EG面临的最大挑战之一是如何处理可序列化性。可以说,没有伟大的解决方案,只有各种弊端之间的权衡。一些团体坚持认为所有lambda都可以自动序列化(!);其他人则坚持认为lambda永远不可序列化(这有时看起来很吸引人,但可悲的是,这将严重违反用户的期望。)
您注意:
嗯,另一种解决方案是永远不要在与安全相关的代码中使用lambda表达式/方法引用,
实际上,序列化规范现在已明确说明了这一点。
但是,有一个相当简单的技巧可以在这里执行您想要的操作。假设您有一些需要可序列化实例的库:
public interface SomeLibType extends Runnable, Serializable { }使用期望这种类型的方法:
public void gimmeLambda(SomeLibType r)
并且您想将lambda传递给它,但又不想让它们可序列化(并承担其后果。)因此,请编写此辅助方法:
public static SomeLibType launder(Runnable r) { return new SomeLibType() { public void run() { r.run(); } }}现在您可以调用库方法:
gimmeLambda(launder(() -> myPrivateMethod()));
编译器会将您的lambda转换为不可序列化的Runnable,并且清洗程序包装器将使用满足类型系统的实例对其进行包装。当您尝试对其进行序列化时,由于
r无法序列化,因此将失败。更重要的是,您不能伪造对私有方法的访问,因为捕获类中所需的
$deserializeLambda
$支持甚至都不存在。
