此前面试遇到了单例问题,本以为已经背的滚瓜烂熟,没想到被问单例如何避免被反射和序列化破坏,虽然后来还是等到了通知,但还是复习一下单例的实现方式,并学习防止反射和序列化破坏的手段。

基本实现方式

其他相关资料中,最多的能数出八种单例实现方式,而实际上其中有些实现并不具备实际意义,在文中出现也仅是为了指出存在的问题便于引出下文。本文仅介绍有实际意义的单例实现模式。为了缩减篇幅,先给出一个后续出现代码的模板的类图:

classDiagram
class Singleton{
-Logger log$
-Singleton instance$

+getInstance()$ Singleton
+loadClass()$ void
+function() void
-Singleton()
}

单例类 Singleton 模板:后文中介绍具体实现方式仅给出 Singleton#instance 引用和 Singleton#getInstance 方法的内容,其他内容无变化。

public class Singleton {

    private static final Logger log = LogManager.getLogger(Singleton.class);

	//单例引用,不同实现方式有所不同

    private static Singleton instance;

    /**

     * 获取单例的函数,不同实现方式有所不同

     *

     * @return 单例

     */

    public static Singleton getInstance() {

        //some code

    }

    /**

     * 静态方法,用于触发虚拟机类加载,仅有一行日志用于观察类加载时间

     */

    public static void load() {

        log.debug("{} loaded", Singleton.class);

    }

    /**

     * 单例类的功能函数,仅有一行日志

     */

    public void function() {

        log.debug("Singleton's instance using");

    }

    /**

     * 私有的构造函数,仅有一行日志用于观察构造时间

     */

    private Singleton() {

        log.debug("Singleton's instance instantiated");

    }

}

调用单例类的 Main 类:

public class Main {

    public static void main(String[] args) throws Exception{

        //先触发类加载

        Singleton.load();

        //等待一定时间

        TimeUnit.SECONDS.sleep(3);

        //执行单例的功能函数

        Singleton.getInstance().function();

    }

}

饿汉式

饿汉式具有线程安全和非 Lazy 初始化的特点,实现难度最简单。由于 JVM 的类加载是单线程的,且已加载过的类不会重复加载,所以饿汉式天生具有线程安全的特点。

  • 由于是类加载即初始化,单例引用可添加 final 修饰。

    public static final Singleton instance = new Singleton();

//下面写法效果相同
    
/*
    
public static final Singleton instance;

static {
    
	instance = new Singleton();
    
}
    
*/

  • 获取单例函数:

    public static Singleton getInstance() {
    
    return instance;
    
}

执行结果:

13:19:32.565 - Singleton's instance instantiated

13:19:32.569 - class cncsl.github.io.Singleton loaded

13:19:35.572 - Singleton's instance using

从日志可以看出,单例类刚加载时就调用构造函数完成了单实例的初始化。

双锁检查式

双锁检查是经常出现于面试题中的实现方式,具有线程安全和 Lazy 初始化的特点。需要自行实现线程安全的单例初始化,且要避免指令重排序导致的安全问题,实现难度较高。

  • 为了避免指令重排序导致的线程安全问题,需要给单例引用添加 volatile 修饰:

    private volatile static Singleton instance;

  • 双锁检查式最难的部分就是在获取单例的函数中进行两次非 null 判断和加锁后再初始化的过程:

    public static Singleton getInstance() {
    
    if (instance == null) {
    
        synchronized (Singleton.class) {
    
            if (instance == null) {
    
                instance = new Singleton();
    
            }
    
        }
    
    }
    
    return instance;
    
}

执行结果:

13:30:07.524 - class cncsl.github.io.Singleton loaded

13:30:10.541 - Singleton's instance instantiated

13:30:10.541 - Singleton's instance using

从日志可以看出,类加载之后并没有立即初始化,实际需要调用到单例的功能函数前才进行了初始化。

静态内部类式

静态内部类式也用到了 JVM 类加载器的特性,既保证线程安全的情况下实现了 Lazy 加载。

  • 添加一个静态内部类持有单例引用:

    private static class InstanceHolder {
    
    private static final Singleton INSTANCE = new Singleton();
    
