싱글턴 패턴의 직렬화
이 클래스는 바깥에서 생성자를 호출하지 못하게 막는 방식으로, 인스턴스가 오직 하나만 만들어짐을 보장했다.
public class Elvis {
public static final Elvis INSTANCE = new Elvis();
private Elvis() { }
public void leaveTheBuilding() { ... }
}
이 클래스는 선언에 implements Serializable을 추가하는 순간 더이상 싱글턴이 아니게된다. 기본 직렬화를 쓰지 않더라도, 그리고 명시적인 readObject를 제공하더라도 이 클래스가 초기화될 때 만들어진 인스턴스와는 별개인 인스턴스를 반환하게된다.
readResolve 기능
readResolve 기능을 이용하면 readObject가 만들어낸 인스턴스를 다른 것으로 대체할 수 있다. 역직렬화한 객체의 클래스가 readResolve 메서드를 적절히 정의해뒀다면, 역직렬화 후 새로 생성된 객체를 인수로 이 메서드가 호출되고, 이 메서드가 반환한 객체 참조가 새로 생성된 객체를 대신하여 반환된다. 대부분의 경우 이때 새로 생성된 객체의 참조는 유지하지 않으므로 바로 가비지 컬렉션 대상이 된다.
// 개선의 여지가 있다.
private Object readResolve() {
// 객체의 Elvis를 반환하고, 가짜 Elvis는 가비지 컬렉터에 맡긴다.
return INSTANCE;
}
이 메서드는 역직렬화한 객체는 무시하고 클래스 초기화때 만들어진 Elvis 인스턴스를 반환한다. 따라서 Elvis 인스턴스의 직렬화 형태는 아무런 실 데이터를 가질 이유가 없으니 모든 인스턴스 필드를 transient로 선언해야한다.
사실, readResolve를 인스턴스 통제 목적으로 사용한다면 객체 참조 타입 인스턴스 필드는 모두 transient로 선언해야한다.
그렇지 않으면 readResolve 메서드가 수행되기 전에 역직렬화된 객체의 참조를 공격할 여지가 남게된다.
싱글턴이 transient가 아닌 참조 필드를 가지고 있다면, 그 필드의 내용은 readResolve 메서드가 실행되기 전에 역직렬화 되면서 그 시점에 역직렬화된 인스턴스의 참조를 훔쳐올 수 있다.
도둑 클래스
잘못된 싱글턴 - transient가 아닌 참조 필드를 가지고있다!
package com.java.effective.item89;
//public class Elvis {
// public static final Elvis INSTANCE = new Elvis();
// private Elvis(){
// }
//
// public void leaveTheBuilding(){
//
// }
//}
import java.io.Serializable;
import java.util.Arrays;
public class Elvis implements Serializable {
public static final Elvis INSTANCE = new Elvis();
private Elvis() {}
private String[] favoriteSongs = {"KIM", "LEE"};
public void printFavorites() {
System.out.println(Arrays.toString(favoriteSongs));
}
private Object readResolve() {
return INSTANCE;
}
}
도둑 클래스
readResolve()와 인스턴스 필드 하나를 포함한 도둑 클래스다. 이 인스턴스 필드(payload)는 도둑이 숨길 직렬화된 싱글턴을 참조하는 역할을 한다. 직렬화된 스트림에서 싱글턴의 비휘발성 필드를 이 도둑의 인스턴스로 교체한다. 이렇게 싱글턴은 도둑을 참조하고 도둑은 싱글턴을 참조하는 순환고리가 만들어진다.
package com.java.effective.item89;
import java.io.Serializable;
public class ElvisStealer implements Serializable {
private static final long serialVersionUID = 0;
static Elvis impersonator;
private Elvis payload;
private Object readResolve() {
// resolve 되기 전의 Elvis 인스턴스의 참조를 저장한다.
impersonator = payload;
// favoriteSongs 필드에 맞는 타입의 객체를 반환한다.
return new String[]{"A Fool Such as I"};
}
}
- 1) 싱글턴이 도둑을 포함하므로, 싱글턴이 역직렬화될 때 도둑의 readResolve 메서드가 먼저 호출된다.
- 2) 그 결과, 도둑의 readResolve()가 수행될때 도둑의 인스턴스 필드에는 역직렬화 도중인 (그리고 readResolve가 수행되기 전인) 싱글턴의 참조가 담겨 있게 된다.
- 3) 도둑의 readResolve 메서드는 이 인스턴스 필드가 참조한 값을 정적 필드로 복사하여 readResolve가 끝난 후에도 참조할 수 있도록 한다.
- 4) 그런 다음 이 메서드는 도둑이 숨긴 transient가 아닌 필드의 원래 타입에 맞는 값을 반환한다.
