【深度思考】如何优雅的实现脱敏?

这篇具有很好参考价值的文章主要介绍了【深度思考】如何优雅的实现脱敏?。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

最近做了个脱敏的需求,要对系统中的敏感信息,如手机号、车牌号、身份证号、银行卡号等进行脱敏显示。

效果类似下面这样:

简单来说,就是对敏感信息中的某几位进行掩码显示,常见的一般是使用*。

本篇文章就来讲解下在项目中该如何优雅的实现脱敏。

1. 工具类

首先,需要明确下脱敏规则:

  1. 手机号

    显示前3位和后4位,中间4位脱敏,如182****6791

  2. 车牌号

    显示前3位和后1位,其余位脱敏,如沪B0***8

  3. 身份证号

    显示前3位和后4位,其余位脱敏,如410***********0007

  4. 银行卡号

    显示前4位和后4位,其余位脱敏,并且每4位分隔,如6214 **** **** 8533

然后,需要一个实现了以上脱敏规则的工具类,这个工具类可以使用公司统一提供的,也可以使用第三方类库的,

或者使用自己实现的。

本篇文章使用第三方类库Hutool中自带的脱敏工具类DesensitizedUtil。

如果项目中之前没有使用过Hutool,需要添加以下依赖:

<dependency>
    <groupId>cn.hutool</groupId>
    <artifactId>hutool-core</artifactId>
    <version>5.8.4</version>
</dependency>

使用示例:

System.out.println(DesensitizedUtil.mobilePhone("18216556791"));
System.out.println(DesensitizedUtil.carLicense("沪B08U28"));
System.out.println(DesensitizedUtil.idCardNum("410328200001010007", 3, 4));
System.out.println(DesensitizedUtil.bankCard("6214856213978533"));

输出结果:

2. 硬编码方案

所谓硬编码方案,就是在所有需要脱敏的地方都调用下上面工具类提供的方法。

这种方案的优点是简单,容易理解,能很好的评估改动影响的范围,缺点是代码耦合度高,如果涉及脱敏的接口很多,

那改动起来简直是灾难。

因此,这种方案推荐在涉及脱敏的接口很少的情况下使用,如果涉及脱敏的接口很多,推荐使用下文讲解的使用注解的方案。

3. 使用注解方案

使用注解方案,指的是接口数据在返回之前,通过执行自定义序列化器的逻辑达到脱敏的效果,

这种方案需要在字段上添加自定义注解来标识这个字段需要进行脱敏以及脱敏的规则,

优点是代码耦合度低,脱敏代码和业务代码不耦合,缺点是有一定的理解成本,不能很好的评估改动影响的范围。

那如何使用注解来实现脱敏呢?

首先,定义一个脱敏类型的枚举:

/**
 * 脱敏类型
 */
public enum DesensitizeType {
    /**
     * 手机号
     */
    MOBILE_PHONE,

    /**
     * 车牌号
     */
    LICENSE_NUMBER,

    /**
     * 身份证号
     */
    ID_CARD,

    /**
     * 银行卡
     */
    BANK_CARD,

    /**
     * 自定义
     */
    CUSTOM
}

然后,定义一个脱敏的注解:

@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
@JacksonAnnotationsInside
@JsonSerialize(using = DesensitizeSerializer.class)
public @interface Desensitize {
    /**
     * 脱敏类型
     */
    DesensitizeType type() default DesensitizeType.CUSTOM;

    /**
     * 开始位置(包含)
     */
    int startIndex() default 0;

    /**
     * 结束位置(不包含)
     */
    int endIndex() default 0;
}

上面代码中的@Target@Retention是JDK自带的元注解,@JacksonAnnotationsInside和@JsonSerialize属于

jackson-databind下的注解,而spring-boot-starter-web下包含了jackson-databind,因此大部分项目不需要单独添加依赖:

重点看下@JsonSerialize(using = DesensitizeSerializer.class),该行代码指定json序列化时使用自定义的

脱敏序列化类DesensitizeSerializer,其代码如下所示:

/**
 * 脱敏序列化类
 */
public class DesensitizeSerializer extends JsonSerializer<String> implements ContextualSerializer {
    private DesensitizeType type;

    private Integer startIndex;

    private Integer endIndex;

    public DesensitizeSerializer() {
    }

    public DesensitizeSerializer(DesensitizeType type, Integer startIndex, Integer endIndex) {
        this.type = type;
        this.startIndex = startIndex;
        this.endIndex = endIndex;
    }

    @Override
    public void serialize(String value, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException {
        switch (type) {
            // 手机号脱敏
            case MOBILE_PHONE:
                jsonGenerator.writeString(DesensitizedUtil.mobilePhone(String.valueOf(value)));
                break;
            // 车牌号脱敏
            case LICENSE_NUMBER:
                jsonGenerator.writeString(DesensitizedUtil.carLicense(String.valueOf(value)));
                break;
            // 身份证号脱敏
            case ID_CARD:
                jsonGenerator.writeString(DesensitizedUtil.idCardNum(String.valueOf(value), 3, 4));
                break;
            // 银行卡脱敏
            case BANK_CARD:
                jsonGenerator.writeString(DesensitizedUtil.bankCard(String.valueOf(value)));
                break;
            // 自定义脱敏
            case CUSTOM:
                jsonGenerator.writeString(CharSequenceUtil.hide(value, startIndex, endIndex));
                break;
            default:
                break;
        }
    }

    @Override
    public JsonSerializer<?> createContextual(SerializerProvider serializerProvider, BeanProperty beanProperty) throws JsonMappingException {
        if (beanProperty != null) {
            // 判断数据类型是否为String类型
            if (Objects.equals(beanProperty.getType().getRawClass(), String.class)) {
                // 获取定义的注解
                Desensitize desensitize = beanProperty.getAnnotation(Desensitize.class);
                // 为null
                if (desensitize == null) {
                    desensitize = beanProperty.getContextAnnotation(Desensitize.class);
                }
                // 不为null
                if (desensitize != null) {
                    // 创建定义的序列化类的实例并且返回,入参为注解定义的type,开始位置,结束位置。
                    return new DesensitizeSerializer(desensitize.type(), desensitize.startIndex(),
                            desensitize.endIndex());
                }
            }

            return serializerProvider.findValueSerializer(beanProperty.getType(), beanProperty);
        }

        return serializerProvider.findNullValueSerializer(null);
    }
}

该类实现了com.fasterxml.jackson.databind.ser.ContextualSerializer接口并重写了createContextual方法,

该方法会解析字段的类型是不是String以及字段上有没有之前自定义的注解Desensitize,如果有的话,

就返回自定义的序列化类的实例,创建实例时用到了注解中的参数。

该类还继承了com.fasterxml.jackson.databind.JsonSerializer类并重写了serialize方法,

该方法会判断脱敏的类型,执行具体的脱敏逻辑,这里用到了之前提到的脱敏工具类。

最后,新建接口进行验证:

@Getter
@Setter
public class CarInfoVO {
    @Desensitize(type = DesensitizeType.LICENSE_NUMBER)
    private String licenseNumber;

    @Desensitize(type = DesensitizeType.MOBILE_PHONE)
    private String ownerMobile;

    @Desensitize(type = DesensitizeType.ID_CARD)
    private String ownerIdCard;

    @Desensitize(type = DesensitizeType.BANK_CARD)
    private String ownerBankCardNo;

    @Desensitize(type = DesensitizeType.CUSTOM, startIndex = 0, endIndex = 1)
    private String ownerName;
}
@GetMapping("/car/info")
@ResponseBody
public WebResult<CarInfoVO> queryCarInfo() {
    CarInfoVO carInfoVO = new CarInfoVO();
    carInfoVO.setLicenseNumber("沪B08U28");
    carInfoVO.setOwnerMobile("18216556791");
    carInfoVO.setOwnerIdCard("410328200001010007");
    carInfoVO.setOwnerBankCardNo("6214856213978533");
    carInfoVO.setOwnerName("叶子农");

    return WebResult.success(carInfoVO);
}

输出结果:

4. 注意事项

4.1 无参构造函数不要删

上文中新建的自定义序列化类的无参构造函数表面上看没有任何调用,在IDEA中看着是下图这样的:

但千万不要手贱删除(我就手贱了,哈哈),否则会抛运行时异常:

4.2 自定义脱敏注解不生效

如果上文中提到的每一步都正常操作了,但自定义脱敏注解还是不生效:

那很可能是Spring Boot默认的消息转换器被替换成fastjson了,因为Spring Boot默认是使用jackson进行序列化的,上面的方案也是

基于jackson的,但如果项目中明确指定了使用fastjson进行序列化,那上面的自定义脱敏注解就不会生效:

@Bean
public HttpMessageConverters httpMessageConverters() {
    FastJsonConfig fastJsonConfig = new FastJsonConfig();
    fastJsonConfig.setSerializerFeatures(SerializerFeature.WriteMapNullValue, SerializerFeature.BrowserCompatible);
    FastJsonHttpMessageConverter fastJsonHttpMessageConverter = new FastJsonHttpMessageConverter();
    fastJsonHttpMessageConverter.setFastJsonConfig(fastJsonConfig);
    return new HttpMessageConverters(fastJsonHttpMessageConverter);
}

此时的解决方案是新建过滤器类,实现com.alibaba.fastjson.serializer.ValueFilter接口并重写process方法:

public class DesensitizeValueFilter implements ValueFilter {
    @Override
    public Object process(Object object, String name, Object value) {
        try {
            Field field = object.getClass().getDeclaredField(name);
            Desensitize desensitize = field.getAnnotation(Desensitize.class);
            if (desensitize == null) {
                return value;
            }
            if (!(value instanceof String) || ((String) value).length() == 0) {
                return value;
            }
            String valueStr = (String) value;
            DesensitizeType type = desensitize.type();
            switch (type) {
                // 手机号脱敏
                case MOBILE_PHONE:
                    return DesensitizedUtil.mobilePhone(valueStr);
                // 车牌号脱敏
                case LICENSE_NUMBER:
                    return DesensitizedUtil.carLicense(valueStr);
                // 身份证号脱敏
                case ID_CARD:
                    return DesensitizedUtil.idCardNum(valueStr, 3, 4);
                // 银行卡脱敏
                case BANK_CARD:
                    return DesensitizedUtil.bankCard(valueStr);
                // 自定义脱敏
                case CUSTOM:
                    return CharSequenceUtil.hide(valueStr, desensitize.startIndex(), desensitize.endIndex());
                default:
                    break;
            }
        } catch (NoSuchFieldException e) {
            return value;
        }
        return value;
    }
}

然后在上面声明httpMessageConverters()的地方新增以下代码:

fastJsonConfig.setSerializeFilters(new DesensitizeValueFilter());

此时,上文中自定义的脱敏注解中,@JacksonAnnotationsInside@JsonSerialize(using = DesensitizeSerializer.class)

可以移除:

再次运行验证,会发现自定义脱敏注解生效了:

4.3 注意影响范围

在VO的某个字段上加上@Desensitize(type = DesensitizeType.MOBILE_PHONE)后,所有使用到该VO的接口,在返回数据时,

该字段都会被脱敏,如果列表页接口和详情接口共用了这个VO,但实际情况是列表页该字段需要脱敏,编辑页该字段不需要脱敏,

这种场景就需要特别注意。文章来源地址https://www.toymoban.com/news/detail-681334.html

到了这里,关于【深度思考】如何优雅的实现脱敏?的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • SpringBoot进阶-SpringBoot如何实现配置文件脱敏

    SpringBoot进阶-SpringBoot如何实现配置文件脱敏? SpringBoot集成jasypt配置信息加密以及采坑 在很多开发场景中我们的SpringBoot应用是被打包成了一个Jar文件来使用的,利用解压缩工具可以将这个Jar包解压出来并且在对应的配置路径下找到数据库的访问地址以及数据库的登录密码等等

    2024年02月08日
    浏览(38)
  • 实习成长之路:关于ElasticSearch深度分页带来的思考,如何解决深度分页和跳页

    我们在平常使用ElasticSearch构建查询条件的时候一般用的都是from+size的方式进行分页查询,但是如果我们的页数太深/页面大小太大(from*size)10000就会引发一个错误,我们将会得到一个错误 这是为什么呢? 因为ES的分页查询其实是这样来的 因为ElasticSeach的天生分布式的原因,我

    2023年04月27日
    浏览(40)
  • 【深度思考】人工智能技术对未来各行业的影响,我们该如何应对?

