使用自定义注解进行数据脱敏

已于 2024-04-18 15:26:36 修改
阅读量303 收藏 5
点赞数 5
文章标签: java
于 2024-04-17 09:47:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cjy1575944940/article/details/137855512
版权

遇到个需求就是实现数据脱敏,本来想抄另外一个项目的,但是发现另外一个项目的选型存在瑕疵:

另一个项目的脱敏使用的是ResponseAdvice,在请求结束后进行拦截。这个有什么瑕疵呢?
瑕疵点在于需要递归遍历请求体的每个属性寻找对应的注解,首先递归就是一项耗费资源的功夫,再者还会对特殊部分数据做特殊递归处理(如集合类型以及map类型),仅对其中的两者有特殊处理。那假如自定义一种数据结构呢?那就要不断的在代码里往下写增加特殊处理,显然这么做是有瑕疵的。

于是经过查找挑选后,确定使用jackson的序列化的注解@JsonDeserialize 进行处理,同时仅处理在请求响应中的数据,因为常规来说脱敏也只是对请求接口而言的仅仅是返回客户端用到的,自己后台定时任务处理数据明显不需要。

贴上代码

  1. 先自定义脱敏类型
/**
 1. 脱敏类型
 */
public enum SensitiveType {
    // 用户名
    USER_NAME,
    // 身份证号
    PAPERWORK_NO,
    // 手机号
    MOBILE_PHONE,
    // 地址
    HOME_ADDRESS,
    // 姓名
    REAL_NAME
}
  1. 设计一个根据脱敏类型做不同处理的脱敏策略处理器
    根据注解里传来的type值new出不同种类的(手机号,邮箱,身份证…)SensitiveStrategyHandler,调用其desensitization方法做具体的脱敏数据处理
/**
 * 统一脱敏策略处理
 */
@AllArgsConstructor
public class SensitiveStrategyHandler {

    private SensitiveType type;

    /**
     * 处理脱敏
     *
     * @param entity 需要脱敏的数据
     * @return 脱敏后的数据
     */
    public String desensitization(String entity) {


        if (StringUtils.isEmpty(entity)) {
            return entity;
        }

        switch (type){
            case USER_NAME: {
                // 策略为中间两次
                int i = entity.length() / 2 / 2;
                return this.replaceCharacters(entity,i,entity.length()-i,'*');
            }
            case PAPERWORK_NO: {
                // 策略为除前4位与后4位显示
                return this.replaceCharacters(entity,4,entity.length()-4,'*');
            }
            case MOBILE_PHONE: {
                // 将中间4位数进行*代替
                int start = (entity.length() - 4)/2;
                return this.replaceCharacters(entity,start,entity.length()-start-1,'*');
            }
            case HOME_ADDRESS: {
                // 长度的1/3之后开始脱敏
                int start = entity.length() / 3;
                return this.replaceCharacters(entity,start,entity.length(),'*');
            }
            case REAL_NAME: {
                // 将姓后面的字用*代替
                return this.replaceCharacters(entity,1,entity.length(),'*');
            }
        }

        return entity;
    }

    /**
     * 将字符串开始位置到结束位置变成特定的符号
     * @param input 目标字符串
     * @param start 开始位置
     * @param end 结束位置
     * @param symbol 需要变成的符号
     * @return 处理结果
     */
    private String replaceCharacters(String input,int start,int end,char symbol){
        if (input == null || start >= end || input.length() < end) {
            return input;
        }
        // 差值,需要补的symbol个数
        int num = end - start;
        StringBuilder builder = new StringBuilder();
        for (int i = 0 ; i < num ; i++){
            builder.append(symbol);
        }
        // 获取原始字符串的前start位
        String prefix = input.substring(0, start);

        // 获取字符串中第end位及以后的字符
        String suffix = input.substring(end);
        // 拼接替换后的字符串
        return prefix + builder.toString() + suffix;

    }

}
  1. 加上策略,
    使其做到根据type的值new出不同类型的处理器做不同处理
/**
 * 脱敏处理策略类
 */
public class SensitiveStrategy {

    /**
     * 具体使用那个策略
     * @param type
     * @param entity
     * @return
     */
    public static String desensitization(SensitiveType type, String entity){
        SensitiveStrategyHandler sensitiveService = new SensitiveStrategyHandler(type);
        return sensitiveService.desensitization(entity);
    }

