Jackson序列化方式实现数据字段脱敏(工厂模式 + 策略模式)

已于 2022-12-04 19:55:28 修改
阅读量1.1k 收藏 9
点赞数 2
分类专栏: Java相关 文章标签: java 策略模式 开发语言
于 2022-12-04 19:54:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52156472/article/details/128176432
版权

Jackson序列化方式实现数据脱敏

方案选择

  • 基于Mybatis 的拦截器:对select 语句进行拦截数据脱敏,但是存在问题 在某些业务中对数据脱敏字段是需要进行逻辑业务处理的
  • 基于Jaskson 序列化:针对需要展示在前端的数据 通常我们都是对应一个VO对象,这里可以在将VO对象返回给前端序列化时进行数据的脱敏

实现方案

1.自定义序列化器 覆盖原来的序列化方式
	需要引入jackson依赖
     <dependency>
            <groupId>com.fasterxml.jackson.core</groupId>
            <artifactId>jackson-annotations</artifactId>
            <version>2.11.0</version>
        </dependency>
        <dependency>
            <groupId>com.fasterxml.jackson.core</groupId>
            <artifactId>jackson-databind</artifactId>
            <version>2.11.0</version>
        </dependency>


/**
 * 脱敏序列化器
 */
public class ObjectDesensitizeSerializer extends StdSerializer<Object> implements ContextualSerializer {

   
    protected ObjectDesensitizeSerializer() {
        super(Object.class);
    }

    @Override
    public JsonSerializer<Object> createContextual(SerializerProvider prov, BeanProperty property) {
        
        //  这里创建序列化上下文环境 以选择是否需要指定返回不同的序列化器
        
        
        return serializer;
    }

    @Override
    public void serialize(Object value, JsonGenerator gen, SerializerProvider provider) throws IOException {
       
        //  这里编写实际序列化的字段的处理
        
    }

}
2.定义策略类(处理实际脱敏逻辑)

然后针对不同的字段会有不同的脱敏方案 比如 身份证号 银行卡号 电话号码等

这里采用 策略模式 + 工厂模式 进行解耦,符合开闭原则

定义一个顶级接口 然后多个实现

/**
 * 定义一个 顶级的脱敏器
 */
public interface Desensitization<T> {


    /**
     * 脱敏实现
     *
     * @param target 脱敏对象
     * @return 脱敏返回结果
     */
    T desensitize(T target);

}

//  多接口实现

/**
 * 字符串脱敏器
 */
public interface StringDesensitization extends Desensitization<String> {
}

/**
 * 身份证(18位和15位) 脱敏器
 */
public class IDCardDesensitization implements StringDesensitization {
}


/**
 * 邮箱脱敏器 默认只保留域名
 */
public class EmailDesensitization implements StringDesensitization {
}

这里只展示具体的一个脱敏实现 其他都是类似

/**
 * 手机号脱敏器 默认只保留前3位和后4位
 */
public class PhoneDesensitization implements StringDesensitization {
    /**
     * 手机号正则
     */
    private static final Pattern DEFAULT_PATTERN = Pattern.compile("(13[0-9]|14[579]|15[0-3,5-9]|16[6]|17[0135678]|18[0-9]|19[89])\\d{8}");
    /**
     * 手机号脱敏 只保留前3位和后4位
     */
    @Override
    public String desensitize(String target) {
        //  匹配判断是否符合正则
        Matcher matcher = DEFAULT_PATTERN.matcher(target);
        while (matcher.find()) {
            String group = matcher.group();
            
            //  调用方法进行脱敏
            target = target.replace(group, group.substring(0, 3) + Symbol.getSymbol(4, Symbol.STAR) + group.substring(7, 11));
        }
        return target;
    }
}

public class Symbol {
    /**
     * '*'脱敏符
     */
    public static final String STAR = "*";

    private Symbol() {

    }

    /**
     * 获取符号
     *
     * @param number 符号个数
     * @param symbol 符号
     */
    public static String getSymbol(int number, String symbol) {
        StringBuilder sb = new StringBuilder();
        for (int i = 0; i < number; i++) {
            sb.append(symbol);
        }
        return sb.toString();
    }
}
3.定义工厂类 获取实际策略 并缓存策略

上述是 策略模式的体现 ,策略模式 通常结合工厂模式 屏蔽创建对象细节 直接通过工厂创建指定的策略类

/**
 *策略类的工厂
 */
public class DesensitizationFactory {

    private DesensitizationFactory() {
    }

    //  这里采用一个 Map 集合 对指定的策略类进行缓存 避免对象的重复创建
    private static final Map<Class<?>, Desensitization<?>> map = new HashMap<>();

