接口返回大量无用或者敏感字段怎么办?

最新推荐文章于 2024-08-16 17:02:50 发布
最新推荐文章于 2024-08-16 17:02:50 发布
阅读量2.8w 收藏 17
点赞数 3
分类专栏: java jdk8 文章标签: json过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kuangni5808/article/details/110071040
版权
java 同时被 2 个专栏收录
31 篇文章 1 订阅
订阅专栏
jdk8
5 篇文章 0 订阅
订阅专栏

背景

      地点:xxxx公司会议室

      前端A: 你们后端接口返回的json太复杂啦!我这例只需要用户的真实姓名和年龄就可以了,结果你们返回了我一大串,好几十个字段……

      前端B: 是呀!是呀!身份证信息是敏感的,这里也不需要用,你们竟然也返回了,还有密码都给我们了!幸亏是加密的~

      后端小菜:多余的字段你们不要管就好啦,又不影响你们~,实在不行我拷贝个新对象给你!

      老板在一旁没有说话,皱了下眉头~

 

思考

     🤔接口传输大量无用数据占用带宽资源、影响性能、甚至泄漏敏感信息!拷贝新对象的话,需求多样会很繁琐而且难以维护,有可能写了两个拥有一样属性的对象~

 

设计

    针对接口响应的json做处理,筛选出需要的字段,通过注解的方式实现简单明了的维护,支持“复杂嵌套”、“仅筛选”、”仅排除“。

演示视频demo下载

 

talk is cheap, show me the code

SerializeField
/**
 * @Author l'amour solitaire
 * @Description TODO
 * @Date 2020/8/11 下午8:55
 **/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface SerializeField {

    Class clazz();

    /**
     * 需要返回的字段
     * @return
     */
    String[] includes() default {};

    /**
     * 需要去除的字段
     * @return
     */
    String[] excludes() default {};
}
MultiSerializeField
/**
 * @Author l'amour solitaire
 * @Description 用于嵌套类情况的二层过滤(本质目的,为了可以二次执行)
 * @Date 2020/8/11 下午8:52
 **/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface MultiSerializeField {

    Class clazz();

    /**
     * 需要返回的字段
     * @return
     */
    String[] includes() default {};

    /**
     * 需要去除的字段
     * @return
     */
    String[] excludes() default {};
}

MoreSerializeField
/**
 * @Author l'amour solitaire
 * @Description TODO
 * @Date 2020/8/11 下午8:55
 **/
@Target(ElementType.METHOD)
@Retention(RetentionPolicy.RUNTIME)
public @interface MoreSerializeField {
    SerializeField[] value() default {};
}
WebMvcConfig
/**
 * @Author l'amour solitaire
 * @Description TODO
 * @Date 2020/7/16 上午9:53
 **/
@Configuration
public class WebMvcConfig extends WebMvcConfigurationSupport {

    @Override
    public void configureMessageConverters(List<HttpMessageConverter<?>> converters) {
        JsonFilterHttpMessageConverter fastConverter = new JsonFilterHttpMessageConverter();
        FastJsonConfig fastJsonConfig = new FastJsonConfig();
        fastJsonConfig.setSerializerFeatures(SerializerFeature.PrettyFormat, SerializerFeature.DisableCircularReferenceDetect);

        // 处理中文乱码问题
        fastConverter.setSupportedMediaTypes(Arrays.asList(MediaType.APPLICATION_JSON, MediaType.APPLICATION_JSON_UTF8, MediaType.APPLICATION_OCTET_STREAM));
        fastConverter.setFastJsonConfig(fastJsonConfig);
        converters.add(fastConverter);
    }

}

测试

    @RequestMapping("jsonFilter")
    @MoreSerializeField({
            @SerializeField(clazz = People.class, includes = {"name", "ext"}),
            @SerializeField(clazz = PeopleExt.class, excludes = {"age"})
    })
    public R getUser() {
        return R.ok(new People().setAddr("杭州").setName("张三")
                .setExt(new PeopleExt().setAge(20).setSex(1))
        );
    }

过滤前响应报文

过滤后响应报文

 

欢迎咨询公众号《小马JAVA》

插件已上传中央仓库,可联系我获取,集成非常简单,无代码入侵,项目源码客通过下方链接下载,尊重知识劳动成果,谢谢!也欢迎大家积极技术讨论,QQ群:132381997

项目源码

 

