排除对象属性序列化的三种方式

已于 2024-05-12 22:43:43 修改
阅读量732 收藏 10
点赞数 31
文章标签: java 数据库 spring boot
于 2024-05-12 17:35:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42108331/article/details/138760301
版权

说明:在项目里,经常可以看到以下日志内容,将对象序列化后直接打印出来,观察对象数据,判断当前处理逻辑正确与否。

(以下信息来自:https://www.tl.beer/randbankcard.html生成器,信息均为虚构)

在这里插入图片描述

一般来说,数据库服务器和应用服务器(项目)不会是一台服务器,不会放在一起,但项目产生的日志一定是和项目放在一起的,通常就是在项目目录里。所以,日志文件如果被泄露,用户的数据(证件号、手机号、真实姓名)也就被泄露了,这样做有风险。以下介绍几种方式,来排除日志中的敏感属性值。

方式一:重写toString()

最简单的方式,重写对象的toString()方法,只打印非敏感属性值,如下:

import lombok.*;
import java.io.Serializable;

@AllArgsConstructor
@NoArgsConstructor
@Getter
@Setter
public class User implements Serializable {

    /**
     * id
     */
    private String id;

    /**
     * 证件号
     */
    private String cardNo;

    /**
     * 手机号
     */
    private String phone;

    /**
     * 姓名
     */
    private String name;

    /**
     * 用户名
     */
    private String username;

    /**
     * 密码
     */
    private String password;

    @Override
    public String toString() {
        return "User{" +
                "id='" + id + '\'' +
                ", username='" + username + '\'' +
                '}';
    }
}

同样,在调用打印日志信息时,就不能用序列化的方式了,需要改成toString(),或直接输入变量名

log.info("user: {}", user);// 或 user.toString()

但是,如果你对象的toString()方法另有他用,或者系统中打印日志已经都是序列化的方式了(如 JSON.toJson()),一个个去改太麻烦,这种方式就不适合了,推荐下面两种方式。

方式二:transient关键字

可以使用Java关键字,transient,修饰属性,表示改属性不能被序列化,如下:

import lombok.*;
import java.io.Serializable;

@Data
public class User implements Serializable {

    /**
     * id
     */
    private String id;

    /**
     * 证件号
     */
    private transient String cardNo;

    /**
     * 手机号
     */
    private transient String phone;

    /**
     * 姓名
     */
    private transient String name;

    /**
     * 用户名
     */
    private String username;

    /**
     * 密码
     */
    private transient String password;
}

敏感字段未被序列化

在这里插入图片描述

方式三:@JsonIgnore注解

使用JSON自带的注解,@JsonIgnore,这个注解的作用同样是序列化的时候排除该属性,也能达到相同的目的;

import com.fasterxml.jackson.annotation.JsonIgnore;
import lombok.*;
import java.io.Serializable;

@Data
public class User implements Serializable {

    /**
     * id
     */
    private String id;

    /**
     * 证件号
     */
    @JsonIgnore
    private String cardNo;

    /**
     * 手机号
     */
    @JsonIgnore
    private String phone;

    /**
     * 姓名
     */
    @JsonIgnore
    private String name;

    /**
     * 用户名
     */
    private String username;

    /**
     * 密码
     */
    @JsonIgnore
    private String password;
}

总结

除了以上三种方式外,或许还有其他方法,比如加密输出,让显示在日志中的是密文,对于开发人员排查问题来说,这些敏感数据是无关紧要的,明文密文都差不多,如果想知道明文内容,可以在程序里写个main()方法转为明文,只麻烦了一点点。