    
    @SuppressWarnings("all")
    public static Desensitization<?> getDesensitization(Class<?> clazz) {
        //  如果传递的只是接口 不是实现类 则抛出异常
        if (clazz.isInterface()) {
            throw new UnsupportedOperationException("desensitization is interface, what is expected is an implementation class !");
        }
        return map.computeIfAbsent(clazz, k -> {
            try {
                //  返回指定 Class 的策略类 同时缓存在 Map 中
                return (Desensitization<?>) clazz.newInstance();
            } catch (InstantiationException | IllegalAccessException e) {
                throw new UnsupportedOperationException(e.getMessage(), e);
            }
        });
    }

}
4.定义注解 简化使用

然后就是注解的定义,利用注解 直接对 VO 对象的字段标记,无代码入侵

/**
 * 对象脱敏 注解
 */
@Target({ElementType.FIELD, ElementType.ANNOTATION_TYPE}) // 作用于注解类型上 供其他注解使用
@Retention(RetentionPolicy.RUNTIME)
@JacksonAnnotationsInside  //  组合注解 将多个注解拼在一起使用
@JsonSerialize(using = ObjectDesensitizeSerializer.class) //  标记序列化配置中 使用哪个类序列化 这里指定之前定义的ObjectDesensitizeSerializer
@Documented
public @interface Desensitize {
    
    //  这里对应了工厂类中的Class类型 以及在 ObjectDesensitizeSerializer 中创建上下文环境时 可供获取的参数去选择实际的脱敏方式
    
    /**
     * 对象脱敏器实现
     */
    @SuppressWarnings("all")
    Class<? extends Desensitization<?>> desensitization();


}

然后就是对应的实际字段注解

/**
 * 电话脱敏 注解
 */
@Target({ElementType.FIELD})
@Retention(RetentionPolicy.RUNTIME)
@JacksonAnnotationsInside
@Desensitize(desensitization = PhoneDesensitization.class)  //  这里指定执行脱敏逻辑的类
@Documented
public @interface PhoneDesensitize {
}

/**
 * 中华人民共和国身份证 脱敏注解
 */
@Target({ElementType.FIELD})
@Retention(RetentionPolicy.RUNTIME)
@JacksonAnnotationsInside
@Desensitize(desensitization = IDCardDesensitization.class) //  这里指定执行脱敏逻辑的类
@Documented
public @interface IDCardDesensitize {
}
5.完善自定义序列化器的逻辑

最后就是回到开头 编写实际的 自定义序列化器

**
 * 脱敏序列化器
 */
public class ObjectDesensitizeSerializer extends StdSerializer<Object> implements ContextualSerializer {
    
    
	//  面向接口 根据策略不同而实际 set 不同的 脱敏类
    private transient Desensitization<Object> desensitization;

    protected ObjectDesensitizeSerializer() {
        super(Object.class);
    }

    public Desensitization<Object> getDesensitization() {
        return desensitization;
    }

    public void setDesensitization(Desensitization<Object> desensitization) {
        this.desensitization = desensitization;
    }

    //  创建上下文环境
    @Override
    public JsonSerializer<Object> createContextual(SerializerProvider prov, BeanProperty property) {
        //  根据 BeanProperty 获取被标记 VO 字段的注解上的 实际策略脱敏类
        Desensitize annotation = property.getAnnotation(Desensitize.class);
        return createContextual(annotation.desensitization());
    }

    @SuppressWarnings("unchecked")
    public JsonSerializer<Object> createContextual(Class<? extends Desensitization<?>> clazz) {
        ObjectDesensitizeSerializer serializer = new ObjectDesensitizeSerializer();
        
        //  判断是否属于 StringDesensitization 因为 StringDesensitization 属于全脱敏
        if (clazz != StringDesensitization.class) {
            
            //  不属于则 回到上面 通过工厂类去创建脱敏类
            serializer.setDesensitization((Desensitization<Object>) DesensitizationFactory.getDesensitization(clazz));
        }
        return serializer;
    }

    
    //  创建完 上下文环境 返回 serializer 执行序列化 serialize
    @Override
    public void serialize(Object value, JsonGenerator gen, SerializerProvider provider) throws IOException {
        Desensitization<Object> objectDesensitization = getDesensitization();
        
        //  获取 策略类(即 前面 set 的 desensitization)  
        
        
        if (objectDesensitization != null) {
            try {
                //  不为空调用处理脱敏逻辑
                gen.writeObject(objectDesensitization.desensitize(value));
            } catch (Exception e) {
                gen.writeObject(value);
            }
        } else if (value instanceof String) {
            //  为空 说明是 StringDesensitization  且字段是 String 类型 则 全脱敏
            gen.writeString(Symbol.getSymbol(((String) value).length(), Symbol.STAR));
        } else {
            //  否则 正常序列化
            gen.writeObject(value);
        }
    }
}

