SpringBoot接口返回数据脱敏(Mybatis、Jackson)

已于 2023-03-01 16:48:24 修改
阅读量2.5k 收藏 24
点赞数 5
分类专栏: spring 后端开发问题解决集合 文章标签: java mybatis spring boot 经验分享 spring
于 2023-02-24 09:11:22 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Staba/article/details/125231376
版权

一、前言

有时候,我们接口返回的数据需要做一些处理,有一些敏感数据,我们不能全部返回给用户,需要用*号隐藏掉一部分关键数据,使得该敏感数据变得不完全,其他人无法知道脱敏前的数据是什么样的。同时,存储在底层数据库的数据,一些关键信息如用户密码、身份证、手机号等敏感信息,也不能够通过明文的方式存放在数据库中。

数据脱敏有以下几种做法:

1、通过Mybatis处理

2、通过自定义Jackson注解,实现在属性序列化过程中处理数据

3、其他方式

二、Mybatis数据脱敏

在数据库中,根据业务需求存放了不少的有关用户的敏感信息,比如身份证、手机、住址、密码等信息,如果这些数据都是以明文的形式存放的,那么,当数据库被破解后,用户这些重要的信息都会被泄露。

数据加密解密很简单,如果自己手动在插入数据前对数据加密,读取到数据后进行手动解密,那么将会很麻烦。

因此,对于数据库数据的加密解密将采用Mybatis的TypeHandler处理,在我们为数据库提供数据后,会根据我们的需求,对部分数据进行加密。在读取后数据最终到我们手上前,会对读取到数据进行解密。请给位跟随以下的做法,实现Mybatis数据脱敏把。

1、自定义一个TypeHandler类型的处理器,用于处理数据的加密和解密

TypeHandler用于处理数据在数据库类型和java类型之间的转换,默认情况下,我们常用的String、Long、Date等java类型都有对应的TypeHandler进行处理,我们自定义TypeHanler的情况在于目前没有对应的数据转换处理器。

以下为自定义的字符串加密解密处理器:

import cn.hutool.crypto.symmetric.AES;
import org.apache.ibatis.type.BaseTypeHandler;
import org.apache.ibatis.type.JdbcType;
import org.springframework.util.StringUtils;

import java.nio.charset.StandardCharsets;
import java.sql.CallableStatement;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Objects;

/**
 * mybatis String类型敏感字段处理类
 * 可以通过实现TypeHandler,但是BaseTypeHandler已经实现了,我们可以继承它
 */
public class SensitiveColumnHandler extends BaseTypeHandler<String> {

    private static final String key = "wjfgncvkdkd25fc2";

    /**
     * 设置参数值,在此处对字段值进行加密处理
     */
    @Override
    public void setNonNullParameter(PreparedStatement ps, int i, String parameter, JdbcType jdbcType) throws SQLException {
        // 如果字段或字段值为空,不进行处理
        if(StringUtils.isEmpty(parameter)){
            ps.setString(i, parameter);
            return;
        }
        // 对字段值进行加密,此处使用hutool工具,有其他使用其他即可
        AES aes = SecureUtil.aes(key.getBytes(StandardCharsets.UTF_8));
        String secretStr = aes.encryptHex(parameter);
        ps.setString(i, secretStr);
    }

    /**
     * 获取值内容
     */
    @Override
    public String getNullableResult(ResultSet rs, String columnName) throws SQLException {
        String value = rs.getString(columnName);
        if(Objects.isNull(value)){
            return null;
        }
        // 对字段值进行加密,此处使用hutool工具,有其他使用其他即可
        AES aes = SecureUtil.aes(key.getBytes(StandardCharsets.UTF_8));
        return aes.decryptStr(value);
    }

    /**
     * 获取值内容
     */
    @Override
    public String getNullableResult(ResultSet rs, int columnIndex) throws SQLException {
        String value = rs.getString(columnIndex);
        if(Objects.isNull(value)){
            return null;
        }
        // 对字段值就行加密,此处使用hutool工具,有其他使用其他即可
        AES aes = SecureUtil.aes(key.getBytes(StandardCharsets.UTF_8));
        return aes.decryptStr(value);
    }

    /**
     * 获取值内容
     */
    @Override
    public String getNullableResult(CallableStatement cs, int columnIndex) throws SQLException {
        String value = cs.getString(columnIndex);
        if(Objects.isNull(value)){
            return null;
        }
        // 对字段值进行加密,此处使用hutool工具,有其他使用其他即可
        AES aes = SecureUtil.aes(key.getBytes(StandardCharsets.UTF_8));
        return aes.decryptStr(value);
    }
}

