什么是数据脱敏
数据脱敏,也称为数据的去隐私化或数据变形,是一种技术手段,用于对某些敏感信息通过特定的脱敏规则进行数据的变形,从而实现敏感隐私数据的可靠保护。这样可以在开发、测试和其他非生产环境以及外包环境中安全地使用脱敏后的真实数据集。
数据脱敏的主要应用场景包括涉及客户安全数据或商业性敏感数据的情况,例如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏。数据脱敏的主要功能是通过使用数据脱敏产品,有效防止企业内部对隐私数据的滥用,防止隐私数据在未经脱敏的情况下从企业流出,满足企业既要保护隐私数据,同时又保持监管合规的需求。
今天我们就用自定义注解的方式在我们的项目中实现数据脱敏。
@JsonSerialize
@JsonSerialize 是 Jackson 库中的一个注解,用于在将 Java 对象序列化为 JSON 格式时指定如何进行自定义的序列化处理。Jackson 是一个流行的 Java 库,用于处理 JSON 数据的序列化和反序列化。
@JsonSerialize 注解可以应用于字段、方法或类级别,允许我们自定义序列化过程。例如,我们可以通过 @JsonSerialize 注解将日期格式化为特定的字符串,或将枚举类型序列化为其名称而不是值。
在使用 @JsonSerialize 注解时,我们可以使用 using 属性来指定一个自定义的序列化器(Serializer)类,这个类需要继承自 JsonSerializer,其中 T 是要序列化的对象的类型。通过这个自定义的序列化器,我们可以完全控制如何将 Java 对象转换为 JSON 数据。
此外,@JsonSerialize 注解还有一些其他的属性,如 include,用于指定序列化的范围和作用规则(例如,只序列化非空的属性)。
举个简单的例子,大家感受下:
@Data
public class CustomDateClass {
@JsonSerialize(using = CustomDateSerializer.class)
private Date myDate;
//自定义的日期序列化器
public static class CustomDateSerializer extends ToStringSerializer<Date> {
private static final long serialVersionUID = 1L;
public CustomDateSerializer() {
//传递null以使用默认日期格式
super(null);
}
//重写 serialize 方法来定制日期的序列化过程,将其格式化为 "yyyy-MM-dd" 的字符串。
@Override
public void serialize(Date value, JsonGenerator jgen, SerializerProvider provider) throws IOException, JsonProcessingException {
String formattedDate = new SimpleDateFormat("yyyy-MM-dd").format(value);
jgen.writeString(formattedDate);
}
}
}
接下来我们就使用自定义注解的方式,利用@JsonSerialize注解的特性来实现今天的数据脱敏功能。
自定义Jackson注解
需要自定义一个脱敏注解,一旦有属性被标注,则进行对应的脱敏
@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.FIELD)
@JacksonAnnotationsInside
@JsonSerialize(using = SensitiveJsonSerializer.class)
public @interface Sensitive {
//脱敏策略
SensitiveStrategy strategy();
}
定制脱敏策略
针对项目需求,定制不同字段的脱敏规则,比如手机号中间几位用 * 替代:
/**
* 脱敏策略,枚举类,针对不同的数据定制特定的策略
*/
public enum SensitiveStrategy
{
/**
* 姓名,第2位星号替换
*/
USERNAME(s -> s.replaceAll("(\\S)\\S(\\S*)", "$1*$2")),
/**
* 密码,全部字符都用*代替
*/
PASSWORD(DesensitizedUtil::password),
/**
* 身份证,中间10位星号替换
*/
ID_CARD(s -> s.replaceAll("(\\d{4})\\d{10}(\\d{4})", "$1** **** ****$2")),
/**
* 手机号,中间4位星号替换
*/
PHONE(s -> s.replaceAll("(\\d{3})\\d{4}(\\d{4})", "$1****$2")),
/**
* 电子邮箱,仅显示第一个字母和@后面的地址显示,其他星号替换
*/
EMAIL(s -> s.replaceAll("(^.)[^@]*(@.*$)", "$1****$2")),
/**
* 银行卡号,保留最后4位,其他星号替换
*/
BANK_CARD(s -> s.replaceAll("\\d{15}(\\d{3})", "**** **** **** **** $1")),
/**
* 车牌号码,包含普通车辆、新能源车辆
*/
CAR_LICENSE(DesensitizedUtil::carLicense);
private final Function<String, String> desensitizer;
SensitiveStrategy(Function<String, String> desensitizer)
{
this.desensitizer = desensitizer;
}
public Function<String, String> desensitizer()
{
return desensitizer;
}
}
定制JSON序列化实现
对标注注解@Sensitive的字段进行脱敏
/**
* 序列化注解自定义实现
* JsonSerializer<String>:指定String 类型,serialize()方法用于将修改后的数据载入
*/
public class SensitiveJsonSerializer extends JsonSerializer<String> implements ContextualSerializer {
private SensitiveStrategy strategy;
@Override
public void serialize(String value, JsonGenerator gen, SerializerProvider serializers) throws IOException {
gen.writeString(strategy.desensitizer().apply(value));
}
/**
* 获取属性上的注解属性
*/
@Override
public JsonSerializer<?> createContextual(SerializerProvider prov, BeanProperty property) throws JsonMappingException {
Sensitive annotation = property.getAnnotation(Sensitive.class);
if (Objects.nonNull(annotation)&&Objects.equals(String.class, property.getType().getRawClass())) {
this.strategy = annotation.strategy();
return this;
}
return prov.findValueSerializer(property.getType(), property);
}
}
脱敏工具类
/**
* 脱敏工具类
*/
public class DesensitizedUtil
{
/**
* 密码的全部字符都用*代替,比如:******
*
* @param password 密码
* @return 脱敏后的密码
*/
public static String password(String password)
{
if (StringUtils.isBlank(password))
{
return StringUtils.EMPTY;
}
return StringUtils.repeat('*', password.length());
}
/**
* 车牌中间用*代替,如果是错误的车牌,不处理
*
* @param carLicense 完整的车牌号
* @return 脱敏后的车牌
*/
public static String carLicense(String carLicense)
{
if (StringUtils.isBlank(carLicense))
{
return StringUtils.EMPTY;
}
// 普通车牌
if (carLicense.length() == 7)
{
carLicense = StringUtils.hide(carLicense, 3, 6);
}
else if (carLicense.length() == 8)
{
// 新能源车牌
carLicense = StringUtils.hide(carLicense, 3, 7);
}
return carLicense;
}
}
定义Person类,对其数据脱敏
使用注解@Sensitive注解进行数据脱敏
@Data
public class Person {
/**
* 真实姓名
*/
@Sensitive(strategy = SensitiveStrategy.USERNAME)
private String realName;
/**
* 电话号码
*/
@Sensitive(strategy = SensitiveStrategy.PHONE)
private String phoneNumber;
/**
* 身份证号码
*/
@Sensitive(strategy = SensitiveStrategy.ID_CARD)
private String idCard;
}
模拟接口测试
以上4个步骤完成了数据脱敏的Jackson注解,下面写个controller进行测试
@RestController
public class TestController {
@GetMapping("/test")
public Person test(){
Person user = new Person();
user.setRealName("阿Q说代码");
user.setPhoneNumber("13588888888");
user.setIdCard("370213199204174235");
return user;
}
}
返回结果如下:
总结
以上就是我们通过自定义注解的方式实现数据脱敏的全部内容了,想要了解更多JAVA后端知识,请点击文末名片与我交流吧。留下您的一键三连,让我们在这个寒冷的东西互相温暖吧!