}

  • 获取单例的函数调用时才会加载静态内部类,进而触发单实例的初始化:

    public static Singleton getInstance() {
    
    return InstanceHolder.INSTANCE;
    
}

执行效果与双锁检查式相同,不在赘述。

枚举式

枚举式的实现是将单例类写成一个枚举,枚举值仅包含一个单例引用,再加上与业务逻辑相关的功能函数即可。由于枚举的特点,这种实现方式具有线程安全、非 Lazy 加载和防止反射、序列化破坏单例等特点。

由于改动较大附上全部代码:

public enum Singleton {

    /**

     * 单例枚举值

     */

    INSTANCE;

    /**

     * 获取单例的函数

     */

    public static Singleton getInstance() {

        return INSTANCE;

    }

    /**

     * 静态方法,用于触发虚拟机类加载,仅有一行日志用于观察类加载时间

     */

    public static void load() {

        System.out.printf("%s - %s loaded%n", LocalTime.now().toString(), Singleton.class);

    }

    /**

     * 单例类的功能函数,仅有一行日志

     */

    public void function() {

        System.out.printf("%s - Singleton's instance using%n", LocalTime.now().toString());

    }

    /**

     * 私有的构造函数,仅有一行日志用于观察构造时间

     */

    Singleton() {

        System.out.printf("%s - Singleton's instance instantiated%n", LocalTime.now().toString());

    }

}

执行结果:

13:57:27.142 - Singleton's instance instantiated

13:57:27.154 - class cncsl.github.io.Singleton loaded

13:57:30.156 - Singleton's instance using

可以看出,枚举类加载之后立即初始化了单例对象,而三秒后执行了单例类的功能函数。

防反射和序列化破坏单例

在 Java 中,通过序列化也能创建新的对象实例,而反射能突破构造函数 private 的限制,下面介绍一下如何避免这些情况的发生。枚举式单例天生避免了这些问题,下方内容都是针对其他三种实现方式而言的。

另外,请明白一个前提,设计模式是一种设计的方式,既不是某种语言的语法约束,除了枚举方式以外、其他实现方式在有人恶意破坏的情况都无法完全确保单例。在这种情况下,需要考虑的不是如何改进现有的设计,而是找出企图通过这些手段破坏单例的人。所以下面的知识一般用于面试:当遇到如何确保单例的问题时,首先说枚举式设计方式、然后才是下面的内容。

反射手段

下方是通过反射方式破坏单例的过程:

public static void main(String[] args) {

    try {

        //通过getInstance()获取

        Singleton one = Singleton.getInstance();

        log.debug(one.hashCode());

        //反射调用构造函数

        Constructor<Singleton> constructor = Singleton.class.getDeclaredConstructor();

        constructor.setAccessible(true);

        Singleton two = constructor.newInstance();

        log.debug(two.hashCode());

        log.debug(one == two);

    } catch (Exception e) {

        log.error("Exception: ", e);

    }

}

执行结果:

15:10:48.237 - Singleton's instance instantiated

15:10:48.240 - 1159114532

15:10:48.240 - Singleton's instance instantiated

15:10:48.240 - 1832580921

15:10:48.240 - false

可以看出目前程序中以存在两个 Singleton 类的实例,单例已经被破坏。

解决方案为在单例类的构造函数中进行检查,如果单例引用不为 null 就抛出异常:

private Singleton() {

    if (instance != null) {

        throw new UnsupportedOperationException("不允许重复创建实例");

    }

    log.debug("Singleton's instance instantiated");

}

再次执行结果:

15:17:36.834 - Singleton's instance instantiated

15:17:36.836 - 1159114532

15:17:36.836 - Exception:

java.lang.reflect.InvocationTargetException: null

	at sun.reflect.NativeConstructorAccessorImpl.newInstance0(Native Method) ~[?:1.8.0_261]

	at sun.reflect.NativeConstructorAccessorImpl.newInstance(NativeConstructorAccessorImpl.java:62) ~[?:1.8.0_261]

	at sun.reflect.DelegatingConstructorAccessorImpl.newInstance(DelegatingConstructorAccessorImpl.java:45) ~[?:1.8.0_261]

	at java.lang.reflect.Constructor.newInstance(Constructor.java:423) ~[?:1.8.0_261]

	at cncsl.github.io.Main.main(Main.java:18) [classes/:?]

Caused by: java.lang.UnsupportedOperationException: 不允许重复创建实例

	at cncsl.github.io.Singleton.<init>(Singleton.java:32) ~[classes/:?]

	... 5 more

当然,攻击者可以在外部先记录一份 instance 引用,通过反射修改 instance 引用后再创建对象,这样程序中会存在两个 Singleton 实例。

序列化手段

下方是通过序列化手段破坏单例的过程:

public static void main(String[] args) {

    try (ObjectOutputStream output = new ObjectOutputStream(new FileOutputStream("Singleton.temp"));

         ObjectInputStream input = new ObjectInputStream(new FileInputStream("Singleton.temp"))) {

        Singleton one = Singleton.getInstance();

        log.debug(one.hashCode());

        output.writeObject(one);

        Singleton two = (Singleton) input.readObject();

        log.debug(two.hashCode());

        log.debug(one == two);

    } catch (Exception e) {

        log.error("Exception: ", e);

    }

}

执行结果如下:

21:15:36.605 - Singleton's instance instantiated

21:15:36.610 - 22756955

21:15:36.619 - 1582785598

21:15:36.619 - false

可以看出,序列化读取到的对象已经是一个新的对象,单例已被破坏。

解决方案是为单例类添加如下函数:

private Object readResolve() {

  return instance;

}

再次执行后可以发现已经反序列化时得到的仍然是原单例对象:

21:28:34.954 - Singleton's instance instantiated

21:28:34.956 - 22756955

21:28:34.964 - 22756955

21:28:34.964 - true

当前序列化有个前提是实现 Serializable 接口,私以为这种情况是一个错误的设计:单例类一般和业务逻辑相关、而序列化一般和封装数据用的实体对象有关,二者不应该出现在同一个类里。

再看 Java 中的单例的更多相关文章

  1. java中的单例设计模式

    单例模式有一下特点: 1.单例类只能有一个实例. 2.单例类必须自己自己创建自己的唯一实例. 3.单例类必须给所有其他对象提供这一实例. 单例模式确保某个类只有一个实例,而且自行实例化并向整个系统提供 ...

  2. Java中常用来处理时间的三个类:Date、Calendar、SimpleDateFormate,以及Java中的单例设计模式:懒汉式、饿汉式以及静态内部类式

    (一)java.util.Date类 1.该类有一个long类型的属性:用来存放时间,是用毫秒数的形式表示,开始的日期是从1970年1月1号 00:00:00.    2.该类的很多方法都已经过时,不 ...

  3. JAVA中实现单例(Singleton)模式的八种方式

    单例模式 单例模式,是一种常用的软件设计模式.在它的核心结构中只包含一个被称为单例的特殊类.通过单例模式可以保证系统中,应用该模式的类一个类只有一个实例.即一个类只有一个对象实例. 基本的实现思路 单 ...

  4. Java设计模式之单例

    一.Java中的单例: 特点: ① 单例类只有一个实例 ② 单例类必须自己创建自己唯一实例 ③ 单例类必须给所有其他对象提供这一实例 二.两种模式: ①懒汉式单例<线程不安全> 在类加载时 ...

  5. Java 多线程之单例设计模式

    转载:https://segmentfault.com/a/1190000007504892 概念: Java中单例模式是一种常见的设计模式,单例模式的写法有好几种,这里主要介绍两种:懒汉式单例.饿汉 ...