JAVA拾贝
关注
专栏目录
强迫症患者福音!筛掉后台返回很多无用字段
liujiebahuang的博客
05-26 650
表单回填的时候,后台传回来很多原表单里没有的无用字段。回填以后在编辑功能下需要把原表单字段再传给后台。 虽然这个没用的字段传来传去不影响什么,但要是太多了,谁受得了。 以下: //this.form 原表单数据容器 //res.data 接口返回数据 for(var k in this.form){ if(res.data.hasOwnProperty(k)){ this.form[k] = res.data[k]; } } ...
接口性能优化技巧,有点硬...
石杉的架构笔记
04-29 832
文章来源:http://b.nxw.so/1jSSgg目录背景哪些问题会引起接口性能问题问题解决总结背景我负责的系统在去年初就完成了功能上的建设,然后开始进入到推广阶段。随着推广的逐步深入,收到了很多好评的同时也收到了很多对性能的吐槽。刚刚收到吐槽的时候,我们的心情是这样的:当越来越多对性能的吐槽反馈到我们这里的时候,我们意识到,接口性能的问题的优先级必须提高了。然后我们...
API接口自定义字段返回,最终解决方案,再也不用写 vo、dto 转换逻辑了
最新发布
风团团
08-16 150
此套方案太过完美,唯一缺点就是,字段返回基于反射操作,损失一点点性能。
调用后端接口返回数据字段特别多时,只要id跟后端保持一致,这个方法就可以搞定哦
weixin_47264982的博客
06-29 859
var rawData = res.result[0]; var A = rawData for (var k in A) { $("#" + k + "").text(A[k]) // console.log(k,A[k]); }
数据安全:后台接口中一些看似多余的参数
测试0901-1
05-26 295
【IT老五】数据安全:后台接口中一些看似多余的参数 后台接口开发与前端开发有不少不同,在并发、性能、容错、安全等方面都需要有一定的考虑......而且由于后台接口往往是直接或者间接的对数据库进行操作,所以在提供一个接口时,往往要考虑数据数据是否有可能被人通过该接口恶意拷贝、修改甚至删除...... 接口 我这里就最近碰到的一种现象来吐槽下...
java 接口字段_java接口多余字段的处理
weixin_42560530的博客
02-21 1037
两种办法:1、在你的实体里面增加相应的转换为String的方法,每个方法根据实际返回字段手动拼装json字符串;2、使用json插件,向fastjson、gson等lib,这些插件都提供了序列化指定属性的方法和不序列化指定属性的方法。例如:fastjson提供了注解JSONField注解,可以通过配置serialize=false来排除对应的字段,但是在你说的情况中显然不能使用这样的方法,只能使用...
springboot 返回给前端不必要的字段如何处理
很搞笑的在打麻将的博客
04-11 8136
springboot 返回给前端不必要的字段如何处理 现在大多数项目都是前后端分离项目,后端采用swagger给前端提供接口文档(这里不得不说swagger很好用),但是在前后端交互过程中后端一般都是采用把一个表中全部字段查出来返回给前端,这样后端的确很方便(表名.*) ,但是前端看了返回结果很不舒服,虽然现在swagger都能表明每个字段的注释,但是还是不是很友好; 所以要达到接口返回字...
接口自动化-如多个接口都有一个重复字段,如何在一个用例对多个接口这个字段的合法性校验
wyy_a的博客
09-16 429
【场景】有两个创建用户接口、两个更新用户接口,这4个接口参数都有name字段,name字段的限制是相同的》2.4 for循环遍历funcdict,根据用例场景拿到api函数名、以及对应的参数。在自动化验证时,可以使用回调函数将这几个接口的name参数验证在一个用例验证。1.在BaseTestcase中编写方法,实现根据传入函数去调用指定的函数。如上即可实现在一个用例里,覆盖对多个接口的同一个参数做非法校验,更高效一些。2.5 使用回调函数传入要调用的业务api和对应的参数去请求服务。
SpringBoot项目@RestController、@RequestBody注解下字段值映射不成功的处理
weixin_45502734的博客
04-20 4778
SpringBoot项目@RestController、@RequestBody注解下字段值映射不成功的处理,字段首字母大写,@JsonFormat、@JsonProperty("fieldName")、@JsonAutoDetect、@JsonIgnoreProperties(ignoreUnknown = true)
接口业务安全测试技能
weixin_45189665的博客
02-22 725
刚开始接触接口业务安全测试概念时,我有些茫然,是接口测试呢,还是业务功能测试。其实吧,他是两者兼有,目的就是为了提高接口的安全性,在源头上防范业务风险。众所周知,接口的参数是由前端传过来,再提交至后台的。前端系统一般都针对实际的业务规则进行了输入控制,那么还有必要进行接口参数的测试吗?
【Java程序员面试专栏 Java领域】Java虚拟机 核心面试指引
MaoLin Tian's Blog
02-17 415
将*.java文件转为*.class的过程称为编译器的前端(前端编译例如:JDK的javac编译器当虚拟机发现某个方法或代码块运行特别频繁时,就会把这些代码认定为“Hot Spot Code”(热点代码),为了提高热点代码的执行效率,在运行时,虚拟机将会把这些代码编译成与本地平台相关的机器码,并进行各层次的优化,完成这项任务的正是JIT编译器,把字节码(*.class文件) 转变为本地机器码的过程称为Java虚拟机的即时编译运行期(JIT编译器,Just In Time)