}
  1. 设计一个注解Sensitive

加上注解jackson的注解@JacksonAnnotationsInside,类型即为第1步定义的枚举类SensitiveType 。指定自定义的序列化器SensitiveJsonSerializer.class,先讲序列化JsonSerialize,JsonDeserialize先不管后面会讲到为何这么用。

@JacksonAnnotationsInside
@JsonSerialize(using = SensitiveJsonSerializer.class)
@JsonDeserialize(using = SensitiveJsonDeserializer.class)
@Target(ElementType.FIELD)// 修饰在属性上
@Retention(RetentionPolicy.RUNTIME)// 运行时动态获取
public @interface Sensitive {

    // 脱敏类型
    SensitiveType type();

}
  1. 自定义序列化器SensitiveJsonSerializer
    当数据返回给前端的时候,会将数据进行序列化,所以需要写序列化器
    首先是写下面的createContextual方法的逻辑,这个方法主要是判断啥时候跳进上面serialize方法里的。那么这里只需要在请求响应中,一般都在get请求中(获取数据的时候)进行数据的脱敏。
/**
 * 数据脱敏json序列化工具
 *
 * @author Yjoioooo
 */
@Slf4j
public class SensitiveJsonSerializer extends JsonSerializer<String> implements ContextualSerializer {

    private SensitiveType sensitiveType;

    @Override
    public void serialize(String value, JsonGenerator gen, SerializerProvider serializers) throws IOException {
        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        if (requestAttributes != null) {
            // 为web上下文环境
            ServletRequestAttributes servletRequestAttributes = (ServletRequestAttributes) requestAttributes;
            HttpServletRequest request = servletRequestAttributes.getRequest();
            String method = request.getMethod();
            // 需要拦截脱敏的请求:get请求或者是导出功能
            boolean isRequiredSensitiveMethod = StrUtil.equals(method,"GET")
                    || (request.getRequestURI().toLowerCase().contains("export")&&
                    (StrUtil.equals(method,"POST") || StrUtil.equals(method,"PUT")));

            if(isRequiredSensitiveMethod == true && StrUtil.isNotEmpty(value)){
                gen.writeString(SensitiveStrategy.desensitization(sensitiveType,value));
                return;
            }
        }
        gen.writeString(value);
    }

    @Override
    public JsonSerializer<?> createContextual(SerializerProvider prov, BeanProperty property) throws JsonMappingException {
        Sensitive annotation = property.getAnnotation(Sensitive.class);
        if(Objects.nonNull(annotation) && Objects.equals(String.class, property.getType().getRawClass())){
            this.sensitiveType = annotation.type();
            return this;
        }
        return prov.findValueSerializer(property.getType(), property);
    }
}

此时这段写完后,意味着添加了@Sensitive的类,在请求的时候会经过这个序列化器进行处理,会判断是否进行脱敏处理。

  1. 然后自定义一个反序列化器SensitiveJsonDeserializer
    这一点我看大部分文章都没有设计到,这点是用来处理什么的呢?其实在上一步第5步中已经基本可以做到在web环境里进行脱敏的功能了,没有问题。
    但是!假如脱敏的数据返回给前端(比如手机号123星星123),前端提交表单给后台的时候提交的仍然是已经脱敏的数据(手机号123星星123),那么保存到数据库的时候数据不就成脱敏的数据了么?(手机号123星星123)

所以要设计这么个反序列化器。当请求为post或者是put请求的时候,将带*号的数据置成Null(一般mybatis是非null才保存,如果制定了特殊的策略需要另外修改),防止将脱敏数据写入到数据库里。

/**
 * 数据脱敏json序列化工具
 *
 * @author Yjoioooo
 */
@Slf4j
public class SensitiveJsonDeserializer extends JsonDeserializer<String> implements ContextualDeserializer {



    @Override
    public String deserialize(JsonParser jsonParser, DeserializationContext deserializationContext) throws IOException {
        String text = jsonParser.getText();
        RequestAttributes requestAttributes = RequestContextHolder.getRequestAttributes();
        if(requestAttributes != null) {
            ServletRequestAttributes servletRequestAttributes = (ServletRequestAttributes) requestAttributes;
            HttpServletRequest request = servletRequestAttributes.getRequest();
            String method = request.getMethod();
            if(StrUtil.equals(method,"POST") || StrUtil.equals(method,"PUT")){
                if(text!=null && text.contains("*")){
                    // 防止提交表单时吧*号带上将数据覆盖
                    return null;
                }
            }
        }

        return text;
    }

    @Override
    public JsonDeserializer<?> createContextual(DeserializationContext prov, BeanProperty property) throws JsonMappingException {
        Sensitive annotation = property.getAnnotation(Sensitive.class);
        if(Objects.nonNull(annotation) ){
            return this;
        }
        return prov.findContextualValueDeserializer(property.getType(), property);
    }
}

