如何优雅的实现数据脱敏
Posted 热爱编程的大忽悠
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了如何优雅的实现数据脱敏相关的知识,希望对你有一定的参考价值。
如何优雅的实现数据脱敏
很多时候我们从ORM查询到的数据有其它逻辑要处理,比如根据电话号查询用户信息,你脱敏了就没有办法来处理该逻辑了。所以脱敏这个步骤需要后置,放在JSON序列化这个阶段比较合适。今天就来实现这个功能。
Jackson序列化中脱敏
改造过程其实就是把脱敏后置到JSON序列化过程中,这里我使用Jackson类库。
原来Mybatis插件中的脱敏注解是这样的:
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.FIELD)
public @interface Sensitive
SensitiveStrategy strategy();
脱敏的策略是这样的:
import java.util.function.Function;
/**
* 脱敏策略.
*
* @author felord.cn
* @since 11 :25
*/
public enum SensitiveStrategy
/**
* Username sensitive strategy.
*/
USERNAME(s -> s.replaceAll("(\\\\S)\\\\S(\\\\S*)", "$1*$2")),
/**
* Id card sensitive type.
*/
ID_CARD(s -> s.replaceAll("(\\\\d4)\\\\d10(\\\\w4)", "$1****$2")),
/**
* Phone sensitive type.
*/
PHONE(s -> s.replaceAll("(\\\\d3)\\\\d4(\\\\d4)", "$1****$2")),
/**
* Address sensitive type.
*/
ADDRESS(s -> s.replaceAll("(\\\\S3)\\\\S2(\\\\S*)\\\\S2", "$1****$2****"));
private final Function<String, String> desensitizer;
SensitiveStrategy(Function<String, String> desensitizer)
this.desensitizer = desensitizer;
public Function<String, String> desensitizer()
return desensitizer;
我将改造它们,让它们在JSON序列化中实现字段属性脱敏。
自定义脱敏序列化
这里我们首先实现自定义的脱敏序列化逻辑:
import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.BeanProperty;
import com.fasterxml.jackson.databind.JsonMappingException;
import com.fasterxml.jackson.databind.JsonSerializer;
import com.fasterxml.jackson.databind.SerializerProvider;
import com.fasterxml.jackson.databind.ser.ContextualSerializer;
import java.io.IOException;
import java.util.Objects;
/**
* @author felord.cn
* @since 1.0.8.RELEASE
*/
public class SensitiveJsonSerializer extends JsonSerializer<String> implements ContextualSerializer
private SensitiveStrategy strategy;
@Override
public void serialize(String value, JsonGenerator gen, SerializerProvider serializers) throws IOException
gen.writeString(strategy.desensitizer().apply(value));
@Override
public JsonSerializer<?> createContextual(SerializerProvider prov, BeanProperty property) throws JsonMappingException
Sensitive annotation = property.getAnnotation(Sensitive.class);
if (Objects.nonNull(annotation)&&Objects.equals(String.class, property.getType().getRawClass()))
this.strategy = annotation.strategy();
return this;
return prov.findValueSerializer(property.getType(), property);
其中createContextual方法用来获取实体类上的@Sensitive注解并根据条件初始化对应的JsonSerializer对象;而顾名思义,serialize方法执行脱敏序列化逻辑。
改造脱敏注解
然后就是改造@Sensitive,把上面自定义的JSON序列化和脱敏策略绑定到一起。这里用到了Jackson的捆绑注解@JacksonAnnotationsInside,它的作用是将多个注解组合到一起;另外一个是序列化注解@JsonSerialize,它的作用是声明使用我上面自定义的序列化方法。
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.FIELD)
@JacksonAnnotationsInside
@JsonSerialize(using = SensitiveJsonSerializer.class)
public @interface Sensitive
SensitiveStrategy strategy();
使用
这就改造完成了,我们来试一试。我们定义一个需要脱敏的实体类并根据字段标记上对应的脱敏注解:
/**
* @author felord.cn
* @since 1.0.8.RELEASE
*/
@Data
public class User
/**
* 真实姓名
*/
@Sensitive(strategy = SensitiveStrategy.USERNAME)
private String realName;
/**
* 地址
*/
@Sensitive(strategy = SensitiveStrategy.ADDRESS)
private String address;
/**
* 电话号码
*/
@Sensitive(strategy = SensitiveStrategy.PHONE)
private String phoneNumber;
/**
* 身份证号码
*/
@Sensitive(strategy = SensitiveStrategy.ID_CARD)
private String idCard;
然后Jackson来序列化User实例:
User user = new User();
user.setRealName("张三丰");
user.setPhoneNumber("13333333333");
user.setAddress("湖北省十堰市丹江口市武当山");
user.setIdCard("4333333333334334333");
ObjectMapper objectMapper = new ObjectMapper();
String json = objectMapper.writeValueAsString(user);
System.out.println(json);
可以得到:
"realName":"张*丰",
"address":"湖北省****市丹江口市武****",
"phoneNumber":"133****3333",
"idCard":"4333****34333"
效果还是可以的,当然如果能加个开关就更好了,根据不同的场景来决定是否进行脱敏。这个以后在研究研究,好了今天的分享就到这里
参考
Jackson总结:常用注解、整合spring、自定义JsonSerializer
以上是关于如何优雅的实现数据脱敏的主要内容,如果未能解决你的问题,请参考以下文章
一个注解(优雅)搞定SpringBoot项目中的身份证号手机号等敏感数据脱敏
java 日志脱敏框架 sensitive,优雅的打印脱敏日志