最终可达到 一个注解 即可脱敏

在这里插入图片描述

Colorful_wp
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
全面掌握 Jackson 序列化工具:原理、使用与高级配置详解
微笑听雨
06-25 2259
Jackson 是一个功能强大的 JSON 处理库,广泛应用于 Java 项目中。它提供了丰富的功能和灵活的配置选项,可以轻松地在 Java 对象和 JSON 数据之间进行转换。本文将详细介绍 Jackson 的核心概念、基本用法、高级配置及处理集合类型的数据,旨在帮助你全面掌握 Jackson 的使用方法
基于Jackson实现API接口数据脱敏
tianmaxingkonger的专栏
06-01 1294
Jackson是SpringBoot默认的Json序列化和反序列化库,本文通过使用Jackson的@JsonSerialize注解实现序列化脱敏操作,通过使用Jackson的@JsonDeserialize注解实现序列化脱敏数据检测并丢弃操作。API接口出参(Rsp),敏感数据序列化脱敏API接口入参(Req),过滤已脱敏数据,直接丢弃。
利用Jackson序列化实现数据脱敏
qq_46388795的博客
10-12 2005
几天前使用了Jackson数据的自定义序列化。突发灵感,利用此方法来简单实现接口返回数据脱敏,故写此文记录。 核心思想是利用Jackson的StdSerializer,@JsonSerialize,以及自己实现数据脱敏过程。 使用效果如下: 首先在需要进行脱敏的VO字段上面标注相关脱敏注解 调用接口即可看到脱敏效果 实现过程如下: 1. 定义脱敏的过程实现 /** * Created by EalenXie on 2021/9/24 15:52 * 顶级的脱敏器 */ p
使用十一种设计模式实现 基于Jackson注解的 完美数据脱敏方案
future_spring的专栏
11-27 886
使用Jackson的注解来实现通用数据脱敏,同时展示根据要求,如何结合使用多种不同的设计模式。
springboot常用脱敏器实例,基于Jackson序列化实现
zzztimes的博客
10-18 703
开发中会遇到数据的展示需要做脱敏处理,两种方式:1. 让前端做脱敏处理,但是接口实际上返回了真实数据,所以该方案可行度比较低。2. 后端在序列化的时候做处理,这样既不会影响接口的逻辑,也避免了真实数据在网络中传输。
springboot3使用​自定义注解+Jackson优雅实现接口数据脱敏
蒾酒的博客
03-25 6172
本文介绍了springboot开发后端服务中,接口数据脱敏优雅的设计与实现,坚持看完相信对你有帮助。同时欢迎订阅springboot系列专栏,持续分享spring boot的使用经验。本文介绍了一种以优雅的方式实现对接口返回的敏感数据,如手机号、邮箱、身份证等信息的脱敏处理。这种方法也是企业常用方法。话不多说我们一起来看一下吧。/***///这是自定义的脱敏策略枚举类型,用于指定脱敏策略,获取对应脱敏处理方法。
【SpringBoot】数据脱敏
阿Q的小窝
04-30 2879
数据脱敏,也称为数据的去隐私化或数据变形,是一种技术手段,用于对某些敏感信息通过特定的脱敏规则进行数据的变形,从而实现敏感隐私数据的可靠保护。这样可以在开发、测试和其他非生产环境以及外包环境中安全地使用脱敏后的真实数据集。数据脱敏的主要应用场景包括涉及客户安全数据或商业性敏感数据的情况,例如身份证号、手机号、卡号、客户号等个人信息都需要进行数据脱敏
SpringBoot利用自定义json序列化实现敏感字段数据脱敏
ThinkPet
07-05 1096
log . info("mobilePhone数据:{}脱敏后的值是:{}" , s , s1);} }log . info("email数据:{}脱敏后的值是:{}" , s , s1);} }/*** 可以同时注册多个自定义的jackson 序列化器* @return} }
接口返回数据字段脱敏处理方案
qq_38637728的博客
05-10 1959
第四种方案, 增加aop拦截器,在拦截器中的后置处理器中,对返回的参数属性进行解析,带有自定义注解的参数进行拦截,这里兼容了层级复杂多类型的数据结构,不过递归时可能存在内存溢出风险,只要把对象类型的判断处理好就能避免内存泄漏情况。1.新建一个Java类,实现ObjectSerializer接口,重写write 方法,serializer 是序列化对象,object 是属性值,这里我们只需要关注这两个属性,格式化object 内容再写入serializer中就可以了。2.fastjson序列化方式实现脱敏
fastjson和jackson序列化数据的区别
12-21
fastjson和jackson序列化数据的区别直奔主题一言不合就上代码注意 直奔主题 1、fastjson将字符串反序列化为对象时,只会处理第一层,内部会序列化为JsonObject或者JsonArray,使用二级结构和三级结构时还要再次处理...
如何利用Jackson序列化忽略指定类型的属性详解
08-26
