基于jackson自定义注解,实现对数据的序列化控制

已于 2022-04-19 09:24:03 修改
阅读量3.8k 收藏 8
点赞数 1
分类专栏: JAVA spring
于 2022-04-15 14:50:33 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jfqqqqq/article/details/124186929
版权

Spring框架 数据加密 序列化 注解 权限控制
关键词由CSDN通过智能技术生成
JAVA 同时被 2 个专栏收录
46 篇文章 1 订阅
订阅专栏
spring
15 篇文章 0 订阅
订阅专栏

需求

考虑到数据安全问题,数据库中存储的数据是加密了的数据。

所以contoller的接口在返回数据时候,想要判断当前用户是否具备查看解密数据的权限,有则返回解密数据,没有则返回加密数据。

此需求由‘获取权限’与‘返回数据的序列化控制’两因素组成。

本文要做的是‘返回数据序列化控制’的部分。权限部分用户自己意淫一个接口实现即可。

环境

1. 数据库的数据是加密的

2. 项目采用的spring框架

设计

返回加密数据的接口有很多,都需要做序列化控制,简单的实现就是每个controller或者service层做解密操作,但是这样一来需要在这些函数中依次写入解密代码。一两个接口倒还好,若是几十个那咋办,不得累死。

所以,采用注解的方式,spring采用的jackson序列化框架,提供了可控的接口。我们只需要实现注解以及序列化逻辑的工具类,然后在实体类上标注上我们的注解,就可以自动按照我们的逻辑进行序列化了。

四步骤:

1. 自定义一个序列化注解(以下简称A),用于标注需要被保密控制的字段上。考虑到不同的业务字段的加解密算法会有区别,所以给注解中定义一个属性,告诉注解其修饰的字段是哪种类型的字段,标识区别。

2. 编写保密序列化工具类(以下简称B),内部具备依据是否需要返回加、解密数据的序列化逻辑。该工具类可以依据注解A的属性,来做不同的解密算法操作。考虑到通用性,本序列化工具类将把具体的序列化逻辑以及一些序列化前、序列化后的生命周期定义出‘钩子’,让子类去实现。这样使用者就可以自行实现具体的序列化方法。

3. 告诉spring和jackson,在序列化时候,针对被我们标记了A注解字段,执行我们植入的序列化逻辑。 至于怎么告诉spring和jackson。1. 给目标类上使用jackson的注解:@JsonSerialize,并在其‘using’属性中指定我们的工具类B。这样一来,就告诉jackson,序列化该类的时候,会调用我们的序列化方法。2. 让工具类实现jackson的接口,这样jackson才能调度我们的工具类

4. 基于2,开发在使用2的工具类B时,需要写一个类,继承B并实现抽象解密方法。

5. 创建一个开关,用于标识是否需要解密。在2的工具类B中用此来判断是否需要解密。

实现

ok,接下来开始实现。

自定义注解

@Inherited
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.FIELD})
public @interface Confusion {
    ConfusedFieldTypeEnum type() default ConfusedFieldTypeEnum.NOT_CONFUSED;

    boolean turnOn() default true;
}

其中的type属性,用一个enum来表达,在enum中指定字段类型

字段类型enum

public enum ConfusedFieldTypeEnum {
    NOT_CONFUSED(-1),
    EMAIL(0),
    LOGIN_NAME(1),
    PHONE(2);

    private int code;

    private ConfusedFieldTypeEnum(int code) {
        this.code = code;
    }

    public int getCode() {
        return this.code;
    }

    public void setCode(int code) {
        this.code = code;
    }
}

序列化控制工具类(抽象类)