至此处理完毕
------------------分界线------------------------
2024/04/18更新:
原本在createContextual()方法里判断是否为web环境,由于这个方法仅在第一次序列化时才会执行且只会执行一次,后续不再执行。所以在这里面判断为web环境是错的,这里改为了在deserialize()以及serialize()方法中获取每次请求

小麟有点小靈
关注
  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
springboot 脱敏自定义注解
03-25
总的来说,通过自定义注解和Spring AOP,我们可以灵活地在Spring Boot应用中实现数据脱敏,提高应用的安全性。这不仅使代码保持整洁,也使得脱敏规则易于管理和维护。在实际开发中,还需要注意处理各种异常情况,...
自定义基于接口,实体类注解脱敏
11-20
在给定的标题“自定义基于接口,实体类注解脱敏”和描述中,我们可以理解这是一个关于Java环境下如何实现数据脱敏的实践教程。下面我们将深入探讨这个主题。 首先,我们来了解什么是数据脱敏数据脱敏是将数据库中...
springboot 自定义注解实现数据脱敏
老王的博客
09-15 2430
本文为springboot 为基础框架用户实现自定义接口脱敏 1.定义自定义接口注解 package com.wll.desen.densenInter; import java.lang.annotation.*; /** * @author wll * data 2021-09-13 */ @Target({ElementType.FIELD, ElementType.METHOD}) @Retention(RetentionPolicy.RUNTIME) @Inherited @Doc
使用注解的方式实现数据脱敏
huangpf_vcx
05-21 518
数据脱敏可以分为静态数据脱敏和动态数据脱敏,其中静态数据脱敏一般应用于数据外发场景,例如需要将数据导出发送给开发人员、测试人员等,静态数据脱敏会将变化后的数据进行保存,供数据使用使用;动态数据脱敏一般应用于直接连接生产数据的场景,例如运维人员直接连接生产数据库进行运维,动态数据脱敏会在数据获取过程中对数据进行变化处理,不会修改原始数据。
SpringBoot自定义注解+数据脱敏(一看就懂)
weixin_55772633的博客
11-23 779
自定义注解需要使用@interface关键字进行定义,并且需要指定该注解的作用目标(如类、方法、字段等)和需要包含的元数据信息(如属性及其默认值等)。一般我们可以通过注解来实现一些重复的逻辑,就像封装了的一个方法,可以用在一些权限校验、字段校验、字段属性注入、保存日志、缓存@Inherited。
自定义注解实现数据脱敏
chonglou_feixue的博客
11-24 172
其中效率最慢的当属于代码业务代码方式,最优的方式当属于自定义注解的方式,减少代码量,提高工作效率,需要脱敏的字段仅需要加一个注解就可以达到目的。在实际开发中经常会遇到有一些信息不能全部展示用户,需要隐藏(可以叫脱敏)一部分的情况比如地址,电话,手机号,身份证等。1):业务代码脱敏:顾名思义就是拿到数据需要脱敏的那个字段进过一系列的脱敏规则替换成自己想要的格式。2):自定义注解+aop切面的方式去完成字段脱敏的目的。3):自定义注解+序列化的方式对数据进行脱敏。这样一个自定义脱敏注解就完成了。
Java使用自定义注解实现数据脱敏以及字段加解密
CodersCoder的博客
12-20 640
Java实现实体类属性数据脱敏,加解密
自定义注解结合Hutool对SpringBoot接口返回数据进行脱敏
08-11
自定义注解结合Hutool对SpringBoot接口返回数据进行脱敏 自定义注解结合Hutool对SpringBoot接口返回数据进行脱敏 自定义注解结合Hutool对SpringBoot接口返回数据进行脱敏 自定义注解结合Hutool对SpringBoot接口返回...
springmvc log4j2 logback 注解 jackson 日志脱敏实现源码
12-30
在实际应用中,可以结合使用这些方法,比如在Controller层处理HTTP请求时使用SpringMVC的注解脱敏,而在日志记录层面利用`Logback`或`Log4j2`的扩展功能进行全局脱敏。 在`desensitization`这个压缩包文件中,可能...
使用log4j2实现日志数据脱敏
05-08