Jackson 序列化是基于 Java 反射机制的,通过对对象的字段进行序列化生成 JSON 字符串。然而,在序列化 Apache Avro 对象时,可能会遇到一些问题,例如序列化 Apache Avro 对象的 Schema 属性时抛出异常。 问题的...
SpringBoot2.0整合jackson配置日期格式化和反序列化实现
08-26
"SpringBoot2.0整合jackson配置日期格式化和反序列化实现" ...SpringBoot2.0整合jackson配置日期格式化和反序列化实现可以帮助我们解决日期类型数据在传输和存储过程中的问题,从而提高数据的可读性和可维护性。
解析JavaJackson库中对象的序列化数据泛型绑定
09-02
JavaJackson库是一个广泛使用的库,它主要用于处理JSON数据,包括对象的序列化和反序列化Jackson库的核心是`ObjectMapper`类,它提供了一种简单的方式来将Java对象转换成JSON格式,反之亦然。在给定的例子中,...
Java实现几种序列化方式总结
10-20
Java中,可以使用如Jackson、Gson、org.json等库进行JSON序列化。这些库将Java对象转换为JSON字符串,反之亦然。JSON序列化的优点是格式通用,可跨平台,适合在网络中传递数据。然而,对于复杂对象,其转换开销...
golang 接口
m0_70982551的博客
07-24 862
接口定义了一组方法,这些方法没有具体的实现。接口类型的变量可以存储任何实现了这些方法的类型的值。// 更多方法...在Go语言中,接口值是指存储了实现某个接口的具体类型值的变量。接口值由两部分组成:1.动态类型:这是接口值当前存储的实际类型。2.动态值:这是实际存储的值,该值必须实现了接口中定义的所有方法。
Swagger使用Map接受参数时,页面如何显示具体参数及说
a1058926697的博客
07-26 385
后端使用Map接受参数,要求在swagger页面上显示具体的参数名称、类型及说明。当Map接受参数数量少时,可以使用Swagger自带的注解。自定义注解 @ApiGlobalModel。编写处理注解对应的插件。
springboot之自动装配
weixin_50153914的博客
07-23 539
Spring Boot 通过一系列注解和条件配置实现了自动装配机制,使得开发者无需手动配置大量的 XML 文件或 Java 配置类。自动配置机制利用文件中的自动配置类,并结合条件注解和组件扫描,实现了灵活且强大的自动装配功能。这样,开发者可以专注于业务逻辑的实现,而无需处理繁琐的配置细节。
Java的@DateTimeFormat注解与@JsonFormat注解的使用对比
最新发布
訾博(ZiBo)的博客
07-27 465
在Spring和Jackson框架中,日期和时间格式化是一个常见需求。注解主要用于Spring的表单绑定,而注解则用于Jackson的JSON序列化和反序列化。了解这两个注解的使用场景和方法,可以帮助开发者更高效地处理日期和时间。和是处理日期和时间格式化的两个重要注解。主要用于Spring MVC的请求参数绑定,而主要用于Jackson的JSON序列化和反序列化。了解它们的使用场景和功能,可以帮助开发者更高效地处理日期和时间格式化需求。通过本文的介绍,希望读者能够更清晰地理解和。
springboot怎么实现数据查询返回的字段脱敏
05-24
在Spring Boot中,可以通过使用自定义的Jackson序列化器来实现返回字段脱敏。 首先,创建一个自定义的Jackson序列化器类,例如: ```java public class SensitiveDataSerializer extends JsonSerializer<String> { @Override public void serialize(String value, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException { String maskedValue = maskSensitiveData(value); // 脱敏处理 jsonGenerator.writeString(maskedValue); } private String maskSensitiveData(String value) { // 实现脱敏逻辑 return value; } } ``` 然后,在需要进行脱敏字段上使用`@JsonSerialize(using = SensitiveDataSerializer.class)`注解,例如: ```java public class UserInfo { private String name; @JsonSerialize(using = SensitiveDataSerializer.class) private String idCard; // 省略getter和setter方法 } ``` 这样,在使用Spring Boot进行数据查询时,返回的`UserInfo`对象中的`idCard`字段就会被自定义的Jackson序列化器处理并进行脱敏处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值