public abstract class MySerializer extends JsonSerializer<Object> {

    @Override
    public void serialize(Object obj, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException, JsonProcessingException {
        boolean switchState = CurrentThreadConfusedSwitch.getSwitchState();
        jsonGenerator.writeStartObject();
        try {
            Class<?> aClass = obj.getClass();
            List<Field> declaredFields = getDeclaredFields(aClass);
            for (Field declaredField : declaredFields) {
                declaredField.setAccessible(true);
                Object oldValue = declaredField.get(obj);
                if (oldValue != null && declaredField.isAnnotationPresent(Confusion.class)) {//this thread turn on the switch and with the @interface of Confusion
                    Confusion confusion = declaredField.getDeclaredAnnotation(Confusion.class);
                    Object result = null;
                    ConfusedFieldTypeEnum type = confusion.type();
                    if (type != null && type != ConfusedFieldTypeEnum.NOT_CONFUSED) {//type is not NOT_CONFUSED,then set the wrapped value to obj
                        if (switchState) {//turning on, then set the opening-wrapped value to it.
                            result = wrapperValueOnSwitchOpen(type, oldValue);
                        } else {//turning off, then set the offing-wrapped value to it.
                            result = wrapperValueOnSwitchOff(type, oldValue);
                        }
//                        if (result != null) {
                        jsonGenerator.writeObjectField(declaredField.getName(), result);
//                        } else {
//                            jsonGenerator.writeObjectField(declaredField.getName(), oldValue);
//                        }
                    } else {
                        jsonGenerator.writeObjectField(declaredField.getName(), result);
                    }
                } else {//without being marked by @interface Confusion, then set the source value to it.
                    jsonGenerator.writeObjectField(declaredField.getName(), oldValue);
                }
            }
        } catch (Exception e) {
            e.printStackTrace();
        }
        jsonGenerator.writeEndObject();

    }

    private List<Field> getDeclaredFields(Class<?> aClass) {
        List<Field> fieldList = new ArrayList<>();
        Field[] declaredFields1 = aClass.getDeclaredFields();
        fieldList.addAll(Arrays.asList(declaredFields1));
        List<Class<?>> classes = getAllSuperclass(aClass);
        if (classes != null) {
            for (Class<?> clazz: classes) {
                Field[] declaredFields = clazz.getDeclaredFields();
                fieldList.addAll(Arrays.asList(declaredFields));
            }
        }

        return fieldList;
    }

    private List<Class<?>> getAllSuperclass(Class<?> aClass) {
        List<Class<?>> allClasses = new ArrayList<>();
        Class<?> superclass;
        while ((superclass = aClass.getSuperclass()) != null) {
            allClasses.add(superclass);
            aClass = superclass;
        }
        return allClasses;
    }

    private Field[] getDeclaredFieldsJustThisClass(Class<?> aClass) {
        return aClass.getDeclaredFields();
    }

    public abstract Object wrapperValueOnSwitchOff(ConfusedFieldTypeEnum type, Object value);

    public abstract Object wrapperValueOnSwitchOpen(ConfusedFieldTypeEnum type, Object value);

}

是一个抽象类,其中定义了四个抽象方法。是应序列化的四个生命周期的钩子。

使用自定义注解到实体类


public class User2 implements Serializable {

	private static final long serialVersionUID = 5243885779545855210L;

	private Long id;


	@UserUuid
	private String userUuid;    //uuid
	
	@Confusion(type = ConfusedFieldTypeEnum.EMAIL)
	private String loginEmail; // 登录邮箱
	
	@Confusion(type = ConfusedFieldTypeEnum.LOGIN_NAME)
	private String loginName; // 登录名称

	private String realName; // 真实姓名

	@Confusion(type = ConfusedFieldTypeEnum.PHONE)
	private String mobilePhone; // 联系方式


	public static long getSerialVersionUID() {
		return serialVersionUID;
	}

	public Long getId() {
		return id;
	}

	public void setId(Long id) {
		this.id = id;
	}

	public String getUserUuid() {
		return userUuid;
	}

	public void setUserUuid(String userUuid) {
		this.userUuid = userUuid;
	}

	public String getLoginEmail() {
		return loginEmail;
	}

	public void setLoginEmail(String loginEmail) {
		this.loginEmail = loginEmail;
	}

	public String getLoginName() {
		return loginName;
	}

	public void setLoginName(String loginName) {
		this.loginName = loginName;
	}

	public String getRealName() {
		return realName;
	}

	public void setRealName(String realName) {
		this.realName = realName;
	}

	public String getMobilePhone() {
		return mobilePhone;
	}

	public void setMobilePhone(String mobilePhone) {
		this.mobilePhone = mobilePhone;
	}
}

接下来,就是写一个实现类,继承它,实现序列化和判断是否需要解密的内容即可,给个demo:

序列化控制工具类(实现类)


public class PoJoConfusedSerializer extends MySerializerEx {
    //    private Logger logger = LoggerFactory.getLogger(PoJoConfusedSerializer.class);
    private ThreadLocal<CachedPojo> cachedPojoThreadLocal = new ThreadLocal<>();

    @Override
    protected void afterWrapper(Object o) {
        cachedPojoThreadLocal.remove();
    }

