Java設計模式（一）：單例模式，防止反射和反序列化漏洞

阿新 • • 發佈：2018-12-26

package com.iter.devbox.singleton;

import java.io.ObjectStreamException;
import java.io.Serializable;

/**
 * 靜態內部類實現方式（也是一種懶載入方式）
 * 這種方式：執行緒安全，呼叫效率高，並且實現了延遲載入
 * 解決反射和反序列化漏洞
 * @author Shearer
 *
 */
public class SingletonDemo7 implements Serializable{
	
	private static class SingletonClassInstance {
		private static final SingletonDemo7 instance = new SingletonDemo7();
	}
	
	// 方法沒有同步，呼叫效率高
	public static SingletonDemo7 getInstance() {
		return SingletonClassInstance.instance;
	}
	
	// 防止反射獲取多個物件的漏洞
	private SingletonDemo7() {
		if (null != SingletonClassInstance.instance)
			throw new RuntimeException();
	}
	
	// 防止反序列化獲取多個物件的漏洞
	private Object readResolve() throws ObjectStreamException {  
		return SingletonClassInstance.instance;
	}
}


package com.iter.devbox.singleton;

import java.io.FileInputStream;
import java.io.FileOutputStream;
import java.io.ObjectInputStream;
import java.io.ObjectOutputStream;
import java.lang.reflect.Constructor;

public class Client3 {

	public static void main(String[] args) throws Exception {
		SingletonDemo7 sc1 = SingletonDemo7.getInstance();
		SingletonDemo7 sc2 = SingletonDemo7.getInstance();
		System.out.println(sc1); // sc1，sc2是同一個物件
		System.out.println(sc2);
		
		// 通過反射的方式直接呼叫私有構造器（通過在構造器裡丟擲異常可以解決此漏洞）
		Class<SingletonDemo7> clazz = (Class<SingletonDemo7>) Class.forName("com.iter.devbox.singleton.SingletonDemo7");
		Constructor<SingletonDemo7> c = clazz.getDeclaredConstructor(null);
		c.setAccessible(true); // 跳過許可權檢查
		SingletonDemo7 sc3 = c.newInstance();
		SingletonDemo7 sc4 = c.newInstance();
		System.out.println("通過反射的方式獲取的物件sc3：" + sc3);  // sc3，sc4不是同一個物件
		System.out.println("通過反射的方式獲取的物件sc4：" + sc4);
		
		// 通過反序列化的方式構造多個物件（類需要實現Serializable介面）
		
		// 1. 把物件sc1寫入硬碟檔案
		FileOutputStream fos = new FileOutputStream("object.out");
		ObjectOutputStream oos = new ObjectOutputStream(fos);
		oos.writeObject(sc1);
		oos.close();
		fos.close();
		
		// 2. 把硬碟檔案上的物件讀出來
		ObjectInputStream ois = new ObjectInputStream(new FileInputStream("object.out"));
		// 如果物件定義了readResolve()方法，readObject()會呼叫readResolve()方法。從而解決反序列化的漏洞
		SingletonDemo7 sc5 = (SingletonDemo7) ois.readObject();
		// 反序列化出來的物件，和原物件，不是同一個物件。如果物件定義了readResolve()方法，可以解決此問題。
		System.out.println("物件定義了readResolve()方法，通過反序列化得到的物件：" + sc5); 
		ois.close();
	}

}

Java設計模式（一）：單例模式，防止反射和反序列化漏洞

package com.iter.devbox.singleton; import java.io.ObjectStreamException; import java.io.Serializable; /** * 靜態內部類實現方式（也是一種懶載入方式） * 這種方式：執行緒安全，呼叫效率高，並且實

設計模式（一）：單例模式 java實現

參考：http://blog.csdn.net/jason0539/article/details/23297037/ 單例模式：指的是一個類只有一個例項物件。它的設計是為了實現類的單一功能。專注於自己的事情。有如下三個特點：單例類只有一個

設計模式（一）：單例模式 JVM類載入機制 JDK原始碼學習筆記——Enum列舉使用及原理 Java併發（七）：雙重檢驗鎖定DCL Java併發（二）：Java記憶體模型 Java併發（二）：Java記憶體模型 Java併發（七）：雙重檢驗鎖定DCL JDK原始碼學習筆記——Enum列舉使用及原理

單例模式是一種常用的軟體設計模式，其定義是單例物件的類只能允許一個例項存在。單例模式一般體現在類宣告中，單例的類負責建立自己的物件，同時確保只有單個物件被建立。這個類提供了一種訪問其唯一的物件的方式，可以直接訪問，不需要例項化該類的物件。適用場合：需要頻繁的進行建立和銷燬的物件；建立物

Java設計模式（一）：單例模式，防止反射和反序列化漏洞

Java設計模式（一）：單例模式，防止反射和反序列化漏洞

設計模式（一）：單例模式 java實現

設計模式（一）：單例模式

深入淺出設計模式（一）：單例模式

Java 設計模式（四）：單例模式

JAVA設計模式（3）：單例模式

Java設計模式（二）：單例模式的5種實現方式，以及在多執行緒環境下5種建立單例模式的效率

（轉）設計模式（1）：單例模式

python設計模式（一）之單例模式

設計模式（一）之單例模式

Java設計模式詳談（一）：單例

Java 設計模式（一）：簡單工廠模式

關於JAVA你必須知道的那些事（四）：單例模式和多型

設計模式學習（五）：單例模式

影象演算法中的設計模式（一）：使用策略模式設計演算法

建立型模式（一）、單例設計模式-Singleton

設計模式（第一式：單例模式）

Muduo庫原始碼分析（8）：單例模式實現

java學習筆記-設計模式之單例模式如何防止反射及反序列化漏洞

Java設計模式（一）：單例模式，防止反射和反序列化漏洞

相關推薦