【深度思考】如何優(yōu)雅的實(shí)現(xiàn)脫敏?
2023-08-30 10:15 申城異鄉(xiāng)人 閱讀(1682) 評論(2) 收藏 舉報最近做了個脫敏的需求,要對系統(tǒng)中的敏感信息,如手機(jī)號、車牌號、身份證號、銀行卡號等進(jìn)行脫敏顯示。
效果類似下面這樣:
簡單來說,就是對敏感信息中的某幾位進(jìn)行掩碼顯示,常見的一般是使用*。
本篇文章就來講解下在項(xiàng)目中該如何優(yōu)雅的實(shí)現(xiàn)脫敏。
1. 工具類
首先,需要明確下脫敏規(guī)則:
-
手機(jī)號
顯示前3位和后4位,中間4位脫敏,如
182****6791。 -
車牌號
顯示前3位和后1位,其余位脫敏,如
滬B0***8。 -
身份證號
顯示前3位和后4位,其余位脫敏,如
410***********0007。 -
銀行卡號
顯示前4位和后4位,其余位脫敏,并且每4位分隔,如
6214 **** **** 8533。
然后,需要一個實(shí)現(xiàn)了以上脫敏規(guī)則的工具類,這個工具類可以使用公司統(tǒng)一提供的,也可以使用第三方類庫的,
或者使用自己實(shí)現(xiàn)的。
本篇文章使用第三方類庫Hutool中自帶的脫敏工具類DesensitizedUtil。
如果項(xiàng)目中之前沒有使用過Hutool,需要添加以下依賴:
<dependency>
<groupId>cn.hutool</groupId>
<artifactId>hutool-core</artifactId>
<version>5.8.4</version>
</dependency>
使用示例:
System.out.println(DesensitizedUtil.mobilePhone("18216556791"));
System.out.println(DesensitizedUtil.carLicense("滬B08U28"));
System.out.println(DesensitizedUtil.idCardNum("410328200001010007", 3, 4));
System.out.println(DesensitizedUtil.bankCard("6214856213978533"));
輸出結(jié)果:
2. 硬編碼方案
所謂硬編碼方案,就是在所有需要脫敏的地方都調(diào)用下上面工具類提供的方法。
這種方案的優(yōu)點(diǎn)是簡單,容易理解,能很好的評估改動影響的范圍,缺點(diǎn)是代碼耦合度高,如果涉及脫敏的接口很多,
那改動起來簡直是災(zāi)難。
因此,這種方案推薦在涉及脫敏的接口很少的情況下使用,如果涉及脫敏的接口很多,推薦使用下文講解的使用注解的方案。
3. 使用注解方案
使用注解方案,指的是接口數(shù)據(jù)在返回之前,通過執(zhí)行自定義序列化器的邏輯達(dá)到脫敏的效果,
這種方案需要在字段上添加自定義注解來標(biāo)識這個字段需要進(jìn)行脫敏以及脫敏的規(guī)則,
優(yōu)點(diǎn)是代碼耦合度低,脫敏代碼和業(yè)務(wù)代碼不耦合,缺點(diǎn)是有一定的理解成本,不能很好的評估改動影響的范圍。
那如何使用注解來實(shí)現(xiàn)脫敏呢?