    @Override
    public void beforeWrapper(Object obj) {
        boolean switchState = CurrentThreadConfusedSwitch.getSwitchState();
        if (switchState) {//开启了,就需要解混淆
            String userUuid = getUserUuid(obj);
            CachedPojo cachedUser = UserCacheManager.loadUser(userUuid);//init to get
            cachedPojoThreadLocal.set(cachedUser);
        }
    }

    @Override
    public Object wrapperValueOnSwitchOff(ConfusedFieldTypeEnum confusedFieldTypeEnum, Object value, Object o1) {
        //off,关闭开关,返回加密数据
        return value;
    }

    @Override
    public Object wrapperValueOnSwitchOpen(ConfusedFieldTypeEnum confusedFieldTypeEnum, Object value, Object o1) {
        //on,打开开关,返回解密数据
        CachedPojo cachedPojo = cachedPojoThreadLocal.get();
        if (cachedPojo != null) {
            switch (confusedFieldTypeEnum) {
                case EMAIL:
                    return cachedPojo.getEmail();
                case PHONE:
                    return cachedPojo.getPhone();
                case LOGIN_NAME:
                    return cachedPojo.getLoginName();
                default:
                    return null;
            }
        }
        //没有查询到就返回原值吧
        return value;
    }

    public String getUserUuid(Object object) {
        Class<?> aClass = object.getClass();
        Field[] declaredFields = aClass.getDeclaredFields();
        for (Field declaredField : declaredFields) {
            boolean annotationPresent = declaredField.isAnnotationPresent(UserUuid.class);
            if (annotationPresent) {
                try {
                    declaredField.setAccessible(true);
                    return (String) declaredField.get(object);
                } catch (IllegalAccessException e) {
                    e.printStackTrace();
                }
                break;
            }
        }
        return null;
    }

}

其中的beforeWrapper用来判断是否需要解密,以及获取该是同一类的解密版本,并放到threadlocal中传递。然后afterWrapper函数中,再移除;wrapperValueOnSwitchOff 、wrapperValueOnSwitchOpen这两个函数负责处理开关开、关的时候的处理。

开关

本开关利用的session,controller或者service层在判断当前用户可以先看解密数据时,调用此工具进行设置,然后序列化工具使用这个工具类进行不同处理。

public class CurrentThreadConfusedSwitch {
	private static Logger logger = LoggerFactory.getLogger(CurrentThreadConfusedSwitch.class);
	private static final String SESSION_KEY = "_e_g_k";
	private static ThreadLocal<Boolean> cached = new ThreadLocal();

	public CurrentThreadConfusedSwitch() {
	}


	private static void updateSwitchStateToSession(boolean v, HttpServletRequest request) {
		HttpSession session = request.getSession(true);
		session.setAttribute("_e_g_k", v);
	}

	public static void turnOnConfusedSwitch(HttpServletRequest request) {
		if (request == null) {
			logger.error("request is null! could not turn on the switch!");
		} else {
			updateSwitchStateToSession(true, request);
		}

	}

	public static void turnOffConfusedSwitch(HttpServletRequest request) {
		if (request == null) {
			logger.error("request is null! could not trun off the switch!");
		} else {
			updateSwitchStateToSession(false, request);
		}

	}

	public static void holdSwitchState(HttpServletRequest request) {
		boolean b = internal_getSwitchStateFromSession(request);
		internal_setSwitchState(b);
	}

	public static boolean getSwitchState() {
		return cached.get() != null && (Boolean)cached.get();
	}

	private static boolean internal_getSwitchStateFromSession(HttpServletRequest request) {
		HttpSession session = request.getSession(true);
		Boolean session_confused = (Boolean)session.getAttribute("_e_g_k");
		return session_confused != null && session_confused;
	}

	private static void internal_setSwitchState(boolean value) {
		cached.set(value);
	}
}

问题

@JsonSerialize的类继承问题

答案:可以继承。类B是类A的子类,类A使用了该注解,那么类B在序列化时,也是会受控制的。

自定义注解的类继承问题

我们要返回的数据类B.class是一个类A的子类,而A中有用我们修饰的字段,它能被监测到并序列化控吗码?

答案:能。

为什么?