以上就是我们自定义一个TypeHandler类型的处理器,以下是关于处理器的使用,有分以下两种情况:

1)、全局使用

全局使用需要在配置文件中指定处理器包位置,指定之后,在默认情况下,遇到该处理器能够处理的类型,都将使用该处理器。不建议使用全局的方式使用自定义处理器,比如本文我们的自定义处理器是用于处理String字符串的,全局注册处理器之后,所有的String值将会使用该处理器。但实际情况是,只有在字符串是敏感数据时,我们才需要用到自定义的处理器。

#指定TypeHandler处理器的包位置
type-handlers-package: com.sensitive.learn.handler

2)、局部使用

在我们需要的字段上使用typeHandler表明指定的处理器,没有标注typeHandler的字段,将采用默认的处理器。(此处使用见Mapper.xml)。

2、创建Test实体类

@Data
@Accessors(chain = true)
public class Test {

    private Long id;

    private String idCard;

    private String phone;
    
}

3、创建TestMapper接口类

@Mapper
public interface TestMapper {

    List<Test> selectAll();

    Boolean insert(Test test);

}

4、Myatis Mapper文件,在需要自定义TypeHandler的字段是使用typeHandler属性进行指定

<?xml version="1.0" encoding="UTF-8" ?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.sensitive.learn.mapper.TestMapper">

    <resultMap id="testMap" type="com.sensitive.learn.model.Test">
        <id property="id" column="id"/>
        <result property="idCard" column="id_card" typeHandler="com.sensitive.learn.handler.SensitiveColumnHandler"/>
        <result property="phone" column="phone" typeHandler="com.sensitive.learn.handler.SensitiveColumnHandler"/>
    </resultMap>

    <select id="selectAll" resultMap="testMap">
        select id, id_card, phone
        from test
    </select>

    <insert id="insert" parameterType="com.sensitive.learn.model.Test">
        insert into test(id, id_card, phone)
        values(#{id},
               #{idCard, typeHandler=com.sensitive.learn.handler.SensitiveColumnHandler},
               #{phone, typeHandler=com.sensitive.learn.handler.SensitiveColumnHandler})
    </insert>

</mapper>

5、测试插入与查询

@SpringBootTest
@RunWith(SpringRunner.class)
public class TestClass {

    @Resource
    private TestMapper testMapper;

    @Test
    public void test1(){
        List<com.sensitive.learn.model.Test> tests = testMapper.selectAll();
        tests.forEach(System.out::println);

    }

    @Test
    public void test2(){
        com.sensitive.learn.model.Test test = new com.sensitive.learn.model.Test();
        test.setId(6L)
                .setIdCard("4493888665464654660")
                .setPhone("1234567890");
        testMapper.insert(test);
    }

}

插如之后查看数据库表情况:

 可以看出数据已经经过加密了

查询控制台打印的结果:

Test(id=6, idCard=4493888665464654660, phone=1234567890)

可以看出能够正常解密

好了,以上有关Mybatis的数据脱敏就到此为止了。

三、自定义Jackson数据脱敏

Jackson是Spring默认的序列化框架,以下将通过自定义Jackson注解,实现在序列化过程中对属性值进行处理。

1、定义一个注解,标注在需要脱敏的字段上

import com.boot.learn.enums.SecretStrategy;
import com.boot.learn.serializer.SecretJsonSerializer;
import com.fasterxml.jackson.annotation.JacksonAnnotationsInside;
import com.fasterxml.jackson.databind.annotation.JsonSerialize;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;


@Target(ElementType.FIELD) // 标注在字段上
@Retention(RetentionPolicy.RUNTIME)
@JacksonAnnotationsInside // 一般用于将其他的注解一起打包成"组合"注解
@JsonSerialize(using = SecretJsonSerializer.class) // 对标注注解的字段采用哪种序列化器进行序列化
public @interface SecretColumn {

    // 脱敏策略
    SecretStrategy strategy();

}

2、定义字段序列化策略,因为不同类型数据有不同脱敏后的展现形式。以下通过枚举类方式实现几种策略:

/**
 * 脱敏策略,不同数据可选择不同的策略
 */
@Getter
public enum SecretStrategy {

    /**
     * 用户名脱敏
     */
    USERNAME(str -> str.replaceAll("(\\S)\\S(\\S*)", "$1*$2")),

    /**
     * 身份证脱敏
     */
    ID_CARD(str -> str.replaceAll("(\\d{4})\\d{10}(\\w{4})", "$1****$2")),

