当前位置：首页 > news >正文

使用枚举实现单例模式，不会反序列化破坏攻击，不会被反射破坏攻击。（附带枚举单例的简单实现）

news 2026/2/11 0:17:32

原因分析

1.反序列化方法

① jdk8中的Enum源码中对反序列化方法进行重写，抛出异常。

java.lang.Enum#readObject方法截图如下

②java.io.ObjectInputStream#readObject 方法中的 readEnum 方法处理了枚举类型的反序列化，从而确保了枚举的单例特性。

具体来说，在 Java 的序列化过程中，当对象被反序列化时，ObjectInputStream 类会调用 readObject 方法来读取对象。对于枚举类型，readObject 方法会调用 readEnum，后者会根据枚举的类型和名称来查找已经存在的枚举常量：Enum.valueOf()。

java.io.ObjectInputStream#readObject方法截图如下

java.io.ObjectInputStream#readEnum方法截图如下,包含Enum.valueOf()

这一过程确保了以下几点：

确保单例性：readEnum 方法通过调用 Enum.valueOf() 来查找与名称匹配的枚举常量，这意味着无论你如何尝试反序列化，得到的都是已经存在的枚举实例，保证了枚举的单例特性。
防止实例创建：由于枚举的构造函数是私有的，而且在反序列化过程中不会直接调用构造函数，因此无法创建新的枚举实例。

2.反射newInstance()方法

在 Java 中，使用反射的 java.lang.reflect.Constructor#newInstance 方法来创建枚举类的实例时，会进行特殊的检查。

如果尝试通过反射调用 newInstance 方法来创建一个枚举类型的实例，Java 会抛出 IllegalArgumentException，并指出 "Cannot reflectively create enum objects"。这一设计是为了保护枚举类型，确保它们的实例唯一性。

如下代码：

枚举在 Java 中被设计为单例，每一个枚举常量在一个应用程序的生命周期中只能存在一个实例。由于枚举常量在定义时就已经实例化，Java 不允许通过反射来创造额外的枚举实例。这一机制通过阻止反射创建枚举对象，进一步增强了枚举的安全性和一致性。

因此，结合 ObjectInputStream 在反序列化时对枚举类型的特殊处理和反射机制的限制，共同保证了枚举类型不会被意外或者恶意地创建多个实例。

Enum的反编译

Enum 类型的静态初始化（static）

枚举类在类加载时，会静态初始化并创建实例，这一过程是由 JVM 保证的。因此，枚举类型的实例是在类加载时就已经创建好了，而反序列化时只是获取这个已存在的实例。这种机制避免了创建多个枚举实例的风险。

枚举的反编译，属性都有static修饰。

单例模式示例

假设有一个简单的枚举单例类：

import java.io.Serializable;public enum Singleton implements Serializable {INSTANCE;public void someMethod() {System.out.println("This is a method in the Singleton instance.");}
}

反射攻击与反序列化攻击

通常，在实现单例模式时，使用反射可以绕过单例的构造方法，从而创建多个实例。而反序列化攻击则是通过反序列化创建新实例，绕过单例的构造过程。

有人说枚举单例不会被破坏是因为：

普通类的反序列化使用了unsafe，枚举没有使用。

在 Java 中，反序列化的过程是为了将序列化的字节流转换回对象。为了提高性能，Java 的反序列化机制使用了 Unsafe 类来直接操作内存。普通类的反序列化可能会涉及到创建新的对象实例，这时使用 Unsafe 可以避免调用构造函数，从而提高效率。

然而，对于枚举类来说，Java 语言设计上已经保证了枚举实例是唯一的（即单例）的。在反序列化过程中，枚举的实例是通过 Enum.valueOf() 方法进行查找的，这个方法会在枚举值唯一的情况下返回已存在的实例，而不是创建新的实例。

如有说错的地方请大家及时指出以免误导他人

参考

你知道吗？枚举单例模式是世界上最好的单例模式！-CSDN博客

使用枚举实现单例模式，不会反序列化破坏攻击，不会被反射破坏攻击。（附带枚举单例的简单实现）

原因分析

1.反序列化方法

2.反射newInstance()方法

Enum的反编译

单例模式示例

反射攻击与反序列化攻击

参考

相关文章：

使用枚举实现单例模式，不会反序列化破坏攻击，不会被反射破坏攻击。（附带枚举单例的简单实现）

scala隐式转换

Spring Boot 应用 “Connection is closed” 及 MySQL 空闲超时断开连接解决方案

SLF4J框架原理及其实现方案

代码随想录-算法训练营-番外(图论01:图论理论基础,所有可到达的路径)

【JAVA】Java项目实战—Java EE项目：企业资源规划（ERP）系统

springboot配置过滤器解决html资源路径和接口路径冲突问题

在IDE中使用Git

【AIGC进阶-ChatGPT提示词副业解析】反向心理学在沟通中的运用：激将法的艺术

JeecgBoot passwordChange 任意用户密码重置漏洞复现

【智体OS】官方上新发布智体机器人：使用rtrobot智体应用远程控制平衡车机器人

Blazor（.razor）+VUE+elementUI适合一起用吗

SpringBoot左脚进门之Maven管理家

188-下翻便携式6U CPCI工控机箱

Ubuntu 挂载目录

基于IEEE 802.1Qci的时间敏感网络（TSN）主干架构安全分析及异常检测系统设计

2024年食堂采购系统源码技术趋势：如何开发智能的供应链管理APP

zotero安装教程（包括茉莉花插件）

webpack4 - 配置文件分离（详细教程）

MongoDB 分片

【根据当天日期输出明天的日期(需对闰年做判定)。】2022-5-15

【大模型RAG】Docker 一键部署 Milvus 完整攻略

Python爬虫（一）：爬虫伪装

论文解读：交大港大上海AI Lab开源论文 | 宇树机器人多姿态起立控制强化学习框架（一）

自然语言处理——Transformer

Python基于历史模拟方法实现投资组合风险管理的VaR与ES模型项目实战

免费数学几何作图web平台

Qt 事件处理中 return 的深入解析

WEB3全栈开发——面试专业技能点P4数据库

深入解析光敏传感技术：嵌入式仿真平台如何重塑电子工程教学