Лекції

Розширюємо базову серіалізацію в Java: коли «автоматики» Serializable замало, на допомогу приходить ручний контракт Externalizable з методами writeExternal/ readExternal. У лекції розбираємо, як повністю контролювати формат даних, зменшувати розмір файлів і підтримувати зворотну сумісність, порівнюємо з потоками ObjectOutputStream/ ObjectInputStream, показуємо приклади, плюси/мінуси та типові помилки (обов’язковий public конструктор без параметрів, порядок запису/читання тощо).

У лекції розглядаємо, як впливати на процес серіалізації та десеріалізації в Java за допомогою методів writeReplace і readResolve: навіщо підміняти об’єкт на проксі, як зберегти синглтон, що робити з незмінними об’єктами та як це співвідноситься з writeObject/ readObject. Покрокова практика, Mermaid-схема потоку операцій і розбір типових помилок.

Практичний гід із безпечної серіалізації в Java: чим небезпечна десеріалізація з ненадійних джерел, як захищатися за допомогою ObjectInputFilter, ключового слова transient, явного serialVersionUID, перевірки типів через instanceof та альтернативних форматів обміну (JSON/Proto). Усередині — наочні приклади коду, фільтрація дозволених класів і розбір типових помилок.

У цій лекції розглядаємо, як Java виконує глибоку серіалізацію графа об’єктів: що відбувається з полями‑посиланнями, чому всі вкладені об’єкти мають реалізовувати Serializable, як уникнути NotSerializableException і в яких випадках допомагає модифікатор transient. На прикладах покажемо серіалізацію/десеріалізацію об’єктів із вкладеністю, колекціями та циклічними посиланнями, а також розглянемо типові помилки, пов’язані з serialVersionUID і великими графами об’єктів.

Як Java серіалізує складні структури даних — від вкладених колекцій та ієрархій наслідування до циклічних графів об’єктів. Розберімо, чому працює серіалізація Map<String, List<Book>>, як зберігаються реальні типи нащадків у List<Animal>, що робить механізм посилань у випадку циклів і які підводні камені можуть траплятися. Поговоримо про роль ObjectOutputStream/ ObjectInputStream, методів writeObject/ readObject, поля serialVersionUID і модифікатора transient.

Розбираємо, що таке циклічні посилання в об’єктних графах, чим вони небезпечні для серіалізації та як із ними впоратися. Показано, як стандартні потоки Java — ObjectOutputStream/ ObjectInputStream — автоматично відстежують вже зустрінуті об’єкти та записують посилання (handles), запобігаючи StackOverflowError. Розберемо підводні камені кастомної серіалізації ( writeObject/ readObject, defaultWriteObject/ defaultReadObject), а також стратегії обходу циклів у JSON: анотації @JsonIdentityInfo, @JsonBackReference/ @JsonManagedReference, вилучення полів за допомогою transient і використання ідентифікаторів.

Як Java зберігає та відновлює ідентичність об’єктів під час бінарної серіалізації: чому еквівалентність через a. equals( b) не дорівнює ідентичності ( a == b), як ObjectOutputStream/ ObjectInputStream відстежують граф об’єктів і записують «повторні посилання» замість дублів, чому це коректно працює за наявності циклів, і як методи writeReplace() і readResolve() можуть вплинути на підсумкову ідентичність. Розбір із прикладами: цикли, спільні посилання, практика і типові помилки.

У цій лекції розберемо найчастіші проблеми під час серіалізації колекцій: від java.io.NotSerializableException (коли елементи не реалізують Serializable) і пасток дженериків із ClassCastException до несумісності версій класів через serialVersionUID. Поговоримо про нюанси незмінних колекцій ( List.of(), Set.of(), Map.of()), поведінку полів transient/ static, а також про продуктивність і розмір файлів, де стануть у пригоді потоковий запис та стискання ( GZIPOutputStream). Ви отримаєте практичні поради, приклади коду та рекомендації щодо безпечної десеріалізації ( readObject/ writeObject).

У лекції розберемо ризики бінарної серіалізації в Java: чому десеріалізація з недовірених джерел небезпечна (ланцюжки «gadget chain», RCE), чим загрожують спеціальні методи на кшталт readObject і readResolve, та як захищатися (whitelisting, відмова на користь JSON/ XML, безпечні бібліотеки на кшталт Jackson). Детально розглянемо сумісність версій класів і роль поля serialVersionUID, поведінку під час InvalidClassException, обмеження transient/ static, продуктивність, а також найкращі практики та типові помилки.

Розбираємося, як стирання типів ( type erasure) впливає на серіалізацію generics‑колекцій: чому під час виконання List<String> і List<Integer> — один і той самий ArrayList, що саме записується й читається через ObjectOutputStream/ ObjectInputStream, звідки беруться ClassCastException і попередження про unchecked-касти. Покажемо приклади з вкладеними колекціями, Map/ Set, згадаємо Gson/ Jackson і сформулюємо практики безпечної десеріалізації.

Розбираємо, як еволюціонувати серіалізовані класи й не зламати дані: навіщо фіксувати serialVersionUID, як JVM перевіряє сумісність, які зміни безпечні (додавання/видалення полів), а які критичні (зміна типу, перенесення класу до пакета). Покажемо роль transient/ static, прийоми кастомної серіалізації через writeObject/ readObject, відмінність бінарної серіалізації від XML/JSON, стратегії забезпечення сумісності та типові помилки (наприклад, InvalidClassException).

Як безпечно еволюціонувати серіалізовані класи у продакшені: що буде при зміні полів і типів, як працює версія класу через serialVersionUID, коли її змінювати, а коли залишати попередньою, як застосовувати «ледачу» міграцію через readObject/ readFields і «in-place» конвертацію, і які є просунуті прийоми на кшталт ObjectInputStream.readClassDescriptor(). Розберемо повний практичний сценарій із двома версіями класу та типовими помилками, включно з пастками InvalidClassException.