    /**
     * 手机号脱敏
     */
    PHONE(str -> str.replaceAll("(\\d{3})\\d{4}(\\d{4})", "$1****$2")),

    /**
     * 地址脱敏
     */
    ADDRESS(str -> str.replaceAll("(\\S{3})\\S{2}(\\S*)\\S{2}", "$1****$2****"));

    private final Function<String, String> desensitizer;

    SecretStrategy(Function<String, String> desensitizer){
        this.desensitizer = desensitizer;
    }



}

3、定义一个Jackson序列化器,可以对标注了@SecretColumn 的注解进行处理

/**
 * 序列化器实现
 */
public class SecretJsonSerializer extends JsonSerializer<String> implements ContextualSerializer {

    private SecretStrategy secretStrategy;

    /**
     * 步骤一
     * 方法来源于ContextualSerializer,获取属性上的注解属性,同时返回一个合适的序列化器
     */
    @Override
    public JsonSerializer<?> createContextual(SerializerProvider serializerProvider, BeanProperty beanProperty) throws JsonMappingException {
        // 获取自定义注解
        SecretColumn annotation = beanProperty.getAnnotation(SecretColumn.class);
        // 注解不为空,且标注的字段为String
        if(Objects.nonNull(annotation) && Objects.equals(String.class, beanProperty.getType().getRawClass())){
            this.secretStrategy = annotation.strategy();
            // 符合我们自定义情况,返回本序列化器,将顺利进入到该类中的serialize()方法中
            return this;
        }
        // 注解为空,字段不为String,寻找合适的序列化器进行处理
        return serializerProvider.findValueSerializer(beanProperty.getType(), beanProperty);
    }

    /**
     * 步骤二
     * 方法来源于JsonSerializer<String>:指定返回类型为String类型,serialize()将修改后的数据返回
     */
    @Override
    public void serialize(String s, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException {
        if(Objects.isNull(secretStrategy)){
            // 定义策略为空,返回原字符串
            jsonGenerator.writeString(s);
        }else {
            // 定义策略不为空,返回策略处理过的字符串
            jsonGenerator.writeString(secretStrategy.getDesensitizer().apply(s));
        }
    }
}

4、实体类中使用@SecretColumn注解

@ToString
@Data
@Accessors(chain = true)
public class User {

    /**
     * 真实姓名
     */
    @SecretColumn(strategy = SecretStrategy.USERNAME)
    private String realName;

    /**
     * 地址
     */
    @SecretColumn(strategy = SecretStrategy.ADDRESS)
    private String address;

    /**
     * 电话号码
     */
    @SecretColumn(strategy = SecretStrategy.PHONE)
    private String phoneNumber;

    /**
     * 身份证号码
     */
    @SecretColumn(strategy = SecretStrategy.ID_CARD)
    private String idCard;

}

5、测试

@RestController
@RequestMapping("/secret")
public class SecretController {

    @GetMapping("/test")
    public User test(){
        User user = new User();
        user.setRealName("陈平安")
                .setPhoneNumber("12345678910")
                .setAddress("浩然天下宝瓶洲骊珠洞天泥瓶巷")
                .setIdCard("4493888665464654659");
        System.out.println(user);
        return user;
    }

}

输出结果:

1)控制台打印结果

User(realName=陈平安, address=浩然天下宝瓶洲骊珠洞天泥瓶巷, phoneNumber=12345678910, idCard=4493888665464654659)

2)浏览器结果

{"realName":"陈*安","address":"浩然天****瓶洲骊珠洞天泥****","phoneNumber":"123****8910","idCard":"4493****54659"}

结论:通过自定义Jackson实现数据脱敏,猜测生效的过程是在接口返回对象数据时,序列化器将对象数据转换成json数据时实现的。

可以在代码中通过ObjectMapper序列化对象,同样能够得到脱敏后的数据:

ObjectMapper objectMapper = new ObjectMapper();
try {
    System.out.println(objectMapper.writeValueAsString(user));
} catch (JsonProcessingException e) {
    e.printStackTrace();
}

控制台打印结果:

{"realName":"陈*安","address":"浩然天****瓶洲骊珠洞天泥****","phoneNumber":"123****8910","idCard":"4493****54659"}

注意:如果使用的不是Jackson,而是fastjson或者其他的序列化工具,则需要使用定义对应组件能够识别的序列化器,否则,序列化将不生效。

四、总结

以上是关于接口数据脱敏两个方面的实现,一方面是通过Mybatis实现,一方面是通过Jackson实现,大家可以通过自己的业务需求灵活组合使用,事半功倍!