答案:因为这段代码:

函数getDeclaredFields的代码在上面的‘序列化控制工具类(抽象类)’有写,我再写一遍大家看看:

    private List<Field> getDeclaredFields(Class<?> aClass) {
        List<Field> fieldList = new ArrayList<>();
        Field[] declaredFields1 = aClass.getDeclaredFields();
        fieldList.addAll(Arrays.asList(declaredFields1));
        List<Class<?>> classes = getAllSuperclass(aClass);
        if (classes != null) {
            for (Class<?> clazz: classes) {
                Field[] declaredFields = clazz.getDeclaredFields();
                fieldList.addAll(Arrays.asList(declaredFields));
            }
        }

        return fieldList;
    }
 
    private List<Class<?>> getAllSuperclass(Class<?> aClass) {
        List<Class<?>> allClasses = new ArrayList<>();
        Class<?> superclass;
        while ((superclass = aClass.getSuperclass()) != null) {
            allClasses.add(superclass);
            aClass = superclass;
        }
        return allClasses;
    }

 调用了getAllSuperclass函数,把所有的超类都的属性都拿到手了。

测试

去试试吧

待优化

上述的工具类考虑到通用性,对序列化方法进行了抽象。但是,enum枚举类没有做出相应的抽象。这样一来,二次开发者虽然可以自行实现序列化方法,但是却不能增加新的enum类型。比如,我是二次开发者,我想要对‘爱好’这一属性进行解密,我定义一个类A继承了工具类,但是在序列化方法中,我无法得知当前的字段为‘爱好’这一类型,因为enum已经被写死了。

