项目敏感词脱敏如何实现

于 2024-08-13 10:33:02 发布
阅读量63 收藏
点赞数
文章标签: java spring boot
原文链接:https://mp.weixin.qq.com/s/m2jjVvhZ5KzvmtEZVdRUcw
版权

后端返回数据给前端的时候,一般需要对敏感词脱敏,类似于下面这样:

图片

脱敏的规则有很多种,例如:

  • 替换(常用):将敏感数据中的特定字符或字符序列替换为其他字符。例如,将信用卡号中的中间几位数字替换为星号(*)或其他字符。

  • 删除:将敏感数据中的部分内容随机删除。例如,将电话号码的随机 3 位数字进行删除。

  • 重排:将原始数据中的某些字符或字段的顺序打乱。例如,将身份证号码的随机位交错互换。

  • 加噪:在数据中注入一些误差或者噪音,达到对数据脱敏的效果。例如,在敏感数据中添加一些随机生成的字符。

  • ......

这里以最常用的替换为例进行介绍,这也是我的项目用到的方法。

我是利用 Hutool 提供的 DesensitizedUtil脱敏工具类配合 Jackson 通过注解的方式完成数据脱敏的。

如果不想引入 Hutool 的话,也可以自己实现一个脱敏工具类,实现逻辑非常简单。

DesensitizedUtil脱敏工具类支持用户 ID、中文姓名、身份证号、座机号、手机号、电子邮件、银行卡号等脱敏数据类型,基本覆盖了常见的敏感信息。

DesensitizedUtil脱敏工具类的脱敏规则是隐藏掉信息中的一部分关键信息用*代替,例如:

  • 身份证号:原始值 51343620000320711X,脱敏后 5***************1X

  • 手机号:原始值 18049531999,脱敏后 180****1999

  • 银行卡号:原始值6217000130008255666,脱敏后6217 **** **** *** 5666

  • ......

除了支持常见的脱敏数据类型之外,Hutool 还提供了自定义隐藏方法StrUtil#hide。这个方法实际上是 CharSequenceUtil实现的,StrUtil继承了CharSequenceUtil

图片

图片

因为我的项目是基于 Spring Boot 开发的,因此可以利用 Spring Boot 自带的 Jackson 自定义序列化实现,在 JSON 进行序列化渲染给前端时,进行脱敏。

下面是简化后的核心步骤:

1、我定义了一个用于脱敏的 Desensitization 注解。

@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
@JacksonAnnotationsInside
// 指定序列化时使用 DesensitizationSerialize 这个自定义序列化类
// DesensitizationSerializ 我们后面会自定义
@JsonSerialize(using = DesensitizationSerialize.class)
public @interface Desensitization {
    /**
     * 脱敏数据类型,在MY_RULE的时候,startInclude和endExclude生效
     */
    DesensitizationTypeEnum type() default DesensitizationTypeEnum.MY_RULE;

    /**
     * 脱敏开始位置(包含)
     */
    int startInclude() default 0;

    /**
     * 脱敏结束位置(不包含)
     */
    int endExclude() default 0;
}

DesensitizationTypeEnum 是脱敏策略的枚举:

public enum DesensitizationTypeEnum {
    //自定义
    MY_RULE,
    //用户id
    USER_ID,
    //手机号
    MOBILE_PHONE,
    //邮箱
    EMAIL,
    // 省略其他枚举字段
    // ...
}

2、自定义序列化类继承 JsonSerializer,实现 ContextualSerializer 接口,并重写 serialize() 和 createContextual() 这两个方法。

/**
 * 自定义序列化类,用于数据脱敏处理
 * 支持多种脱敏类型,包括自定义规则。
 */
@AllArgsConstructor
@NoArgsConstructor
public class DesensitizationSerialize extends JsonSerializer<String> implements ContextualSerializer {
    private DesensitizationTypeEnum type;
    private Integer startInclude;
    private Integer endExclude;

    @Override
    public void serialize(String str, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException {
        switch (type) {
            // 自定义类型脱敏
            case MY_RULE:
                jsonGenerator.writeString(StrUtil.hide(str, startInclude, endExclude));
                break;
            // userId脱敏
            case USER_ID:
                jsonGenerator.writeString(String.valueOf(DesensitizedUtil.userId()));
                break;
            // 中文姓名脱敏
            case CHINESE_NAME:
                jsonGenerator.writeString(DesensitizedUtil.chineseName(String.valueOf(str)));
                break;
            // 省略其他数据类型脱敏
            // ......
        }
    }