明天再去学习
关注
  • 5
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
基于mybatis 来实现对敏感数据在进出DB时候进行脱敏处理, 让各位码友们无需自己各种手动实现
06-03
基于mybatis 来实现对敏感数据在进出DB时候进行脱敏处理, 让各位码友们无需自己各种手动实现
java springBoot项目实现数据脱敏的策略
w_l666的博客
02-06 667
在实际的软件开发中,保护用户隐私数据是非常重要的。在Java Spring Boot项目中,通常需要对敏感数据进行脱敏处理,以确保数据安全性。本文将介绍几种常见的数据脱敏策略,并提供相应的实现方式和示例代码。
Spring Boot 优雅进行数据脱敏
最新发布
余十步的博客
06-24 464
* 自定义手机序列号器*
SpringBoot】三种常见的数据脱敏方案
sco5282的博客
09-01 8785
大家可以根据自己的想法添加其它的脱敏规则(我只想脱敏一部分数据,并指明从哪开始,从哪结束)。要做成可配置多策略的脱敏操作,要不然一个个接口进行脱敏操作,重复的工作量太多。定义数据脱敏注解和数据脱敏逻辑的接口, 在返回类上,对需要进行脱敏的属性加上,并指定对应的脱敏策略操作。4、自定义 AnnotationIntrospector,适配我们自定义注解返回相应的Serializer。由于 Java 8 中新增了许多函数式接口,所以,这里就不需要我们自定义接口了,可以直接使用函数式接口。方案三、自定义注解实现。.
springboot项目中实现数据脱敏
weixin_44727769的博客
06-08 2535
创建自定义脱敏枚举类:这里定义一个敏感字段的枚举,并设定各个字段的脱敏策略。/*** 用户名* 身份证* 手机号* 地址} }创建序列化类:SensitiveSerializer:} }定义SensitiveData注解定义返回结果实体类创建包含敏感数据字段的实体类,并在需要脱敏的字段上添加 @SensitiveData 注解。创建Conrtoller测试返回结果u . setUsername("张老三");
springBoot中如何给敏感数据脱敏
xiayz的博客
06-22 4512
在实际开发的过程中,我们可能会遇到一些敏感数据,但是用户又不希望这些敏感数据全部展示出来,所以这个时候就需要对数据进行脱敏处理解决思路:新建一个注解了标签,用在实体类字段中,实现再查询数据时将数据替换成处理好的数据 2.新建脱敏操作的工具类 3. 申明注解类 4.注解的AOP操作 5.实际使用 对数据进行脱敏操作,总结就是使用AOP对数据进行拦截操作,在给对象赋值时进行数据操作...
Spring Boot数据脱敏
m0_57077522的博客
02-15 336
Spring Boot数据脱敏
Springboot2.7.0 + mybatis 搭建多数据源
06-20
本教程将详细讲解如何使用Spring Boot 2.7.0和MyBatis框架搭建多数据源配置,以实现灵活的数据管理。 首先,我们需要了解Spring Boot的核心特性,它是一个基于Spring框架的微服务开发工具,简化了配置并提供了自动...
springboot同时整合JPA和mybatis的demo
08-12
本示例"springboot同时整合JPA和mybatis的demo"旨在演示如何在一个项目中同时使用Spring Boot与两种ORM(对象关系映射)框架:JPA(Java Persistence API)和MyBatis。这为我们提供了更大的灵活性,可以根据不同的...
SpringBoot + Apache Shiro + Mybatis Plus + Thymeleaf 实现的内容管理系统
04-28
采用SpringBoot + Apache Shiro + Mybatis Plus + Thymeleaf 实现的内容管理系统(附带权限管理),是搭建博客、网站的不二之选。 技术栈:Spring Boot、Apache Shiro、MyBatis-Plus、Alibaba Druid、Redis、MySQL、...
springboot2.X+mybatis+redis
03-23
结合这三个技术,"springboot2.X+mybatis+redis"项目可以帮助开发者快速搭建一个包含数据访问和缓存功能的Web应用。项目中可能包括以下组成部分: 1. **配置**:在Spring Boot的配置文件(application.yml或...
SpringBoot多数据源+mybatis+swagger2.rar
12-15
SpringBoot多数据源+Mybatis+Swagger2是一个常见的企业级应用开发组合,它结合了Spring Boot的便捷性、Mybatis的灵活性以及Swagger2的API文档管理能力,为开发者提供了高效且易于维护的后端架构。下面我们将深入探讨...
