http://java.sun.com/javase/6/docs/platform/serialization/spec/security.html
摘要:防止敏感数据序列化不应将包含敏感数据的字段序列化;这样做会将其值公开给有权访问序列化流的任何一方。有几种方法可以防止字段被序列化:
- 将该字段声明为私有瞬态。
- 定义相关类的serialPersistentFields字段,并从字段描述符列表中省略该字段。
3.
编写特定于类的序列化方法(即writeObject或writeExternal),该方法不将字段写入序列化流(即,不调用ObjectOutputStream.defaultWriteObject)。
这里是一些链接。
声明serialPersistenetFields。
序列化体系结构规范。
对象序列化中的安全性。
