一个注解搞定接口返回数据脱敏!

最新推荐文章于 2023-10-16 09:46:59 发布
最新推荐文章于 2023-10-16 09:46:59 发布
阅读量266 收藏
点赞数
文章标签: java spring 接口 反射 aop
原文链接:https://mp.weixin.qq.com/s?__biz=MzkyNTI5NTQ1NQ==&mid=2247507403&idx=1&sn=dad7d91e59302d0193b983fe36968f20&chksm=c1ca2bfbf6bda2ede5b413c0aedcd0ab77d92176af34493d4ea62f0367f3751cd173d19a4b12&scene=126&&sessionid=0
版权

文章来源:https://c1n.cn/cf7g4

目录

  • 背景

  • 思路

  • 实现代码

背景

下午惬意时光,突然产品小姐姐走到我面前,打断我短暂的摸鱼 time,企图与我进行深入交流,还好我早有防备没有闪,打开瑞 star 的点单页面,暗示没有一杯 coffee 解决不了的需求。

需求是某些接口返回的信息,涉及到敏感数据的必须进行脱敏操作,我思考一反,表示某问题,马上安排。

思路

①要做成可配置多策略的脱敏操作,要不然一个个接口进行脱敏操作,重复的工作量太多,很显然违背了“多写一行算我输”的程序员规范。

思来想去,定义数据脱敏注解和数据脱敏逻辑的接口, 在返回类上,对需要进行脱敏的属性加上,并指定对应的脱敏策略操作。

接下来我只需要拦截控制器返回的数据,找到带有脱敏注解的属性操作即可,一开始打算用 @ControllerAdvice 去实现,但发现需要自己去反射类获取注解。

当返回对象比较复杂,需要递归去反射,性能一下子就会降低,于是换种思路,我想到平时使用的 @JsonFormat,跟我现在的场景很类似,通过自定义注解跟字段解析器,对字段进行自定义解析,tql。

实现代码

自定义数据注解,并可以配置数据脱敏策略:
@Target({ElementType.FIELD, ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
@Documented
public @interface DataMasking {

    DataMaskingFunc maskFunc() default DataMaskingFunc.NO_MASK;

}
自定义 Serializer,参考 jackson 的 StringSerializer,下面的示例只针对 String 类型进行脱敏。
public interface DataMaskingOperation {

    String MASK_CHAR = "*";

    String mask(String content, String maskChar);

}


public enum DataMaskingFunc {

     /**
     *  脱敏转换器
     */
     NO_MASK((str, maskChar) -> {
        return str;
     }),
     ALL_MASK((str, maskChar) -> {
        if (StringUtils.hasLength(str)) {
            StringBuilder sb = new StringBuilder();
            for (int i = 0; i < str.length(); i++) {
                sb.append(StringUtils.hasLength(maskChar) ? maskChar : DataMaskingOperation.MASK_CHAR);
            }
            return sb.toString();
        } else {
            return str;
        }
    });

    private final DataMaskingOperation operation;

    private DataMaskingFunc(DataMaskingOperation operation) {
        this.operation = operation;
    }

    public DataMaskingOperation operation() {
        return this.operation;
    }

}


public final class DataMaskingSerializer extends StdScalarSerializer<Object> {
    private final DataMaskingOperation operation;

    public DataMaskingSerializer() {
        super(String.class, false);
        this.operation = null;
    }

    public DataMaskingSerializer(DataMaskingOperation operation) {
        super(String.class, false);
        this.operation = operation;
    }


    public boolean isEmpty(SerializerProvider prov, Object value) {
        String str = (String)value;
        return str.isEmpty();
    }

    public void serialize(Object value, JsonGenerator gen, SerializerProvider provider) throws IOException {
        if (Objects.isNull(operation)) {
            String content = DataMaskingFunc.ALL_MASK.operation().mask((String) value, null);
            gen.writeString(content);
        } else {
            String content = operation.mask((String) value, null);
            gen.writeString(content);
        }
    }

    public final void serializeWithType(Object value, JsonGenerator gen, SerializerProvider provider, TypeSerializer typeSer) throws IOException {
        this.serialize(value, gen, provider);
    }

    public JsonNode getSchema(SerializerProvider provider, Type typeHint) {
        return this.createSchemaNode("string", true);
    }

    public void acceptJsonFormatVisitor(JsonFormatVisitorWrapper visitor, JavaType typeHint) throws JsonMappingException {
        this.visitStringFormat(visitor, typeHint);
    }
}
③自定义 AnnotationIntrospector,适配我们自定义注解返回相应的 Serializer。
@Slf4j
public class DataMaskingAnnotationIntrospector extends NopAnnotationIntrospector {

    @Override
    public Object findSerializer(Annotated am) {
        DataMasking annotation = am.getAnnotation(DataMasking.class);
        if (annotation != null) {
            return new DataMaskingSerializer(annotation.maskFunc().operation());
        }
        return null;
    }