接口返回数据字段脱敏处理方案
qq_38637728的博客
05-10 1958
第四种方案, 增加aop拦截器,在拦截器中的后置处理器中,对返回的参数属性进行解析,带有自定义注解的参数进行拦截,这里兼容了层级复杂多类型的数据结构,不过递归时可能存在内存溢出风险,只要把对象类型的判断处理好就能避免内存泄漏情况。1.新建一个Java类,实现ObjectSerializer接口,重写write 方法,serializer 是序列化对象,object 是属性值,这里我们只需要关注这两个属性,格式化object 内容再写入serializer中就可以了。2.fastjson序列化方式实现脱敏
MyBatis数据脱敏
Chenhui98的博客
08-12 1715
我们有一张用户表tbl_user,里面有客户手机号(phone)和邮箱(email)等字段,其中客户手机号(phone)是需要加密保存到数据库中的。在我们数据库中有些时候会保存一些用户的敏感信息,比如:手机号、银行卡等信息,如果这些信息以明文的方式保存,那么是不安全的。//注意:针对需要解密的字段需要指定我们之前进行加密的类型,这样才能匹配到我们自定义的TypeHandler。userDao:需要加密的字段需要传入我们前面指定的类型。String name = "小红";...
手把手教你 使用SpringBoot 实现业务数据动态脱敏
你若为我繁华,我愿成你烟花
08-09 1704
数据脱敏(),顾名思义,是屏蔽敏感数据,对某些敏感信息(比如,身份证号、手机号、卡号、客户姓名、客户地址、邮箱地址、薪资等等 )通过脱敏规则进行数据的变形,实现隐私数据的可靠保护。业界常见的脱敏规则有,替换、重排、加密、截断、掩码,用户也可以根据期望的脱敏算法自定义脱敏规则。良好的数据脱敏实施,需要遵循如下两个原则, 第一,尽可能地为脱敏后的应用,保留脱敏前的有意义信息;第二,最大程度地防止黑客进行破解。这里我画一张图来更清楚的理解什么是数据脱敏数据脱敏又分为静态数据脱敏(SDM)和 动态数据脱敏
接口数据如何脱敏
weixin_51681634的博客
08-16 689
接口数据如何脱敏
SpringBoot实现返回数据脱敏
月色无痕的专栏
07-11 1388
SpringBoot实现数据脱敏响应请求,由于业务需要,敏感数据返回给第三方时,需要进行隐藏处理,但是如果一个字段一个字段的进行硬编码处理的话,不仅增加了工作量,而且后期需求变动的时候,更加是地狱般的工作量变更。下面将介绍一种高效便捷的处理方法。下面,通过身份证,姓名,密码,手机号等等示例去演示脱敏的流程/*** 步骤一* 方法来源于ContextualSerializer,获取属性上的注解属性,同时返回一个合适的序列化器*/@Override// 获取自定义注解。
基于mybatis的数据库脱敏
lemon_csdn的博客
11-30 2539
背景 思路 实现 思考 背景 最近接到需求需要对数据库中的电话、身份证号等敏感信息进行脱敏加密处理,再加上之前面试时也被问到相关问题,所有在此记录。脱敏对象是数据库的字段,所以在数据库存取的出入口进行加解密操作是最合适的,项目中使用mybatis作为ORM框架,所以使用基于mybatis的数据库脱敏
基于Jackson实现API接口数据脱敏
tianmaxingkonger的专栏
06-01 1292
JacksonSpringBoot默认的Json序列化和反序列化库,本文通过使用Jackson的@JsonSerialize注解实现序列化时脱敏操作,通过使用Jackson的@JsonDeserialize注解实现反序列化时脱敏数据检测并丢弃操作。API接口出参(Rsp),敏感数据序列化时脱敏API接口入参(Req),过滤已脱敏的数据,直接丢弃。
springboot根据id查询数据mybatis plus
04-15
您好!关于您的问题,可以使用Mybatis Plus提供的方法来实现根据id查询数据。具体可以参考以下代码: ``` @Service public class UserServiceImpl extends ServiceImpl<UserMapper, User> implements UserService { @Override public User getById(String id) { return baseMapper.selectById(id); } } ``` 其中,`baseMapper`是Mybatis Plus提供的基础Mapper,`UserMapper`是继承了`BaseMapper<User>`的一个Mapper接口。`selectById`方法即为根据id查询数据的方法。 希望能够帮助到您!如果还有其他问题,欢迎再次提问。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值