    @Override
    public JsonSerializer<?> createContextual(SerializerProvider serializerProvider, BeanProperty beanProperty) throws JsonMappingException {
        if (beanProperty != null) {
            // 判断数据类型是否为String类型
            if (Objects.equals(beanProperty.getType().getRawClass(), String.class)) {
                // 获取定义的注解
                Desensitization desensitization = beanProperty.getAnnotation(Desensitization.class);
                // 如果字段上没有注解,则从上下文中获取注解
                if (desensitization == null) {
                    desensitization = beanProperty.getContextAnnotation(Desensitization.class);
                }
                // 如果找到了注解,创建新的序列化实例
                if (desensitization != null) {
                    return new DesensitizationSerialize(desensitization.type(), desensitization.startInclude(), desensitization.endExclude());
                }
            }
            // 如果不是String类型,使用默认的序列化处理
            return serializerProvider.findValueSerializer(beanProperty.getType(), beanProperty);
        }
        // 如果beanProperty为null,返回默认的null值序列化处理
        return serializerProvider.findNullValueSerializer(null);
    }
}

这段代码有一个优化小技巧:可以将函数放进枚举类,进而避免使用 switch-case 语句,从而使代码更加简洁和易于维护。

public enum DesensitizationTypeEnum {
    // 自定义
    MY_RULE {
        @Override
        public String desensitize(String str, Integer startInclude, Integer endExclude) {
            return StrUtil.hide(str, startInclude, endExclude);
        }
    },
    // 用户id
    USER_ID {
        @Override
        public String desensitize(String str, Integer startInclude, Integer endExclude) {
            return String.valueOf(DesensitizedUtil.userId());
        }
    },
    MOBILE_PHONE {
        @Override
        public String desensitize(String str, Integer startInclude, Integer endExclude) {
            return String.valueOf(DesensitizedUtil.mobilePhone(str));
        }
    },
    EMAIL {
        @Override
        public String desensitize(String str, Integer startInclude, Integer endExclude) {
            return String.valueOf(DesensitizedUtil.email(str));
        }
    };
    // 省略其他枚举字段
    // ...
    public abstract String desensitize(String str, Integer startInclude, Integer endExclude);
}

这样的话,一行代码即可实现调用:

jsonGenerator.writeString(type.desensitize(str, startInclude, endExclude));

如果使用的序列化是 Fastjson 而不是默认的 Jackson,你可以创建一个自定义的 ValueFilter 来处理脱敏逻辑。

这里只是以 Jackson 和 Fastjson 为例说明,其他常见的序列化实现都有对应的解决方法。

3、经过上面两步之后就可以使用脱敏注解了。

在对应的字段上添加上脱敏注解即可:

@Data
@NoArgsConstructor
@AllArgsConstructor
public class User {
    // 演示自定义脱敏
    @Desensitization(type = DesensitizationTypeEnum.MY_RULE, startInclude = 4, endExclude = 7)
    private String userid;

    @Desensitization(type = DesensitizationTypeEnum.MOBILE_PHONE)
    private String phone;

    @Desensitization(type = DesensitizationTypeEnum.EMAIL)
    private String email;

}

输出示例:

{
  "userid": "user***56",
  "phone": "181****8155",
  "email": ":*************@163.com"
}
y&m
关注
C#实现对姓名、身份证进行数据脱敏(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
03-31 341
C#实现对姓名、身份证进行数据脱敏(附完整源码)
数据脱敏方案实战
weixin_42188778的博客
06-04 1914
最近项目上增加了数据脱敏、数据脱敏规则设置两个模块, 是对系统数据进行安全保护,感觉很有意义,记录下来,防止以后忘记。
对敏感数据进行脱敏操作
早起一杯咖啡
05-11 755
/** * 数据脱敏 * * @param data * @param left 左边保留长度 * @param right 右边保留长度 * @return */ public String dataEncrypt(String data, int left, int right) { if (StringUtils.isBlank(data)) { return StringUtils.EMPTY; } return S
Java字符序列类CharSequence基本详解
热门推荐
OceanSky的专栏
02-04 3万+
CharSequence类是java.lang包下的一个接口,此接口对多种不同的对char访问的统一接口,像String、StringBuffer、StringBuilder类都是CharSequence的子接口; CharSequence类和String类都可以定义字符串,但是String定义的字符串只能读,CharSequence定义的字符串是可读可写的; 对于抽象类或者接口来说不可以直接
Java自定义数据脱敏注解
telescopewang的博客
04-28 1746
数据库中密文存储身份证、手机号等敏感信息时,Java需要将密文数据转换为明文并脱敏返回给前端。
SpringBoot实现返回值数据脱敏
月色无痕的专栏
07-11 1521
SpringBoot实现数据脱敏响应请求,由于业务需要,敏感数据返回给第三方时,需要进行隐藏处理,但是如果一个字段一个字段的进行硬编码处理的话,不仅增加了工作量,而且后期需求变动的时候,更加是地狱般的工作量变更。下面将介绍一种高效便捷的处理方法。下面,通过身份证,姓名,密码,手机号等等示例去演示脱敏的流程/*** 步骤一* 方法来源于ContextualSerializer,获取属性上的注解属性,同时返回一个合适的序列化器*/@Override// 获取自定义注解。
敏感信息脱敏源码和jar包
09-08
这个工具主要针对身份证号、护照号、手机号、出生日期和地址等个人信息进行处理,通过特定的算法和策略,将这些敏感数据部分替换或模糊化,从而实现数据脱敏。 首先,让我们深入了解一下什么是数据脱敏。数据脱敏是...
手把手教你如何设计日志脱敏插件
lizhao007
07-04 7784
1.背景 我所在的公司最近要求需要在所有地方都要脱敏敏感数据,应该是受faceBook数据泄密影响吧。 说到脱敏一般来说在数据输出的地方需要脱敏而我们数据落地输出的地方一般是有三个地方: 接口返回值脱敏 日志脱敏 数据库脱敏 这里主要说一下如何进行日志脱敏,对于代码中来说日志打印敏感数据有两种: 敏感数据在方法参数中 LOGGER.info(&amp;quot;person mobile:...
Java后端开发规范
热爱生活の李
09-11 306
10分支了解常用的开发规范-技术栈规约、命名规范、注释规范、异常与日志等等
全媒体群管理平台软件,有哪些功能?
软件开发
07-06 673
版权声明:本文章由“深圳市信科网络科技有限公司”编辑组汇编而成,未经授权和许可,任何个人或媒体不得对本网站的文章及其他信息资料予以复制、转载、抄袭、改编。 如需转载请联系本网站客服,或注明来源保留本文章链接,否则将依法追究法律责任。 文章来源: http://www.xkwl.net/edu/all.html 二、技术参数 (一)总体技术架构及需求 1、为保证原平台数据完整性、安全性,网站群管理平台软件要求采用B/S结构设计、JAVA语言开发、J2EE技术架构,本次采购要求的网站群系统制造商没有被国
StrUtil.removeAll,java: 无法将类 cn.hutool.core.text.CharSequenceUtil中的方法 removeAll应用到给定类型;
Marcuslu的博客
12-15 1583
情况及问题 //原始代码 String s = StrUtil.removeAll(data, "{", "\"", "[", "]"); //问题 java: 无法将类 cn.hutool.core.text.CharSequenceUtil中的方法 removeAll应用到给定类型; 需要: java.lang.CharSequence,char[] 找到: java.lang.String,java.lang.String,java.lang.String,java.lang.String,
CharSequenceUtilTest的使用
weixin_44681259的博客
03-06 451
Java String之String和CharSequence、StringBuilder和StringBuffer的区别(1)
jiutianhe的专栏
12-26 1831
本章主要介绍String和CharSequence的区别,以及它们的API详细使用方法。 String 简介 String 是java中的字符串,它继承于CharSequence。 String类所包含的API接口非常多。为了便于今后的使用,我对String的API进行了分类,并都给出的演示程序。 String 和 CharSequence 关系 String 继承于Char
根据excel字段信息动态生成建表语句sql
hunagzheng123456的博客
06-27 1198
医疗行业下发的数据库标准不都是sql脚本,有的是excel统计的。所以需要根据excel,数据库类型生成脚本 工程所用的工具:hutool的excel工具类(本来想用easyExcel的,但是本身的项目里有jar冲突不能执行,鬼知道为啥😂)有个坑后面会说 一、Demo package cn.com.rdhl.project.referdata.mdDataset.service.impl; import cn.com.rdhl.common.constant.PlatConstant; imp.
String 常用工具类
chy1984的博客
09-30 9529
apache的 common-lang3 工具类众多、方法齐全, 推荐使用。老版本类库是 commons-lang,新版本是 commons-lang3,尽量用 lang3 代替 lang。工具类封装的方法,相比于原生方法,往往做了很多额外校验、兼容、处理,比如校验了输入是否合法、兼容了NPE、判断了从其它地方获取的数据,使用起来要方便些。empty、blank的异同点:都包含了null、空串,blank还包含了空格串。都是在副本上修改,返回副本,原串不变。
CharSequence与String的区别是什么
程序人生,算法世界
07-30 2万+
CharSequence与String都能用于定义字符串,但CharSequence的值是可读可写序列,而String的值是只读序列。 CharSequence实现这个接口的实例 举例: CharSequence str = "dd"; 就是 CharSequence str = new String("dd"); CharSequence是封装好的类 这是一个接口,代表的是一
java实现简单的脱敏操作
最新发布
sungencheng的博客
01-03 622
所谓脱敏就是:隐藏掉信息中的一部分关键信息,用*代替,自定义隐藏可以使用StrUtil.hide方法完成。
CharSequence类型与String类型的区别
Goals1989的博客
01-24 404
CharSequence是一个接口,String实现这个接口. 为什么不干脆定义String作为参数类型? 因为还有其他的CharSequence类型的实现类, 比如StringBuffer和StringBuilder这两个很重要的类。
Java敏感词过滤实现与应用
"本文将探讨如何在Java实现敏感词过滤功能,主要涉及`words.properties`配置文件和`KeyWordFilter.java`核心类的使用。" 在Java开发中,敏感词过滤是一项重要的任务,特别是在处理用户输入、社交媒体内容或者论坛...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值