何中应
关注
  • 31
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
java 对象转json 某属性序列化_JSON序列化(stringify)对象排除某些属性的两种方法...
weixin_34401851的博客
02-25 1431
JavaScript的JSON对象本身就带有序列化和反序列化的函数,为 parse 和 stringify,我们一般使用这两个函数将JSON对象持久化。如:var Persion = {username: "Kris",password: "1234567890"}alert(JSON.stringify(Persion)) //{"username":"Kris","password":"1...
java 对象转json 某属性序列化_json序列化排除指定属性
weixin_32823555的博客
02-25 2007
上一篇博客讲了,当对象属性为空时,让它返回空字符串的问题。但这也引出另一个问题,那就是如果一个对象拥有很多属性,而且这些属性都为空,那样还是会把每个属性都返回,这些会加大不必要的传输流量。要解决这个问题,本人开始是想通过构造参数的方式来解决,但始终觉得不太方便,偶然又想起,在gson中可以通过注解annotation的方式解决排除属性问题,自己也思考了下,感觉那样确实更好一些。于是自己要稍微改了下...
java jackson 排除属性_java 序列化排除指定属性
weixin_28520495的博客
02-16 960
java 序列化对象如何排除指定属性呢?java序列化对象有多种方式:struts2 ,jackson,json-lib(1)使用struts2 json插件依赖的jar包:struts2-json-plugin-2.3.15.3.jar,xwork-core-2.3.15.3.jar,当然还有servlet-api.jar范例:Java代码privateStringgetMessageJ...
【C#编程最佳实践 十八】对象序列化时移除指定属性
MaoLin Tian's Blog
11-02 3201
一、针对 单个 对象移除属性序列化忽略处理 JObject实例的 Remove() 方法,可以在 指定序列化时移除属性和值 示例如下 : 这里要注意的地方: 1.属性移除仅对当前 对象属性起作用 2.指定移除 的 key区分 大小写,移除的属性需要和属性 大小写一致,如想 删除二级数组对象属性,可以参考 代码: 二、使用 [Newtonsoft.Json.JsonIgnore()] ...
java 对象转json 某属性序列化_如何再Java POJO转JSON时忽略掉一些属性
weixin_33563728的博客
02-25 1465
1. 前言在Java开发中有时候某些敏感信息我们需要屏蔽掉,不能被消费这些数据的客户端知道。通常情况下我们会将其设置为或者空字符,其实还有其它办法,如果你使用了Jackson的话。接下来我将以一个实际场景来告诉你可以怎么做。2. Jackson 如何忽略字段这里都以 JSON 序列化为例。假如我们在业务中需要返回用户信息,已有的 POJO 是这样的:业务场景:第三方通过用户的来获取用户的信息,但是...
C# | 使用Json序列化对象忽略只读的属性
猿长大人
07-31 1783
对象序列化成为Json字符串是一个使用频率非常高的功能。Json格式具有很高的可读性,同时相较于XML更节省空间。在开发过程中经常会遇到需要保存配置的场景,比如将配置信息保存在配置类型的实例中,再将这个对象序列化成为Json字符串并保存。当需要加载配置时,则是读取Json格式的字符串再将其还原成配置对象。在序列化的过程中,默认会将所有公开的属性和字段都序列化进入Json字符串中,这其中也会包含只读的属性或字段,而只读的属性和字段在反序列化的过程中其实是无意义的,也就是说这一部分存储是多余的。...
java jackson 排除属性_如何利用Jackson序列化忽略指定类型的属性详解
weixin_39677419的博客
02-16 1587
前言本文准确来讲是探讨如何用 Jackson 来序列化 Apache avro 对象,因为简单用 Jackson 来序列化 Apache avro 对象会报错。原因是序列化 Schema getSchema() 时会报错,后面会讲到,需要序列化忽略属性。那么能不能在 getSchema() 上加上 @JsonIgnore 来忽略属性呢?原理上是通的。不过手工修改的 avsc 生成的 Java...
JSON序列化(stringify)对象排除某些属性的两种方法
weixin_34087301的博客
08-10 893
http://ourjs.com/detail/5562eca5329934463f000013 转载于:https://www.cnblogs.com/zyl-Tara/p/9453953.html
java 序列化排除指定属性
hw1287789687的专栏
03-09 1790
