基本上，Serializable是一个标记接口，它暗示一个类对于序列化是安全的，并且JVM决定它如何序列化。Externalizable包含两个方法，readExternal和writeExternal。Externalizable允许实现者决定如何序列化一个对象，而Serializable序列化对象是默认的方式。

序列化使用某些默认行为来存储对象并稍后重新创建对象。您可以指定以何种顺序或如何处理引用和复杂的数据结构，但最终还是要为每个基本数据字段使用默认行为。

在极少数情况下使用外部化，您确实希望以完全不同的方式存储和重新构建对象，并且不使用数据字段的默认序列化机制。例如，假设您有自己独特的编码和压缩方案。

实际上并没有提供Externalizable接口来优化序列化进程的性能!而是提供实现您自己的自定义处理的方法，并为对象及其超类型提供对流的格式和内容的完全控制!

这方面的例子是AMF (ActionScript Message Format)远程处理的实现，通过网络传输本机操作脚本对象。

基本上，Serializable是一个标记接口，它暗示一个类对于序列化是安全的，并且JVM决定它如何序列化。Externalizable包含两个方法，readExternal和writeExternal。Externalizable允许实现者决定如何序列化一个对象，而Serializable序列化对象是默认的方式。

https://docs.oracle.com/javase/8/docs/platform/serialization/spec/serialTOC.html

默认序列化有点冗长，并且假定序列化对象的使用场景尽可能广泛，因此默认格式(Serializable)用关于序列化对象的类的信息注释结果流。

外部化使对象流的生产者能够完全控制精确的类元数据(如果有的话)，而不仅仅是类所需的最小标识(例如它的名称)。这在某些情况下显然是可取的，比如在封闭环境中，对象流的生产者和消费者(从流中具体化对象)是匹配的，关于类的额外元数据没有任何作用，而且会降低性能。

此外(正如Uri指出的那样)外部化还提供了对与Java类型对应的流中数据编码的完全控制。对于(一个人为的)例子，您可能希望将布尔值true记录为“Y”，将false记录为“N”。外部化可以让你做到这一点。

序列化提供了存储对象和稍后重新创建对象的默认功能。它使用详细格式来定义要存储的对象的整个图，例如，假设你有一个linkedList，你像下面这样编码，那么默认的序列化将发现所有被链接的对象并将序列化。在默认的序列化中，对象完全由其存储的位构造，没有构造函数调用。

  ObjectOutputStream oos = new ObjectOutputStream(
      new FileOutputStream("/Users/Desktop/files/temp.txt"));
  oos.writeObject(linkedListHead); //writing head of linked list
  oos.close();

但是如果你想要限制序列化或者不希望对象的某些部分被序列化，那么就使用Externalizable。Externalizable接口扩展了Serializable接口，并添加了两个方法writeExternal()和readeexternal()。在序列化或反序列化时自动调用这些函数。在使用Externalizable时，我们应该记住默认构造函数应该是公共的，否则代码将抛出异常。请遵循以下代码:

public class MyExternalizable implements Externalizable
{

private String userName;
private String passWord;
private Integer roll;

public MyExternalizable()
{
}

public MyExternalizable(String userName, String passWord, Integer roll)
{
    this.userName = userName;
    this.passWord = passWord;
    this.roll = roll;
}

@Override
public void writeExternal(ObjectOutput oo) throws IOException 
{
    oo.writeObject(userName);
    oo.writeObject(roll);
}

@Override
public void readExternal(ObjectInput oi) throws IOException, ClassNotFoundException 
{
    userName = (String)oi.readObject();
    roll = (Integer)oi.readObject();
}

public String toString()
{
    StringBuilder b = new StringBuilder();
    b.append("userName: ");
    b.append(userName);
    b.append("  passWord: ");
    b.append(passWord);
    b.append("  roll: ");
    b.append(roll);
   
    return b.toString();
}
public static void main(String[] args)
{
    try
    {
        MyExternalizable m  = new MyExternalizable("nikki", "student001", 20);
        System.out.println(m.toString());
        ObjectOutputStream oos = new ObjectOutputStream(new FileOutputStream("/Users/Desktop/files/temp1.txt"));
        oos.writeObject(m);
        oos.close();
        
        System.out.println("***********************************************************************");
        ObjectInputStream ois = new ObjectInputStream(new FileInputStream("/Users/Desktop/files/temp1.txt"));
        MyExternalizable mm = (MyExternalizable)ois.readObject();
        mm.toString();
        System.out.println(mm.toString());
    } 
    catch (ClassNotFoundException ex) 
    {
        Logger.getLogger(MyExternalizable.class.getName()).log(Level.SEVERE, null, ex);
    }
    catch(IOException ex)
    {
        Logger.getLogger(MyExternalizable.class.getName()).log(Level.SEVERE, null, ex);
    }
}
}

在这里，如果你注释了默认构造函数，那么代码将抛出以下异常:

 java.io.InvalidClassException: javaserialization.MyExternalizable;     
 javaserialization.MyExternalizable; no valid constructor.

我们可以观察到，由于密码是敏感信息，所以我没有在writeExternal(ObjectOutput oo)方法中序列化它，也没有在readexterexternal (ObjectInput oi)中设置相同的值。这就是Externalizable提供的灵活性。

上述代码的输出如下所示:

userName: nikki  passWord: student001  roll: 20
***********************************************************************
userName: nikki  passWord: null  roll: 20

我们可以观察到，因为我们没有设置passWord的值，所以它是空的。

通过将密码字段声明为瞬态，也可以实现同样的效果。

private transient String passWord;

希望能有所帮助。如果我犯了错误，我向你道歉。谢谢。