Java基础学习总结(146)——开发人员日志实践规范
科技D人生
06-17 2650
一、日志规范 日志作用: 1、日常排查问题(基本作用),快速定位问题的根源 2、分析日志,构建常见问题排查平台 3、报表输出(日活、周活) 4、追踪程序执行的过程,追踪数据的变化: a)在系统启动或初始化时记录重要的系统初始化参数; b)记录系统运行过程中的所有的错误; c)记录系统运行过程中的所有的警告; d)在持久化数据修改时记录修改前和修...
Unity3d 周分享(22期 2019.8.30 )
游戏路上的小学生
09-29 6965
选自过去1~2周 自己所看到外文内容:https://twitter.com/unity3d 和各种其他博客来源吧 早就有了,抱歉才发! 1、 Unity Transform 性能优化摘要 https://qiita.com/sator_imaging/items/ff5811885f515a0a4998 由于我有机会在逐帧的基础上处理大量的Transform ,我想总结一下...
[Spark版本更新]--Spark-2.4.0 发布说明
欢迎来到我的博客,一起探索代码里的世界!
11-09 6538
2018-11-02 Apache Spark 官方发布了 2.4.0版本,以下是 Release Notes,供参考:  Sub-task [ SPARK-6236 ] - 支持大于2G的缓存块 [ SPARK-6237 ] - 支持上传块&gt; 2GB作为流 [ SPARK-10884 ] - 支持针对回归和分类相关模型的单实例预测 [ SPARK-11239 ] - 用于ML线性...
接口返回值全部字段校验,有了这个工具,再也不用担心漏掉任何一个问题
weixin_67553250的博客
04-26 885
大家在日常开展自动化测试工作时,为了保证接口测试的有效性,少不了要对接口返回的响应字段进行校验、断言等操作。当接口返回字段数量本身就很少时,接口断言操作一般都很容易就能实现,但当接口返回字段特别多,结构特别复杂时,例如响应字段数量达到了成百上千时,如何快速实现全部返回字段的校验?这类问题,相信困扰了很多的正在开展接口测试的小伙伴。今天针对如何快速审核接口返回值全部字段问题,分享一些解答思路,希望能帮到大家~根据业务校验需求,自定义开发校验规则库借助现有的第三方库。
敏感信息管理
avmgcehjk98828335的博客
02-26 283
敏感信息泄露: 问题:正常测试环境下,接口返回消息中含有用户名、密码 测试方法:测试时查看接口返回值,验证返回值中是否包含敏感信息 测试难点:系统接口众多,测试执行一次成本较高,应编写自动化脚本进行测试 敏感信息密码管理: 1.密码应加密存储,不使用接口传输 2.不使用MD5等不安全加密方式,至少使用AES128及以上安全加密算法 3.使用Securerandom with...
黑盒测试之敏感信息泄露
LAngle9的博客
04-14 2534
测试环境准备,配置hosts ,测试账号,浏览器开启代理。 工具, burp ,设置代理和浏览器一致,开始抓包。 把所有页面全部点一遍,再看burp 抓的包,.css与. js 的页面一般不用太关注,因为这些回包的内容都是一些框架之类的,不涉及用户信息,不算敏感数据包。 . json这个是主要要看的包,看它的回包中是否有用户手机号,身份证号,银行卡号,秘钥,等是否存在明文传输,如有这是也算是个中危漏洞。 当然这只是看网页自身的返回包,没有去执行什么操作的时候是否有敏感信息泄露。整体看完后,在着重看
JAVA 后端返回数据过滤不需要的字段 萌新记录
热门推荐
weixin_42612454的博客
11-29 1万+
之前做项目的时候,基本都是查到一个对象或者一个集合就抛给前端,也没注意过敏感数据泄露的问题,最近经人提醒,开始考虑怎么解决。 这里贴一篇很不错的博文 java接口数据json过滤字段方法整理 但是项目用的是fastjson,按照博文方法过滤的话有点麻烦,并且我的返回值是经过包装的JSONObject,会带上status、message等信息,并且过滤字段不确定,可能这个接口需要过滤它,另一个...
解决接口返回数据脱敏 竟如此简单
AS011x的博客
10-07 653
自定义 Serializer,参考 jackson 的 StringSerializer,下面的示例只针对 String 类型进行脱敏。思来想去,定义数据脱敏注解和数据脱敏逻辑的接口, 在返回类上,对需要进行脱敏的属性加上,并指定对应的脱敏策略操作。需求是某些接口返回的信息,涉及到敏感数据的必须进行脱敏操作,我思考一反,表示小意思,马上安排。当返回对象比较复杂,需要递归去反射,性能一下子就会降低,于是换种思路,我想到平时使用的。,跟我现在的场景很类似,通过自定义注解跟字段解析器,对字段进行自定义解析。
第三方接口无用字段较多
11-16
以下是介绍如何处理第三方接口无用字段较多的方法: 1.筛选字段:通过查看接口文档,找到需要的字段,将无用字段过滤掉。 2.使用正则表达式:通过正则表达式匹配需要的字段,将无用字段过滤掉。 3.使用第三方库:例如Python中的jsonpath库,可以通过类似XPath的语法来筛选需要的字段,将无用字段过滤掉。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

JAVA拾贝

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值