首先,定義一個脫敏類型的枚舉:
/**
* 脫敏類型
*/
public enum DesensitizeType {
/**
* 手機(jī)號
*/
MOBILE_PHONE,
/**
* 車牌號
*/
LICENSE_NUMBER,
/**
* 身份證號
*/
ID_CARD,
/**
* 銀行卡
*/
BANK_CARD,
/**
* 自定義
*/
CUSTOM
}
然后,定義一個脫敏的注解:
@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
@JacksonAnnotationsInside
@JsonSerialize(using = DesensitizeSerializer.class)
public @interface Desensitize {
/**
* 脫敏類型
*/
DesensitizeType type() default DesensitizeType.CUSTOM;
/**
* 開始位置(包含)
*/
int startIndex() default 0;
/**
* 結(jié)束位置(不包含)
*/
int endIndex() default 0;
}
上面代碼中的@Target和@Retention是JDK自帶的元注解,@JacksonAnnotationsInside和@JsonSerialize屬于
jackson-databind下的注解,而spring-boot-starter-web下包含了jackson-databind,因此大部分項(xiàng)目不需要單獨(dú)添加依賴:
重點(diǎn)看下@JsonSerialize(using = DesensitizeSerializer.class),該行代碼指定json序列化時使用自定義的
脫敏序列化類DesensitizeSerializer,其代碼如下所示:
/**
* 脫敏序列化類
*/
public class DesensitizeSerializer extends JsonSerializer<String> implements ContextualSerializer {
private DesensitizeType type;
private Integer startIndex;
private Integer endIndex;
public DesensitizeSerializer() {
}
public DesensitizeSerializer(DesensitizeType type, Integer startIndex, Integer endIndex) {
this.type = type;
this.startIndex = startIndex;
this.endIndex = endIndex;
}
@Override
public void serialize(String value, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException {
switch (type) {
// 手機(jī)號脫敏
case MOBILE_PHONE:
jsonGenerator.writeString(DesensitizedUtil.mobilePhone(String.valueOf(value)));
break;
// 車牌號脫敏
case LICENSE_NUMBER:
jsonGenerator.writeString(DesensitizedUtil.carLicense(String.valueOf(value)));
break;
// 身份證號脫敏
case ID_CARD:
jsonGenerator.writeString(DesensitizedUtil.idCardNum(String.valueOf(value), 3, 4));
break;
// 銀行卡脫敏
case BANK_CARD:
jsonGenerator.writeString(DesensitizedUtil.bankCard(String.valueOf(value)));
break;
// 自定義脫敏
case CUSTOM:
jsonGenerator.writeString(CharSequenceUtil.hide(value, startIndex, endIndex));
break;
default:
break;
}
}
@Override
public JsonSerializer<?> createContextual(SerializerProvider serializerProvider, BeanProperty beanProperty) throws JsonMappingException {
if (beanProperty != null) {
// 判斷數(shù)據(jù)類型是否為String類型
if (Objects.equals(beanProperty.getType().getRawClass(), String.class)) {
// 獲取定義的注解
Desensitize desensitize = beanProperty.getAnnotation(Desensitize.class);
// 為null
if (desensitize == null) {
desensitize = beanProperty.getContextAnnotation(Desensitize.class);
}
// 不為null
if (desensitize != null) {
// 創(chuàng)建定義的序列化類的實(shí)例并且返回,入?yún)樽⒔舛x的type,開始位置,結(jié)束位置。
return new DesensitizeSerializer(desensitize.type(), desensitize.startIndex(),
desensitize.endIndex());
}
}
return serializerProvider.findValueSerializer(beanProperty.getType(), beanProperty);
}
return serializerProvider.findNullValueSerializer(null);
}
}
該類實(shí)現(xiàn)了com.fasterxml.jackson.databind.ser.ContextualSerializer接口并重寫了createContextual方法,
該方法會解析字段的類型是不是String以及字段上有沒有之前自定義的注解Desensitize,如果有的話,
就返回自定義的序列化類的實(shí)例,創(chuàng)建實(shí)例時用到了注解中的參數(shù)。
該類還繼承了com.fasterxml.jackson.databind.JsonSerializer類并重寫了serialize方法,
該方法會判斷脫敏的類型,執(zhí)行具體的脫敏邏輯,這里用到了之前提到的脫敏工具類。
最后,新建接口進(jìn)行驗(yàn)證:
@Getter
@Setter
public class CarInfoVO {