java 序列化对象如何排除指定属性呢? java序列化对象有多种方式:struts2 ,jackson,json-lib (1)使用struts2 json插件 依赖的jar包:struts2-json-plugin-2.3.15.3.jar,xwork-core-2.3.15.3.jar,当然还有servlet-api.jar 范例: private String getMes...
typeserializer:真棒序列化序列化器,用于javascript对象
05-02
javascript对象序列化器/反序列化器 目录 自定义序列化器 安装 使用npm安装: $ npm install typeserializer --save 您还需要安装反射元数据填充程序: $ npm install reflect-metadata --save 将reflect-...
spring-mvc-JsonIgnoreDynamically:渲染前按名称从 jackson json 序列化排除某些字段
06-23
spring-mvc-Json动态忽略目的 : 有时,过滤序列化到 HTTP 响应... 下面我们已经提到,如果请求来自andorid平台,那么我们需要在序列化过程中忽略“created”属性。 http://localhost/spring-mvc-jsonignore/sp/rs/m
jackson-dynamic-filter:一种使用Jackson来动态确定过滤器的简便方法
04-27
杰克逊动态属性过滤器基本上,当您使用Gson时,需要从目标对象上的序列化WITHOUT批注中排除特定字段,您将使用ExclusionStrategy 。 但是我在杰克逊没有找到类似的方法来做到这一点。 因此,此存储库提供了一种动态...
findbug 常见异常处理
08-18
描述:类是可序列化的,但是没有定义serialVersionUID; 处理方式:自动生成serialVersionUID; Field only ever set to null 描述:Field一直被设置为null; 处理方式:检查相关filed的调用情况,看所有对Field的...
jackson2.2.3.zip
03-11
完成json数据和java数据的相互转换(即序列化和反序列),直接导入jar包,用ObjectMapper对象中的writeValueAsString方法将java对象转换为json字符串,用readValue方法将json字符串转换为java对象,并且可以通过给...
android高斯模糊填充imageview背景
cf8833的博客
05-21 564
说明:最近碰到一个需求,安卓app显示在线的url图片,然后imageview没占满的部分,使用该图片的模糊背景填充。
Spring Bean Map之舞
m0_51176516的博客
05-23 500
Spring框架中,Bean的生命周期管理是其核心功能之一。当Spring容器启动时,它会根据配置信息(如XML配置文件、注解等)来创建和管理Bean实例。这些Bean实例默认会被放置在一个Map数据结构中,以便容器能够快速地根据Bean的名称(或ID)来查找和访问它们。 在Spring的源码中,Bean实例的存储和管理主要依赖于DefaultSingletonBeanRegistry类。这个类内部使用了一个名为singletonObjects的Map来存储单例Bea...
SpringBoot Validation自定义注解之校验指定最小整数
thinkers
05-21 236
1,引入核心关键依赖。
深入理解Java的垃圾回收机制(GC)实现原理
最新发布
微笑听雨
05-25 853
GC是Java虚拟机的重要组成部分,通过自动内存管理,GC提高了Java程序的稳定性和安全性。理解GC的工作原理和不同收集器的特点,有助于选择合适的GC策略,优化应用性能。通过合理配置JVM参数,可以提高GC效率,减少应用停顿时间,提升系统的整体性能。
Java对象持久化中如何排除属性
06-06
Java对象持久化中,有时候我们可能不希望所有的属性都被序列化,这时可以使用transient关键字来排除某些属性。将某个属性声明为transient后,它将不会被序列化。 例如,假设我们有一个Person类,其中有一个敏感信息的属性不希望被序列化,可以将该属性声明为transient: ``` public class Person implements Serializable { private String name; private transient String password; //其他属性和方法省略 } ``` 在上面的代码中,password属性被声明为transient,它将不会被序列化。在反序列化时,password属性的值将被设置为null。 需要注意的是,transient关键字只能用于非静态属性,静态属性无法被序列化。同时,如果一个类实现了Externalizable接口,它的所有属性都需要手动序列化和反序列化,transient关键字无法生效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

何中应

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值