新Java网络程序设计　教学课件 房晓溪 第5章 Socket高级编程.pptVIP

第5章 Socket高级编程 主要内容 对象序列化 Socket对象 数字签名报文 5-1 对象序列化 对象序列化与持久性 对象序列化的安全 控制序列化 序列化对象的版本 5-1-1 对象序列化与持久性 本节我们将回顾一个第4章中，有关保持对（职员）数据跟踪部分曾讨论过的对象持久性的问题。我们将介绍如何使用持久性存储器提供对象的序列化。 5-1-2 对象序列化的安全 有两种方法可以保证序列化一个对象，而不将敏感的数据暴露给他人。第1种方法是，将任何敏感的数据标记为transient。这样，上面的passwd可以写做： private transient String passwd; 当序列化发生时，Java虚拟机将被声明为transient的所有域。但是，如果你想同其他对象一样，序列化transient数据，你就必须重写writeObject和readObject方法，以控制发送的数据，以及如何存储它们。 第2种处理敏感数据的方法是实现Externalizable接口，它是Serializable接口的子类。这个接口有两个方法必须被实现，它们是writeExternal和readExternal。 5-1-3 控制序列化 到现在为止，序列化还是通过使用ObjectInputStream、ObjectOutputStream、WriteObject和ReadObject来自动执行。但是，也有一些情况，如上文的PasswordFile，你需要控制哪一个域被序列化，而哪一个不被序列化。除了我们前面使用过的Serializable接口，java.io包还包括另一个接口：Externalizable。当你想要定义一个对象，以对序列化进行完全控制时，将用到这个接口 。 5-1-4 序列化对象的版本 对象序列化机制使用一个标识符跟踪所有类。这个标识符称做serialVersionUID，它是一个64位的值，由类的结构计算得出。JDK中提供了一个名为serialver的程序，通过它，你可以确定一个类是否被序列化，并获得该类的aerialVersionUID。如果你使用 – show调用该程序，它将弹出一个简单的用户界面。 要确定一个类是否被序列化，以及它的serialVersionUID，可以在输入文本框中输入完整的类名，然后单击show按钮。如果类被序列化，那么你将得到一个serialVersionUID值。一旦得到这个值，你就可以在该类的后续版本中包括该值，以表明这个新版本同serialVersionUID所标明的版本兼容。这可以通过在你的version类中进行如下声明实现： Static final long serialVersionUID = 1421746759512286392L; 注意：serialver所计算出来的这个值将用于所有兼容的类。 5-2 Socket对象 包中的类包含了一些方法，这些方法能够读/写（或交换）客户和服务器之间的基本数据类型。第3章中，当我们开发算术服务器时，必须编写自己的方法，以读写整型数组到Socket，因为没有现成的方法能够完成这样的操作。那时有一个很好的问题，就是是否能通过Socket传送对象。回答当然是肯定的。使用对象序列化API，就可以通过Socket来写对象。 在线发送对象 如果你已经熟悉了分布对象技术，你可能要问，为什么使用Socket来做这项工作，而不使用分布对象系统（例如RMI）来达到这个目的呢？如果你想通过Socket发送对象，而避免使用分布式对象系统所产生的开销，那么使用Socket和对象序列化就是一个可行的方法。 本节中，我们将通过第3章中开发的示例——算术服务器程序，来说明如何通过Socket发送对象。此处提示一下，该程序的功能是，接收客户发送来的两个整型数组，将它们相加后，再把结果返回给客户。 开发一个序列化的类 我们需要一个类，它作为一个接口，为客户和服务器提供服务。该类定义了两个方法：一个设置数组，一个显示结果。 5-3 数字签名报文 java.security包 数字签名 示例：通过Socket签名文件 5-3-1 java.security包 java安全API使开发者能够将低层的和高层的安全函数，结合进它们的应用程序中。它为数字签名、报文摘要、密钥管理以及访问控制列表提供了API。下面，我们将只讨论数字签名，以及如何使用它们去认证通过Socket传送的报文。 5-3-2 数字签名 它能标识出作者、数据以及签名的时间。 当用于解决争议时，它能被第三方所认可。 为使数字签名得到实际的应用，它们必须具有以下特性： 容易产生。 容易识别和认证。 不可伪造。 5-3-3 示例：通过Socket签名文件 第1步：开发一个签名