@Desensitize(type = DesensitizeType.LICENSE_NUMBER)
private String licenseNumber;
@Desensitize(type = DesensitizeType.MOBILE_PHONE)
private String ownerMobile;
@Desensitize(type = DesensitizeType.ID_CARD)
private String ownerIdCard;
@Desensitize(type = DesensitizeType.BANK_CARD)
private String ownerBankCardNo;
@Desensitize(type = DesensitizeType.CUSTOM, startIndex = 0, endIndex = 1)
private String ownerName;
}
@GetMapping("/car/info")
@ResponseBody
public WebResult<CarInfoVO> queryCarInfo() {
CarInfoVO carInfoVO = new CarInfoVO();
carInfoVO.setLicenseNumber("滬B08U28");
carInfoVO.setOwnerMobile("18216556791");
carInfoVO.setOwnerIdCard("410328200001010007");
carInfoVO.setOwnerBankCardNo("6214856213978533");
carInfoVO.setOwnerName("葉子農(nóng)");
return WebResult.success(carInfoVO);
}
輸出結(jié)果:
4. 注意事項(xiàng)
4.1 無參構(gòu)造函數(shù)不要刪
上文中新建的自定義序列化類的無參構(gòu)造函數(shù)表面上看沒有任何調(diào)用,在IDEA中看著是下圖這樣的:
但千萬不要手賤刪除(我就手賤了,哈哈),否則會拋運(yùn)行時異常:
4.2 自定義脫敏注解不生效
如果上文中提到的每一步都正常操作了,但自定義脫敏注解還是不生效:
那很可能是Spring Boot默認(rèn)的消息轉(zhuǎn)換器被替換成fastjson了,因?yàn)镾pring Boot默認(rèn)是使用jackson進(jìn)行序列化的,上面的方案也是
基于jackson的,但如果項(xiàng)目中明確指定了使用fastjson進(jìn)行序列化,那上面的自定義脫敏注解就不會生效:
@Bean
public HttpMessageConverters httpMessageConverters() {
FastJsonConfig fastJsonConfig = new FastJsonConfig();
fastJsonConfig.setSerializerFeatures(SerializerFeature.WriteMapNullValue, SerializerFeature.BrowserCompatible);
FastJsonHttpMessageConverter fastJsonHttpMessageConverter = new FastJsonHttpMessageConverter();
fastJsonHttpMessageConverter.setFastJsonConfig(fastJsonConfig);
return new HttpMessageConverters(fastJsonHttpMessageConverter);
}
此時的解決方案是新建過濾器類,實(shí)現(xiàn)com.alibaba.fastjson.serializer.ValueFilter接口并重寫process方法:
public class DesensitizeValueFilter implements ValueFilter {
@Override
public Object process(Object object, String name, Object value) {
try {
Field field = object.getClass().getDeclaredField(name);
Desensitize desensitize = field.getAnnotation(Desensitize.class);
if (desensitize == null) {
return value;
}
if (!(value instanceof String) || ((String) value).length() == 0) {
return value;
}
String valueStr = (String) value;
DesensitizeType type = desensitize.type();
switch (type) {
// 手機(jī)號脫敏
case MOBILE_PHONE:
return DesensitizedUtil.mobilePhone(valueStr);
// 車牌號脫敏
case LICENSE_NUMBER:
return DesensitizedUtil.carLicense(valueStr);
// 身份證號脫敏
case ID_CARD:
return DesensitizedUtil.idCardNum(valueStr, 3, 4);
// 銀行卡脫敏
case BANK_CARD:
return DesensitizedUtil.bankCard(valueStr);
// 自定義脫敏
case CUSTOM:
return CharSequenceUtil.hide(valueStr, desensitize.startIndex(), desensitize.endIndex());
default:
break;
}
} catch (NoSuchFieldException e) {
return value;
}
return value;
}
}
然后在上面聲明httpMessageConverters()的地方新增以下代碼:
fastJsonConfig.setSerializeFilters(new DesensitizeValueFilter());
此時,上文中自定義的脫敏注解中,@JacksonAnnotationsInside和@JsonSerialize(using = DesensitizeSerializer.class)
可以移除:
再次運(yùn)行驗(yàn)證,會發(fā)現(xiàn)自定義脫敏注解生效了:
4.3 注意影響范圍
在VO的某個字段上加上@Desensitize(type = DesensitizeType.MOBILE_PHONE)后,所有使用到該VO的接口,在返回數(shù)據(jù)時,
該字段都會被脫敏,如果列表頁接口和詳情接口共用了這個VO,但實(shí)際情況是列表頁該字段需要脫敏,編輯頁該字段不需要脫敏,
這種場景就需要特別注意。
文章持續(xù)更新,歡迎關(guān)注微信公眾號「申城異鄉(xiāng)人」第一時間閱讀!
浙公網(wǎng)安備 33010602011771號