}
④覆盖 ObjectMapper:
@Configuration(
        proxyBeanMethods = false
)
public class DataMaskConfiguration {

    @Configuration(
            proxyBeanMethods = false
    )
    @ConditionalOnClass({Jackson2ObjectMapperBuilder.class})
    static class JacksonObjectMapperConfiguration {
        JacksonObjectMapperConfiguration() {
        }

        @Bean
        @Primary
        ObjectMapper jacksonObjectMapper(Jackson2ObjectMapperBuilder builder) {
            ObjectMapper objectMapper = builder.createXmlMapper(false).build();
            AnnotationIntrospector ai = objectMapper.getSerializationConfig().getAnnotationIntrospector();
            AnnotationIntrospector newAi = AnnotationIntrospectorPair.pair(ai, new DataMaskingAnnotationIntrospector());
            objectMapper.setAnnotationIntrospector(newAi);
            return objectMapper;
        }
    }

}
⑤返回对象加上注解:
public class User implements Serializable {
    /**
     * 主键ID
     */
    private Long id;

    /**
     * 姓名
     */
    @DataMasking(maskFunc = DataMaskingFunc.ALL_MASK)
    private String name;

    /**
     * 年龄
     */
    private Integer age;

    /**
     * 邮箱
     */
    @DataMasking(maskFunc = DataMaskingFunc.ALL_MASK)
    private String email;