    目录 1、AI的应用对行业带来的机遇 2、AI将冲击哪些行业 3、如何应对AI对个人发展的挑战          4、AI对于程序员的冲击 随着技术的不断发展,AI已经开始深刻影响着各行各业。从生产制造到金融、医疗和交通等行业,人工智能技术都在发挥着越来越重要的作用。现在让我

    2024年02月09日
    浏览(55)
  • SpringBoot如何优雅的实现异步调用?

    Spring Boot 提供了多种方式来实现异步任务,这里介绍三种主要实现方式。 Spring Boot 提供了多种方式来实现异步任务,这里介绍三种实现方式。 @Async 注解是 Spring 提供的一种轻量级异步方法实现方式,它可以标记在方法上,用来告诉 Spring 这个方法是一个异步方法,Spring 会将

    2024年02月07日
    浏览(34)
  • 如何优雅的实现前端国际化?

    JavaScript 中每个常见问题都有许多成熟的解决方案。当然,国际化 (i18n) 也不例外,有很多成熟的 JavaScript i18n 库可供选择,下面就来分享一些热门的前端国际化库! i18next 是一个用 JavaScript 编写的全面的国际化框架,提供标准的 i18n 功能,包括复数、上下文、插值、格式等。

    2024年01月23日
    浏览(57)
  • 【SpringBoot系列】如何优雅地实现异步调用

    1.前言 在现代的应用程序开发中,异步调用是提高系统性能和响应能力的重要手段之一。 Spring Boot作为一个快速开发框架,提供了多种方式来实现异步调用,使得开发者能够更加优雅地处理并发和异步任务。 本文将介绍如何在Spring Boot中实现异步调用的方法和技巧,帮助开发

    2024年02月07日
    浏览(36)
  • 如何优雅的实现接口防刷,看过来!!!

    在我们的app、网站等互联网应用系统中,如果接口直接暴露在外网下,是存在着接口安全问题的。当我们的接口没有任何防刷的措施,就相当于在互联网上裸奔一样!当被一些不怀好意的人利用,那就是发生灾难的时候了! 那应该怎么确保我们的接口安全呢? 通常来说,我

    2024年02月08日
    浏览(31)
  • 01、uwsgi、gunicorn如何实现优雅重启

    在实际开发过程中,我们会不断迭代升级产品,每次迭代后,都需要在线上服务器更新代码。一般小公司的迭代升级,是没有做到像金丝雀发布或者使用到kubernetes这些东西的。那如何保证更新的时候,之前接收到的请求能够正常处理完成呢,这个时候就需要实现优雅重启了。

    2023年04月10日
    浏览(34)
  • SpringBoot如何优雅的实现重试功能

    在有些特定场景,如和第三方对接。 我们调用接口时需要支持重试功能,第一次调用没成功,我们需要等待x秒后再次调用。 通常会设置重试次数,避免业务。 一般我们会这样写 这样写本身,没什么问题。 但是如果多个接口都需要重试的话,代码就不优雅了。 spring系列的

    2024年02月08日
    浏览(40)
  • SpringBoot项目如何优雅的实现操作日志记录

    在实际开发当中,对于某些关键业务,我们通常需要记录该操作的内容,一个操作调一次记录方法,每次还得去收集参数等等,会造成大量代码重复。 我们希望代码中只有业务相关的操作,在项目中使用注解来完成此项功能。 通常就是使用Spring中的AOP特性来实现的,那么在

    2024年01月18日
    浏览(44)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包