  6. Spring5源码解析-Spring框架中的单例和原型bean

    Spring5源码解析-Spring框架中的单例和原型bean 最近一直有问我单例和原型bean的一些原理性问题,这里就开一篇来说说的 通过Spring中的依赖注入极大方便了我们的开发.在xml通过& ...

  7. NopCommerce中的单例

    项目中经常会遇到单例的情况.大部分的单例代码都差不多像这样定义: internal class SingletonOne { private static SingletonOne _singleto ...

  8. 5.2:缓存中获取单例bean

    5.2  缓存中获取单例bean 介绍过FactoryBean的用法后,我们就可以了解bean加载的过程了.前面已经提到过,单例在Spring的同一个容器内只会被创建一次,后续再获取bean直接从单例 ...

  9. Swift中编写单例的正确方式

    在之前的帖子里聊过状态管理有多痛苦,有时这是不可避免的.一个状态管理的例子大家都很熟悉,那就是单例.使用Swift时,有许多方法实现单例,这是个麻烦事,因为我们不知道哪个最合适.这里我们来回顾一下单例 ...

随机推荐

  1. Portswigger web security academy:SQL injection

    Portswigger web security academy:SQL injection 目录 Portswigger web security academy:SQL injection SQL ...

  2. CTFHub-easy_search

    easy_search 玩了好些天,今天做道题找找状态,明天开始肝了 打开是一个登录框 用amdin/admin尝试了一下,提示登陆失败 这里肯定不会是暴力破解,我猜是sql注入,试了万能密码or 1 ...

  3. php笔记之魔术方法、魔法常量和超全局变量

    一.魔术方法(13个)1.__construct()实例化对象时被调用, 当__construct和以类名为函数名的函数同时存在时,__construct将被调用,另一个不被调用.2.__destru ...

  4. Java前后端分离的认识

    1.原由 在网上查了关于前后端分离的资料,有所粗浅认识.记录下来,方便以后使用.以下均是个人看法,仅做参考.如有错误请指教,共同进步. 2.为什么前后端分离? ①.一个后台,可以让多种前台系统使用.后 ...

  5. Java 进行时间处理

    Java 进行时间处理 一.Calendar (1).Calender介绍 Calendar的中文翻译是日历,实际上,在历史上有着许多种计时的方法.所以为了计时的统一,必需指定一个日历的选择.那现在最 ...

  6. Electron-Vue3-Vadmin后台系统|vite2+electron桌面端权限管理系统

    基于vite2.x+electron12桌面端后台管理系统Vite2ElectronVAdmin. 继上一次分享vite2整合electron搭建后台框架,这次带来的是最新开发的跨桌面中后台权限管理系 ...

  7. C++ primer plus读书笔记——第2章 开始学习C++

    第2章 开始学习C++ 1. endl确保程序继续运行前刷新输出(将其立即显示在屏幕上),而使用"\n"不提供这样的保证,这意味着在有些系统中,有时可能在您输入信息后才会出现提示. ...

  8. cmake和make

    学计算机的,在写代码的时候,IDE安装好,环境按着教程配置好,就直接代码了,编辑器的具体原理只是一知半解,现在来系统学习一下,为了方便以后学习HElib! make和cmake 写程序大体步骤为: 1 ...

  9. 『政善治』Postman工具 — 12、Postman中实现数据驱动

    目录 1.什么是数据驱动? 2.测试集说明 3.创建请求与准备数据文件 (1)新增学院结果文档内容如下 (2)编写数据文件 (3)在Postman中创建请求 4.实现Postman中的数据驱动 步骤1 ...

  10. 变量覆盖-高级篇(动态覆盖,extract综合)

    0x00 原理   变量覆盖漏洞可以让用户定义的变量值覆盖原有程序变量,可控制原程序逻辑. 0x01 代码 <?php highlight_file('index.php'); function ...