Java序列化如何加密敏感数据

在Java中，序列化是将对象转换为字节流的过程，以便将其存储在文件、数据库或通过网络传输。然而，序列化后的字节流可能包含敏感数据，如密码、个人身份信息等。为了保护这些敏感数据，可以在序列化和反序列化过程中对其进行加密和解密。

以下是一个简单的示例，展示了如何在Java中使用自定义序列化方法对敏感数据进行加密和解密：

1. 首先，创建一个实现了Serializable接口的类，该类包含敏感数据：

import java.io.Serializable;

public class Person implements Serializable {
    private static final long serialVersionUID = 1L;

    private String name;
    private transient String password; // 使用transient关键字标记敏感数据

    public Person(String name, String password) {
        this.name = name;
        this.password = password;
    }

    // 省略getter和setter方法
}

2. 创建一个加密工具类，用于加密和解密敏感数据：

public class EncryptionUtil {
    public static String encrypt(String data) {
        // 在这里实现加密算法
        return Base64.getEncoder().encodeToString(data.getBytes());
    }

    public static String decrypt(String encryptedData) {
        // 在这里实现解密算法
        return new String(Base64.getDecoder().decode(encryptedData));
    }
}

3. 创建一个自定义的序列化工具类，用于处理敏感数据的加密和解密：

import java.io.*;

public class CustomSerializationUtil {
    public static void serialize(Person person, String fileName) throws IOException {
        try (ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream(fileName))) {
            oos.writeObject(person);
            oos.writeObject(EncryptionUtil.encrypt(person.getPassword()));
        }
    }

    public static Person deserialize(String fileName) throws IOException, ClassNotFoundException {
        try (ObjectInputStream ois = new ObjectInputStream(new FileInputStream(fileName))) {
            Person person = (Person) ois.readObject();
            person.setPassword(EncryptionUtil.decrypt((String) ois.readObject()));
            return person;
        }
    }
}

4. 最后，在主程序中使用自定义的序列化工具类对Person对象进行序列化和反序列化：

public class Main {
    public static void main(String[] args) {
        try {
            Person person = new Person("John Doe", "mySecretPassword");
            CustomSerializationUtil.serialize(person, "person.ser");

            Person deserializedPerson = CustomSerializationUtil.deserialize("person.ser");
            System.out.println("Name: " + deserializedPerson.getName());
            System.out.println("Password: " + deserializedPerson.getPassword());
        } catch (IOException | ClassNotFoundException e) {
            e.printStackTrace();
        }
    }
}

这个示例中，我们使用了Base64编码作为加密算法，实际应用中应该使用更安全的加密算法，如AES。同时，为了简化示例，我们将加密和解密过程放在了自定义的序列化工具类中，实际应用中可以根据需要将加密和解密逻辑封装到其他类中。