}
架构文摘
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
手机号码、邮箱等敏感数据前端显示脱敏处理的解决方案
02-08
在我们数据库中有些时候会保存一些用户的敏感信息,比如:手机号、银行卡等信息,如果这些信息以明文的方式保存,那么是不安全的。 假如:黑客黑进了数据库,或者离职人员导出了数据,那么就可能导致这些敏感数据的泄漏 由于我们系统中使用了Mybatis作为数据库持久层,因此决定使用Mybatis的TypeHandler或Plugin来解决 也可以自定义注解实现数据脱敏
java中对手机号、邮箱等隐私信息脱敏展示,如手机号138****8888。
weixin_47632717的博客
11-07 2794
java中对手机号、邮箱等隐私信息脱敏展示,如手机号138****8888。
一个注解搞定接口返回数据脱敏,爱了爱了
石杉的架构笔记
07-12 505
文章来源:https://c1n.cn/cf7g4‍‍‍目录背景思路实现代码背景下午惬意时光,突然产品小姐姐走到我面前,打断我短暂的摸鱼 time,企图与我进行深入交流,还好我早有防备没有闪,打开瑞 star 的点单页面,暗示没有一杯 coffee 解决不了的需求。需求是某些接口返回的信息,涉及到敏感数据的必须进行脱敏操作,我思考一反,表示某问题,马上安排。思路①要做成可...
风尚云网学习-前端页面敏感数据脱敏星号展示
08-25 7744
前端页面敏感数据脱敏星号展示,脱敏前:412345202208258888(随机例子)脱敏后:412345********8888。脱敏前:18112341234(随机例子)脱敏后:181****1234。脱敏前:张三疯(随机例子)脱敏前:张三(随机例子)...
Springboot项目如何设计接口中敏感数据的脱敏展示?
凡夫编程
03-30 2021
在《Springboot项目如何设计接口中敏感字段的加密、解密》中,分享了Springboot项目里写入请求、读取请求的接口中敏感字段数据如何加密、解密,其实对于敏感数据的处理方式,除了在服务端进行数据加密、解密,在前端数据展示的时候,也要进行相应的“加密”处理,以防止用户的隐私信息被泄漏,这里的“加密”实际是数据脱敏。由于数据脱敏和数据加密的处理过程是完全不同的,所以我认为这是两个概念;当然,仁者见仁,智者见者,这是我的个人理解。单独起一篇文章,就来好好好盘一盘数据脱敏和数据加密的区别以及实现方式。
自定义注解结合Hutool对SpringBoot接口返回数据进行脱敏
08-11
自定义注解结合Hutool对SpringBoot接口返回数据进行脱敏 自定义注解结合Hutool对SpringBoot接口返回数据进行脱敏 自定义注解结合Hutool对SpringBoot接口返回数据进行脱敏 自定义注解结合Hutool对SpringBoot接口返回...
自定义基于接口,实体类注解脱敏
最新发布
11-20
基于接口注解脱敏,自定义脱敏 基于实体类注解脱敏,自定义脱敏 数据脱敏 java
springboot 脱敏自定义注解
03-25
springboot 脱敏自定义注解 SpringAOP
spring注解识别一个接口的多个实现类方法
08-30
下面小编就为大家带来一篇spring注解识别一个接口的多个实现类方法。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
java 日志的数据脱敏的实现方法
08-26
今日给大家介绍一下java 日志的数据脱敏的实现方法,可以更好的保护数据的安全,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Jackson 通过自定义注解来控制json key的格式
weixin_33881050的博客
04-19 351
Jackson 通过自定义注解来控制json key的格式 最近我这边有一个需求就是需要把Bean中的某一些特殊字段的值进行替换。而这个替换过程是需要依赖一个第三方的dubbo服务的。为了使得这个转换功能更加的通用,我们采用了下面的方式: client端使用自定义的注解(假设为@Dimension)标记Bean中所有的「特殊字段」 client端把bean转换为json格式,但是这个转换过程的要...
Json脱敏
HealerJean梦想博客
07-30 2960
前言 博主github 博主个人博客http://blog.healerjean.com 这里有两种脱敏方式,一种是注解脱敏,另一种是字段名匹配脱敏 1、注解脱敏 1.1、注解 /** * @author HealerJean * @version 1.0v * @ClassName SensitiveInfo * @date 2019/6/13 20:01. * @Descripti...
Swagger 属性名 FastJson支持
weixin_34087307的博客
11-02 770
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringBoot】三种常见的数据脱敏方案
sco5282的博客
09-01 8453
大家可以根据自己的想法添加其它的脱敏规则(我只想脱敏一部分数据,并指明从哪开始,从哪结束)。要做成可配置多策略的脱敏操作,要不然一个接口进行脱敏操作,重复的工作量太多。定义数据脱敏注解数据脱敏逻辑的接口, 在返回类上,对需要进行脱敏的属性加上,并指定对应的脱敏策略操作。4、自定义 AnnotationIntrospector,适配我们自定义注解返回相应的Serializer。由于 Java 8 中新增了许多函数式接口,所以,这里就不需要我们自定义接口了,可以直接使用函数式接口。方案三、自定义注解实现。.
1.spring系列之优雅的实现接口统一返回
yangshenggu的博客
12-28 192
好处 现在公司开发基本上都是以前后分离模式为主,所以要有个统一的数据格式,这样有什么好处呢? 能够提高前后端对接的效率(特别重要) 代码更加优雅和简洁 对于前端和后端维护更方便容易 实现(直接上代码) 1.状态码 这里我就初步定了两种异常状态码,更多状态码可以根据自己的情况去定义 @Getter public enum ResponseEnum { SUCCESS(0, "OK"), PARAMETER_ERROR(1,"参数异常"), S
接口的统一数据返回设计与实现
生命的意义在于创造和毁灭
12-03 965
一、前言 在前端请求后端中,需要经常与后端进行交互,如果后端接口返回格式不统一,则会造成前端解析返回很麻烦,一旦数据发生变化,改动很大,要付出的代价很大。定义一个统一处理,可以简化上述问题。 二、代码 这个统一返回接口,是我以前参看慕课网的一个教程后经过实践后改造的。这种统一返回接口在没有数据要返回给前端时,只需要返回信息码和提示信息即可。当有数据返回给前端展示时,可以将信息码和返回数据统一返回,...
json打印实现日志统一脱敏
qq_31665057的博客
09-17 1254
基于json打印的日志脱敏
PHP 数据脱敏显示,数据脱敏处理
weixin_28902341的博客
04-06 2216
什么是脱敏数据脱敏是指对某些敏感信息通过脱敏规则进行数据的变形,实现敏感隐私数据的可靠保护。简单来说就是你有些数据并不想让别人看见,需要进行处理再显示在页面上。项目中如何脱敏数据一般我们得到的数据基本上是从数据库中获得的,例如存在数据库中的手机号,不能泄露信息,就需要进行脱敏,那我们查出来的时候就要调用脱敏数据的方法,从而达到我们的目的。public class DataConcealUtil {...
Spring Boot如何优雅实现动态灵活可配置的高性能数据脱敏功能
竹林幽深
10-16 281
以上全部就是本期关于数据脱敏知识点的总结介绍啦。首先介绍了数据脱敏需求的背景、概念和重要性,紧接着我们逐步探讨实现方案,权衡利弊了相关实现选择,最终选择的自带的jackson自定义序列化实现,它的实现原来其实就是在json进行序列化渲染给前端时,进行脱敏,这样可以有效降低性能损耗,并且也不会侵入系统业务层逻辑这样可以保证我们的业务逻辑不会因为数据脱敏出现逻辑错误。与此同时也强调了动态灵活可配置的脱敏信息配置,我们通过拦截器实现脱敏信息上下文设置,在上面思路我们进行代码实现剖析和实操,借助于Hutool。
java springboot 写一个字段脱敏注解
06-07
好的,我可以帮你实现一个Java Spring Boot 写的字段脱敏注解。以下是实现步骤: 1. 创建一个自定义注解 `SensitiveInfo`,用于标注需要脱敏的字段。 ```java @Target(ElementType.FIELD) @Retention...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值