마지막으로, 다음의 괴이한 프로그램은 수작업으로 만든 스트림을 이용해 2개의 싱글턴 인스턴스를 만들어낸다.
import static com.github.sejoung.codetest.serialization.Util.deserialize;
public class ElvisImpersonator {
// 진짜 Elvis 인스턴스로는 만들어질 수 없는 바이트 스트림!
private static final byte[] serializedForm = new byte[] { (byte) 0xac,
(byte) 0xed, 0x00, 0x05, 0x73, 0x72, 0x00, 0x05, 0x45, 0x6c, 0x76,
0x69, 0x73, (byte) 0x84, (byte) 0xe6, (byte) 0x93, 0x33,
(byte) 0xc3, (byte) 0xf4, (byte) 0x8b, 0x32, 0x02, 0x00, 0x01,
0x4c, 0x00, 0x0d, 0x66, 0x61, 0x76, 0x6f, 0x72, 0x69, 0x74, 0x65,
0x53, 0x6f, 0x6e, 0x67, 0x73, 0x74, 0x00, 0x12, 0x4c, 0x6a, 0x61,
0x76, 0x61, 0x2f, 0x6c, 0x61, 0x6e, 0x67, 0x2f, 0x4f, 0x62, 0x6a,
0x65, 0x63, 0x74, 0x3b, 0x78, 0x70, 0x73, 0x72, 0x00, 0x0c, 0x45,
0x6c, 0x76, 0x69, 0x73, 0x53, 0x74, 0x65, 0x61, 0x6c, 0x65, 0x72,
0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00, 0x01,
0x4c, 0x00, 0x07, 0x70, 0x61, 0x79, 0x6c, 0x6f, 0x61, 0x64, 0x74,
0x00, 0x07, 0x4c, 0x45, 0x6c, 0x76, 0x69, 0x73, 0x3b, 0x78, 0x70,
0x71, 0x00, 0x7e, 0x00, 0x02 };
public static void main(String[] args) {
// ElvisStealer.impersonator를 초기화한 다음,
// 진짜 Elvis(즉, Elvis.INSTANCE)를 반환한다.
Elvis elvis = (Elvis) deserialize(serializedForm);
Elvis impersonator = ElvisStealer.impersonator;
elvis.printFavorites();
impersonator.printFavorites();
}
}
실행 결과
서로 다른 2개의 Elvis 인스턴스를 생성할 수 있음을 증명했다.
[Kim, Lee]
[A Fool Such as I]
해결방법 - 열거 타입
faboriteSongs 필드를 transient로 선언하여 이 문제를 고칠 수 있지만, Elvis를 원소 하나짜리 열거 타입으로 바꾸는 편이 더 나은 선택이다. readResolve 메서드를 사용해 '순간적으로' 만들어진 역직렬화된 인스턴스에 접근하지 못하게 하는 방법은 깨지기 쉽고 신경을 많이 써야하는 작업이다.
직렬화 가능한 인스턴스 통제 클래스를 열거 타입을 이용해 구현하면 선언한 상수 외의 다른 객체는 존재하지 않음을 자바가 보장해준다.
열거 타입 싱글턴 - 전통적인 싱글턴보다 우수하다.
public enum Elvis {
INSTANCE;
private String[] favoriteSongs = {"KIM", "LEE"};
public void printFavorites() {
System.out.println(Arrays.toString(favoriteSongs));
}
}
열거 타입이 아닌 readResolve를 사용해야하는 경우도 있다.
직렬화 가능 인스턴스 통제 클래스에 작성해야하는데, 컴파일 타임에는 어떤 인스턴스들이 있는지 알 수 없는 상황이라면 열거타입으로 표현하는 것이 불가능하다.
readResolve 메서드의 접근성 주의점
readResolve 메서드의 접근성은 매우 중요하다. final 클래스라면 readResolve 메서드는 private 여야한다. final이 아닌 클래스에서는 다음의 몇가지를 주의해야한다.
- 1) private으로 선언하면 하위 클래스에서 사용할 수 없다.
- 2) package-private으로 선언하면 같은 패키지에 속한 하위 클래스에서만 사용할 수 있다.
- 3) protected나 public으로 선언하면 이를 재정의하지 않은 모든 하위 클래스에서 사용할 수 있다.
- 4) protected나 public이면서 하위 클래스를 재정의하지 않았다면, 하위 클래스의 인스턴스를 역직렬화하면 상위 클래스의 인스턴스를 생성하여 ClassCastException을 일으킬 수 있다.
'Book > Effective Java' 카테고리의 다른 글
[교재 EffectiveJava] 아이템 1. 생성자 대신 정적 팩터리 메서드를 고려하라 (0) | 2023.04.09 |
---|---|
[교재 EffectiveJava] 아이템 90. 직렬화된 인스턴스 대신 직렬화 프록시 사용을 검토하라 (0) | 2022.08.20 |
[교재 EffectiveJava] 아이템 88. readObject 메서드는 방어적으로 작성하라 (0) | 2022.08.20 |
[교재 EffectiveJava] 아이템 87. 커스텀 직렬화 형태를 고려해보라 (0) | 2022.08.20 |
[교재 EffectiveJava] 아이템 86. Serializable을 구현할지는 신중히 결정하라 (0) | 2022.08.20 |