List<String> stringList = new ArrayList<String>(); 

       stringList.add("hello"); 

       stringList.add("world"); 

       stringList.add("hollis"); 

       stringList.add("chuang"); 

       System.out.println("init StringList" + stringList);