所以,这里还有待提升。至于提升的办法有很多,读者自行思考。

jfqqqqq
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
Jackson自定义序列化注解 (支持同时使用多个自定义序列化注解)
weixin_45226411的博客
02-22 794
目录1. 自定义序列号包扫描配置2. JacksonBaseSerialize注解类3. Jackson 序列化处理接口4. Jackson 序列化注解自定义实现 JacksonBaseSerialize注解Jackson 序列化处理接口
Jackson自定义注解
daodfs1的博客
12-12 1850
目录用三种方案实现共用类适配实体类 CcyAmt.class序列化实现类 CcySerializer.class反序列化实现类 CcyDeserializer.class1、最简单的实现Ccy注解 直接指定策略在 Person.class 字段上直接添加Cyy注解简单使用 XmlMapper打印结果2、使用 MixIn 功能仍然是Ccy注解 直接指定策略未添加注解的 Person.classCcyMixIn.class 给指定字段混入注解使用 XmlMapper 添加混入策略打印结果3、使用 Annotat
Jackson-自定义注解实现数据脱敏、枚举转换
最新发布
jiashn123的专栏
04-30 793
Jackson中使用来标注当前定义的注解jackson注解。我们通过一个简单例子来看下。/****/上述注解实现序列化时排列的顺序,以及不显示数值为null的字段。结合@JsonSerialize在数据进行序列化时,进行数据的脱敏。需求:用户信息在返回到前端时,对用户名,身份证号,手机号等进行数据脱敏。用户名:如果两个字时,只保留姓,后面为*,例如:张三,脱敏后:张*,超过三个字时,则保留前后两个字,中间使用*,例如:张小四,脱敏后:张*四身份证号:前后各保留四位,中间用四个。
Jackson自定义注解结合Jackson
MengFly的博客
07-01 3937
虽然最终的解决方法挺简单的,不过解决问题过程还是挺有趣的,在此记录一下。有时候我们希望我们自定义注解同时拥有 Jackon 注解的功能。例如我们有这么一个功能,需要自定义注解来标注类属性,来达到批量解析类属性的目的,而且并且我们希望被这个注解标志的属性不被 Json 序列化(不希望返回给前端)...
Jackson自定义序列化
Remember_Z的博客
11-20 4110
Jackson自定义序列化
SpringBoot中Jackson序列化处理自定义注解
徐小陌的博客
03-07 4188
上篇文章 Jackson序列化带有注解的字段的原理浅析 里已经简单介绍了Jackson如何序列化带有注解的字段。 本文尝试自己定义一个注解,让Jackson序列化时对标注了该注解的字段进行脱敏。
jackson自定义序列化序列化注解加解密字段
LOOPY_Y的博客
01-08 1862
jackson通过自定义序列化序列化注解,实现字段的加解密
Jackson自定义序列化器调用默认序列化器详解
白石的专栏
10-24 4126
将我们完整的数据结构序列化为JSON时使用所有字段的精确一对一表示有时可能不合适,或者根本可能不是我们想要的。 相反,我们可能想要创建数据的扩展或简化视图。 这就是自定义 Jackson 序列化程序发挥作用的地方。
Jackson自定义序列化与反序列化注解
qq_32434535的博客
07-28 2624
Jackson自定义序列化与反序列化注解
jackson 自定义序列化
无聊的豆奶
10-12 5315
为了让输出的JSON文件更简洁,或者待序列化的类比较复杂,甚至其中某些字段没有实现 Serializable 接口,无法直接进行序列化,此时就需要自定义序列化
Jackson 自定义注解扩展实战
BurukeYou
09-11 1196
主要是先把解析自定义注解和字段类型的逻辑抽象到基类父用。实现了接口的方法, 先判断是否标记了自定义注解,如果没有标记则走正常的序列化逻辑, 反之则走自定义序列化逻辑。/*** @param 自定义序列化注解* @param 序列化的字段类型*//*** 自定义注解*//*** 序列化的字段类型*//*** 动态决定序列化的方式,以及获取序列化的上下文,比如要序列化的字段的信息等等*/@Override// 子类获取父亲标记的泛型参数。
让Redis jackson序列化带上class类路径信息的配置方法
大胡子_biu
11-27 6936
先放配置 @Bean public RedisTemplate<String, Object> redisTemplate(RedisConnectionFactory redisConnectionFactory, Jackson2ObjectMapperBuilder builder) { ObjectMapper objectMapper = new ObjectMapper(); builder.configure(objectMapper);
自定义注解jackson 序列化 GeoJSON Feature FeatureCollection GeometryCollection对象
qq_35987023的博客
07-05 230
自定义注解jackson 序列化 GeoJSON Feature FeatureCollection GeometryCollection对象
Jackson-AnnotationIntrospector + @AliasFor 实现自定义注解 + JSON序列化的一种场景
weixin_43558927的博客
04-25 1455
需求: 动态表头(相对来说)目前只是控制列宽列名,排序,显隐等简单操作, 没有现成的, 如何新设计一个动态表单模版领域又十分复杂, 耗时. 考虑直接使用注解配置的方式将一个包含表头字段的对象的每个配置字段映射为一个动态表头配置的集合返给前端, 存储json即可.由于前端动态渲染时, 列头的prop属性和列表数据序列化json时的key是要相同的, 本次实现自定义注解Jackson注解组合使用来达到目的.
Jackson 2.x 系列【22】自定义序列化/反序列化
记录知识、锤炼自我
04-12 1145
在实际开发中,Jackson核心模块支持了常见类型的数据转换,此外还有很多第三方模块支持不常用的类型,基本已经够用。但是在某些特殊场景下,可能需要支持自定义类型或者转换规则。
jackson】@JsonDeserialize 和 @JsonSerialize
九师兄
04-08 3051
文章目录1.概述2.【需求】3.【实现方式】3.1 @JsonDeserialize3.2 @JsonSerialize4.案例4.1 实体类4.2 GenderJsonDeserializer4.3 GenderJsonSerializer4.4 controller5.【测试】5.1 测试保存,即 Controller 中的 savePerson()5.2 测试获取 1.概述 转载:@JsonDeserialize 和 @JsonSerialize 基本使用 学习这个主要是项目中国遇到了这个问题,然后
Jackson 序列化对象成 JSON 字符串,忽略部分字段(属性)
weixin_34007291的博客
02-28 817
1、属性上 加 @JsonIgnore 这种方式作用于全局,只要是有这个对象的序列化,就会忽略注解过的这部分字段。 2、上面那种方式需要在 bean 上加注解,作用于全局,但是有的时候,我们可能不需要在所有情况下都忽略这个对象的这些字段,下面这种方式可以支持定制过滤方式。 public final class JsonFilterUtil...
【Java】用Jackson进行JSON序列化/反序列化操作
星拱北辰的博客
10-05 3591
Jackson进行JSON序列化/反序列化操作
jackson自定义字段注解完成序列化逻辑
太空眼睛的专栏
08-12 406
开发依赖版本3.1.2JDK17实现一个需求的道路有千万条,对于一个有追求的程序员,研究源码,找到一条最精炼的路,用最简洁的方式实现目标,在可扩展性、可维护性方面都较优有需求的时候,不要着急写代码,研究下源码,可以帮助我们优雅的达到目的也许研究源码的时间远远大于写代码的时候,但收获和成就感还是很满足的即使最终仅用用几行代码实现需求,但一个优秀的程序员从来不是以代码的行数来衡量的jackson的反序列化可以参考同样的原理来实现
java的bean对象通过注解在set方法实现自定义序列化
05-26
不过,有时候我们可能需要对某些属性进行自定义序列化,这时可以使用注解实现。 假设有一个 Person 类,其中包含了 name、age 两个属性,我们希望在序列化时只序列化 name 属性。那么我们可以在 name 属性的 set ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值