Serializable을 구현하기로 결정한 순간 언어의 정상 메커니즘인 생성자 이외의 방법으로 인스턴스를 생성할 수 있게 된다. 버그나 보안 문제가 일어날 가능성이 커진다는 뜻인데, 이 위험을 크게 줄여줄 기법이 하나 있다. 바로 직렬화 프록시 패턴(serialization proxy pattern)이다.
직렬화 프록시 패턴은 먼저 바깥 클래스의 논리적 상태를 정밀하게 표현하는 중첩 클래스를 설계해 private static으로 선언한다. 이 중첩 클래스가 바로 바깥 클래스의 직렬화 프록시다. 중첩 클래스의 생성자는 단 하나여야 하며, 바깥 클래스를 매개변수로 받아야 한다. 이 생성자는 일관성 검사나 방어적 복사 없이, 단순히 인수로 넘어온 인스턴스의 데이터를 복사한다.
설계상, 직렬화 프록시의 기본 직렬화 형태는 바깥 클래스의 직렬화 형태로 쓰기에 이상적이다. 바깥 클래스와 직렬화 프록시 모두 Serializable을 구현한다고 선언해야 한다. 다음은 Period 클래스의 직렬화 프록시다.
1 2 3 4 5 6 7 8 9 10 11 12 13 | // Period 클래스용 직렬화 프록시 private static class SerializationProxy implements Serializable { private final Date start; private final Date end; SerializationProxy(Period p) { this.start = p.start; this.end = p.end; } private static final long serialVersionUID = 234098243823485285L; // 아무 값이나 상관없다. } | cs |
다음으로 바깥 클래스에 다음의 writeReplace 메소드를 추가한다. 이 메소드는 범용적이니 직렬화 프록시를 사용하는 모든 클래스에 그대로 복사해 쓰면 된다.
1 2 3 4 | // 직렬화 프록시 패턴용 writeReplace 메소드 private Object writeReplace() { return new SerializationProxy(this); } | cs |
이 메소드는 자바의 직렬화 시스템이 바깥 클래스의 인스턴스 대신 SerializationProxy의 인스턴스를 반환하게 하는 역할을 한다. 달리 말해, 직렬화가 이뤄지기 전에 바깥 클래스의 인스턴스를 직렬화 프록시로 변환해준다.
writeReplace 덕분에 직렬화 시스템은 결코 바깥 클래스의 직렬화된 인스턴스를 생성해낼 수 없다. 또한 공격자의 불변식을 훼손하고자 하는 시도는 다음의 readObject 메소드를 바깥 클래스에 추가하여 막아낼 수 있다.
1 2 3 4 5 | // 직렬화 프록시 패턴용 readObject 메소드 private void readObject(ObjectInputStream stream) throws InvalidObjectException { throw new InvalidObjectException("프록시가 필요합니다."); } | cs |
마지막으로 바깥 클래스와 논리적으로 동일한 인스턴스를 반환하는 readResolve 메소드를 SerializationProxy 클래스에 추가한다. 이 메소드는 역직렬화 시에 직렬화 시스템이 직렬화 프록시를 다시 바깥 클래스의 인스턴스로 변환하게 해준다.
readResolve 메소드는 공개된 API만을 사용해 바깥 클래스의 인스턴스를 생성하는데, 이 패턴이 아름다운 이유가 바로 여기 있다. 직렬화는 생성자를 이용하지 않고도 인스턴스를 생성하는 기능을 제공하는데, 이 패턴은 일반 인스턴스를 만들 때와 똑같은 생성자, 정적 팩토리, 혹은 다른 메소드를 사용해 역직렬화된 인스턴스를 생성하는 것이다. 따라서 역직렬화된 인스턴스가 해당 클래스의 불변식을 만족하는지 검사할 또 다른 수단을 강구하지 않아도 된다. 앞서의 Period.SerializationProxy용 readResolve 메소드는 다음과 같다.
1 2 3 4 | // Period.SerializationProxy용 readResolve 메소드 private Object readResolve() { return new Period(start, end); // public 생성자를 사용한다. } | cs |
방어적 복사처럼, 직렬화 프록시 패턴은 가짜 바이트 스트림 공격과 내부 필드 탈취 공격을 프록시 수준에서 차단해준다. 앞서의 두 접근법과 달리, 직렬화 프록시는 Period의 필드를 final로 선언해도 되므로 Period 클래스를 진정한 불변으로 만들 수도 있다. 또한 어떤 필드가 기만적인 직렬화 공격의 목표가 될지 고민하지 않아도 되며, 역직렬화 때 유효성 검사를 수행하지 않아도 된다.
직렬화 프록시 패턴은 역직렬화한 인스턴스와 원래의 직렬화된 인스턴스의 클래스가 달라도 정상 작동한다. 이는 처음 직렬화된 인스턴스와 역직렬화하면 이상적일 인스턴스가 다른 경우 쓸모가 있다. EnumSet의 직렬화 프록시 코드를 예로 보자.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 | // EnumSet의 직렬화 프록시 private static class SerializationProxy <E extends Enum<E>> implements Serializable { // 이 EnumSet의 원소 타입 private final Class<E> elementType; // 이 EnumSet 안의 원소들 private final Enum<?>[] elements; SerializationProxy(EnumSet<E> set) { elementType = set.elementType; elements = set.toArray(new Enum<?>[0]); } private Object readResolve() { EnumSet<E> result = EnumSet.noneOf(elementType); for (Enum<?> e : elements) result.add((E)e); return result; } private static final long serialVersionUID = 362491234563181265L; } | cs |
직렬화 프록시 패턴에는 한계가 두 가지 있다. 첫 번째, 클라이언트가 멋대로 확장할 수 있는 클래스에는 적용할 수 없다. 두 번째, 객체 그래프에 순환이 있는 클래스에도 적용할 수 없다. 마지막으로, 직렬화 프록시 패턴이 주는 강력함과 안전성의 대가로 실행시간이 방어적 복사로 구현한 것보다 느려진다.
제3자가 확장할 수 없는 클래스라면 가능한 한 직렬화 프록시 패턴을 사용하자. 이 패턴이 아마도 중요한 불변식을 안정적으로 직렬화해주는 가장 쉬운 방법일 것이다.