本文将详细介绍如何使用Log4j2实现日志数据脱敏。 一、Log4j2简介 Log4j2是Apache软件基金会开发的日志框架Log4j的升级版,它具有更高的性能、灵活性和可配置性。Log4j2支持多种日志记录级别(如DEBUG、INFO、WARN...
java版的上门家政系统和PHP版的上门家政有什么区别?
baina666的博客
07-12 605
综上所述,Java版和PHP版的上门家政系统各有优缺点,选择哪种语言主要取决于项目的具体需求、预算、开发团队的技术栈以及未来的扩展计划等因素。同时,由于Java生态系统的复杂性和多样性,也可能需要投入更多的时间和资源来学习和掌握相关的技术和工具。Java版:Java拥有庞大的生态系统和丰富的第三方库,这为家政系统的开发和扩展提供了强大的支持。Java版:由于Java的编译执行机制和高效的垃圾回收算法,Java版家政系统通常具有更高的运行效率和更好的性能表现,尤其是在处理高并发、大数据量等复杂场景时。
Spring Security 授权
persistence_PSH的博客
07-14 819
在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。在 loadUserByUsername 方法,在查询数据库用户信息的时候,同时查询出用户的权限,这里以角色名代指权限。通过 RBAC 获取到用户的具体权限后,再通过 Security 的 用户-权限-资源 来进行权限控制。HttpSecurity 权限配置。
【Go系列】 Sync并发控制
u013379032的博客
07-14 958
在上一篇文章中,我们介绍了goroutine和channel,理论上,通过channel可以实现并发控制,但是其他语言的开发者可能更习惯一些原子操作的库。当然Go语言也会提供这样的库,所以我们今天了解一下sync库。
Java方法练习-双色球彩票系统
T1798218285的博客
07-11 319
红色球号码从1-33中选择;蓝色球号码从1-16中选择。投注号码由6个红色球号码和1个蓝色球号码组成。三等奖 5+1 / 5+0 3000。四等奖4+1 / 4+0 200。六等奖1+1 / 1+0 5。一等奖6+1 1000w。二等奖6+0 500w。五等奖3+1 / 2+1。
Java 线程池详解
qq_41591215的博客
07-13 908
线程池是一组已经初始化并等待执行任务的线程集合。通过使用线程池,我们可以避免频繁地创建和销毁线程,从而节省资源和减少系统开销。线程池的核心思想是通过复用线程来提高性能。
基于Java技术的校园台球厅人员与设备管理系统
heye0910032的博客
07-12 573
本文介绍了一个基于Java技术和SpringBoot框架开发的校园台球厅人员与设备管理系统。该系统利用MySQL数据库进行数据存储,实现了包括首页、个人中心、用户管理、会员账号管理、会员充值管理、球桌信息管理、会员预约管理、普通预约管理、留言反馈和系统管理等多功能集成。系统设计考虑了用户友好性和操作便捷性,旨在提高校园台球厅人员与设备管理的效率和质量。本文介绍了一个基于Java技术和SpringBoot框架开发的校园台球厅人员与设备管理系统。
Java 中有哪几种基本数据类型?请分别列出它们并简述每种数据类型的特点及其在内存中的占用空间?
最新发布
liangzai215的专栏
07-15 464
Java的世界里,数据是构建应用程序的基石。为了高效地处理这些数据,Java设计了一系列基础数据类型,它们直接映射到计算机硬件上,因此在性能和内存使用上更为高效。我们常说的Java八大基本数据类型,涵盖了整数、浮点数、字符和布尔值,下面我将一一介绍它们的特点以及在内存中的占用空间,并通过简单的代码实例来加深理解。
maven项目容器化运行之1-基于1Panel软件将docker镜像构建能力分享给局域网
qq_37372909的博客
07-15 425
docker核心功能包括镜像的构建和容器的运行,它可以开放端口将镜像构建的能力暴露。docker daeson就是docker的守护进程,开放能力是通过指定docker守护进程监听端口来实现的。后面开发人员就可以通过maven中docker插件来远程调用docker镜像构建能力了。
springboot自定义注解脱敏
09-10
- *1* *2* *3* [springboot 自定义注解实现数据脱敏](https://blog.csdn.net/a2365900668/article/details/120306728)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值