为什么在 Netty 中推荐使用 Protobuf、Hessian 或 Kryo 等序列化框架,而不是 Java 原生序列化?
在 Netty 这样追求 高性能、高并发、低延迟 的网络通信框架中,强烈不推荐使用 Java 原生序列化(java.io.Serializable),而是推荐使用 Protobuf、Kryo、Hessian 等第三方序列化框架。
这主要是因为 Java 原生序列化存在以下 四大致命缺陷,而第三方框架完美地解决了这些问题:
1. 码流太大(占用网络带宽)
- Java 原生序列化的缺陷:Java 序列化在保存对象数据时,不仅会保存数据本身,还会保存大量的元数据(Metadata),比如类名、类的完整继承体系、字段名称、版本号等。这导致序列化后的字节数组(码流)非常庞大。
- 第三方框架的优势:
- Protobuf 使用了基于 IDL(接口描述语言)的数据结构,并采用了 Zig-Zag 编码和 Varint(变长整数)压缩算法,完全省略了字段名和类信息(只用 Tag 标识)。
- Kryo 可以通过注册类的方式避免重复写入类信息。
- 结果对比:序列化同一个对象,Java 原生序列化的字节数通常是 Protobuf 或 Kryo 的 3 到 10 倍。在 Netty 中,码流越大,意味着网络传输的耗时越长,带宽占用越高,直接拉低了系统的吞吐量。
2. 性能极差(CPU 和时间开销大)
- Java 原生序列化的缺陷:Java 原生序列化/反序列化过程中,大量使用了底层反射机制,并且会生成大量的临时对象,甚至涉及复杂的对象图遍历。这极大地消耗了 CPU 资源,且速度极慢。
- 第三方框架的优势:
- Protobuf 在编译期就生成了具体的编解码代码(避免了运行时的反射),性能极高。
- Kryo 基于 ASM 字节码生成机制和底层的
Unsafe类操作,在 Java 环境内实现了极速的序列化。 - 结果对比:在同等条件下,Protobuf 或 Kryo 的序列化/反序列化速度通常是 Java 原生序列化的 10 倍甚至几十倍。Netty 的核心优势是 NIO 异步非阻塞,如果 CPU 资源全被缓慢的序列化过程占满,Netty 的高并发优势将荡然无存。
3. 无法跨语言(封闭的生态)
- Java 原生序列化的缺陷:Java 序列化是 Java 语言特有的机制,它与 Java 强绑定。如果你用 Netty 写了一个服务端,客户端如果是用 C++、Go、Python 或 Node.js 写的,它们根本无法解析 Java 原生序列化的字节流。
- 第三方框架的优势:
- Protobuf 天生为跨语言设计,只需定义一份
.proto文件,即可生成各主流语言的代码。 - Hessian 也是一种跨语言的二进制 RPC 协议,支持多种语言。
- 在微服务架构下,Netty 常被用作跨语言 RPC 通信的底层网关或节点,跨语言能力是硬性需求。
- Protobuf 天生为跨语言设计,只需定义一份
4. 严重的安全漏洞(反序列化攻击)
- Java 原生序列化的缺陷:Java 序列化机制存在著名的 “反序列化漏洞”。由于
ObjectInputStream.readObject()在反序列化时会实例化对象并可能触发对象的构造函数或readObject方法,攻击者可以精心构造恶意的字节序列(如利用 Apache Commons Collections 等第三方库的 gadget chain),在反序列化时触发远程代码执行(RCE)。 - 第三方框架的优势:像 Protobuf 这类框架,其反序列化过程仅仅是单纯的数据填充,不会去执行业务代码或执行复杂的反射调用,从根本上杜绝了绝大多数反序列化注入漏洞。
总结与推荐场景
Netty 作为一个极限压榨网络 IO 性能的框架,如果配合 Java 原生序列化,就如同“跑车加了劣质汽油”,成为了系统最大的性能瓶颈。
在实际开发中,应根据场景选择合适的框架:
- Protobuf (Google):适合跨语言、对性能和码流大小有极致要求的场景(如大型微服务架构、游戏服务端、即时通讯 IM)。
- Kryo:适合纯 Java 体系下的高性能通信,速度极快,无需编写 IDL 文件(如 Apache Spark、Apache Flink 的内部通信)。
- Hessian:适合对兼容性要求高、跨语言的传统 RPC 场景,API 友好度较高(如 Dubbo 默认序列化协议之一就是 Hessian2)。
右滑查看面试常问