Java序列化如何加密敏感信息

在Java中，序列化是将对象转换为字节流的过程，以便将其存储在文件中或通过网络传输。然而，序列化后的字节流可能包含敏感信息，如密码、密钥等。为了保护这些敏感信息，可以在序列化过程中对其进行加密。

以下是一个简单的示例，展示了如何在Java中使用加密和解密来保护序列化对象中的敏感信息：

1. 首先，创建一个包含敏感信息的类，例如User：

import java.io.Serializable;

public class User implements Serializable {
    private static final long serialVersionUID = 1L;

    private String username;
    private transient String password; // 使用transient关键字标记敏感信息

    public User(String username, String password) {
        this.username = username;
        this.password = password;
    }

    // getter和setter方法
}

注意：在敏感字段上添加transient关键字，以确保它们不会被默认序列化。

2. 创建一个加密工具类，例如EncryptionUtil：

import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.util.Base64;

public class EncryptionUtil {
    private static final String ALGORITHM = "AES";
    private static final String KEY = "your-secret-key"; // 使用一个安全的密钥

    public static String encrypt(String data) throws Exception {
        SecretKeySpec secretKeySpec = new SecretKeySpec(KEY.getBytes(StandardCharsets.UTF_8), ALGORITHM);
        Cipher cipher = Cipher.getInstance(ALGORITHM);
        cipher.init(Cipher.ENCRYPT_MODE, secretKeySpec);
        byte[] encryptedData = cipher.doFinal(data.getBytes(StandardCharsets.UTF_8));
        return Base64.getEncoder().encodeToString(encryptedData);
    }

    public static String decrypt(String encryptedData) throws Exception {
        SecretKeySpec secretKeySpec = new SecretKeySpec(KEY.getBytes(StandardCharsets.UTF_8), ALGORITHM);
        Cipher cipher = Cipher.getInstance(ALGORITHM);
        cipher.init(Cipher.DECRYPT_MODE, secretKeySpec);
        byte[] decodedData = Base64.getDecoder().decode(encryptedData);
        return new String(cipher.doFinal(decodedData), StandardCharsets.UTF_8);
    }
}

3. 在序列化和反序列化过程中使用加密和解密工具类：

import java.io.*;

public class SerializationDemo {
    public static void main(String[] args) {
        User user = new User("John", "secret-password");

        // 序列化对象
        try (ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("user.ser"))) {
            oos.writeObject(user);
            System.out.println("User对象已序列化");
        } catch (Exception e) {
            e.printStackTrace();
        }

        // 反序列化对象并解密敏感信息
        try (ObjectInputStream ois = new ObjectInputStream(new FileInputStream("user.ser"))) {
            User deserializedUser = (User) ois.readObject();
            deserializedUser.setPassword(EncryptionUtil.decrypt(deserializedUser.getPassword()));
            System.out.println("User对象已反序列化，用户名：" + deserializedUser.getUsername() + "，密码：" + deserializedUser.getPassword());
        } catch (Exception e) {
            e.printStackTrace();
        }
    }
}

在这个示例中，我们使用AES算法对敏感信息进行加密和解密。在实际应用中，可以根据需要选择合适的加密算法和密钥管理策略。