SpringBoot基于Jackson实现数据脱敏

最新推荐文章于 2024-02-02 14:16:03 发布
最新推荐文章于 2024-02-02 14:16:03 发布
阅读量243 收藏 1
点赞数 1
分类专栏: SpringBoot 文章标签: spring boot java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_58267543/article/details/132545067
版权

原理

  • SpringBoot中,默认使用Jackson进行序列化数据为JSON,故只需要在Jackson序列化时,将String对应数据进行脱敏处理即可

脱敏工具Hutool

方式一:利用@JsonSerialize注解

  • 使用@JsonSerialize注解,将某个字段设置使用自定义的序列化类
  • 然后,在自定义序列化类中,实现数据脱敏逻辑
示例
  • 自定义序列化类,并实现脱敏逻辑
package gk.springboot.preheat.plugin;

import cn.hutool.core.util.DesensitizedUtil;
import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.JsonSerializer;
import com.fasterxml.jackson.databind.SerializerProvider;

import java.io.IOException;

public class MySerializerPlugin extends JsonSerializer<String> {
    @Override
    public void serialize(String value, JsonGenerator gen, SerializerProvider serializers) throws IOException {
        gen.writeString(DesensitizedUtil.chineseName(value));
    }
}
  • 使用,给UserInfo实体类中name字段进行注解,指定使用自定义MySerializerPlugin序列化类
package gk.springboot.preheat.model;

import com.fasterxml.jackson.databind.annotation.JsonSerialize;
import gk.springboot.preheat.plugin.MySerializerPlugin;
import lombok.Data;

import java.util.Date;
import java.util.List;

@Data
public class UserInfo {
    private Integer id;
    @JsonSerialize(using = MySerializerPlugin.class)
    private String name;
    private Integer age;
    private Character sex;
    private Date createTime = new Date();
    private Date updateTime = new Date();
    private List<Account> account;
}
测试
  • name字段被脱敏
    在这里插入图片描述

方式二:自定义注解 + @JsonSerialize注解

  • @JsonSerialize注解是支持在注解上使用,利用这点,可以自定义注解
  • 将字段中存在自定义注解的,全部设置为使用自定义序列化类
  • 然后,利用自定义注解中定义脱敏类型,完成针对不同的数据(如:手机号、Email、姓名、银行卡等)进行脱敏工作
示例
  • 自定义注解@Desensitize
    • 其中@JsonSerialize是设置自定义序列化类
    • typestartend是自定义属性,用于后续脱敏逻辑处理
package gk.springboot.preheat.annotation;

import cn.hutool.core.util.DesensitizedUtil;
import com.fasterxml.jackson.annotation.JacksonAnnotation;
import com.fasterxml.jackson.annotation.JacksonAnnotationsInside;
import com.fasterxml.jackson.databind.annotation.JsonSerialize;
import gk.springboot.preheat.plugin.DesensitizedSerializerPlugin;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
@JacksonAnnotationsInside
// 设置该注解使用的自定义序列化类
@JsonSerialize(using = DesensitizedSerializerPlugin.class)
public @interface Desensitize {
	// 定义枚举类,主要用于设置启用哪种脱敏方式对数据脱敏
    DesensitizedSerializerPlugin.DesensitizedType type() default DesensitizedSerializerPlugin.DesensitizedType.CUSTOM_RULE;

    int start() default 0;

    int end() default 1;
}
  • 自定义序列化类
    • 继承JsonSerializer并重写serialize()方法,完成序列化时,数据脱敏逻辑
    • 实现ContextualSerializer接口,重写createContextual()方法,获取创建序列化程序的上下文(简单理解:就是获取字段创建序列化时的信息)
package gk.springboot.preheat.plugin;

import cn.hutool.core.text.CharSequenceUtil;
import cn.hutool.core.util.DesensitizedUtil;
import cn.hutool.core.util.StrUtil;
import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.BeanProperty;
import com.fasterxml.jackson.databind.JsonMappingException;
import com.fasterxml.jackson.databind.JsonSerializer;
import com.fasterxml.jackson.databind.SerializerProvider;
import com.fasterxml.jackson.databind.ser.ContextualSerializer;
import gk.springboot.preheat.annotation.Desensitize;
import lombok.AllArgsConstructor;
import lombok.NoArgsConstructor;

import java.io.IOException;
import java.util.Objects;

@AllArgsConstructor
@NoArgsConstructor
public class DesensitizedSerializerPlugin extends JsonSerializer<String> implements ContextualSerializer {
    public enum DesensitizedType {
        // 自定义从start -> end 进行脱敏
        CUSTOM_RULE,
        //用户id
        USER_ID,
        //中文名
        CHINESE_NAME,
        //身份证号
        ID_CARD,
        //座机号
        FIXED_PHONE,
        //手机号
        MOBILE_PHONE,
        //地址
        ADDRESS,
        //电子邮件
        EMAIL,
        //密码
        PASSWORD,
        //中国大陆车牌,包含普通车辆、新能源车辆
        CAR_LICENSE,
        //银行卡
        BANK_CARD
    }

    private DesensitizedType typeEnum;
    private Integer start;
    private Integer end;

    @Override
    public void serialize(String value, JsonGenerator gen, SerializerProvider serializers) throws IOException {
        String newStr;
        switch (typeEnum) {
            case USER_ID:
                newStr = String.valueOf(DesensitizedUtil.userId());
                break;
            case CHINESE_NAME:
                newStr = DesensitizedUtil.chineseName(value);
                break;
            case ID_CARD:
                newStr = DesensitizedUtil.idCardNum(value, 1, 2);
                break;
            case FIXED_PHONE:
                newStr = DesensitizedUtil.fixedPhone(value);
                break;
            case MOBILE_PHONE:
                newStr = DesensitizedUtil.mobilePhone(value);
                break;
            case ADDRESS:
                newStr = DesensitizedUtil.address(value, 8);
                break;
            case EMAIL:
                newStr = DesensitizedUtil.email(value);
                break;
            case PASSWORD:
                newStr = DesensitizedUtil.password(value);
                break;
            case CAR_LICENSE:
                newStr = DesensitizedUtil.carLicense(value);
                break;
            case BANK_CARD:
                newStr = DesensitizedUtil.bankCard(value);
                break;
            case CUSTOM_RULE:
                if (StrUtil.isBlank(value))
                    newStr = value;
                else
                    newStr = CharSequenceUtil.hide(value, start, end);
                break;
            default:
                newStr = value;
        }
        gen.writeString(newStr);
    }

    @Override
    public JsonSerializer<?> createContextual(SerializerProvider prov, BeanProperty property) throws JsonMappingException {
        if (null != property) {
            if (Objects.equals(property.getType().getRawClass(), String.class)) {
                // 获取Desensitization注解
                Desensitize desensition = property.getAnnotation(Desensitize.class);
                if (null == desensition) {
                    desensition = property.getContextAnnotation(Desensitize.class);
                }
                if (null != desensition) {
                    // 使用自定义的JsonSerializer
                    return new DesensitizedSerializerPlugin(desensition.type(), desensition.start(), desensition.end());
                }
            }
            // 值非String类型或没有Desensitize注解,返回原有类型的JsonSerializer
            return prov.findValueSerializer(property.getType(), property);
        }
        // 值为null,返回null的JsonSerializer
        return prov.findNullValueSerializer(null);
    }
}
  • 在UserInfo的VO上使用@Desensitize注解
    • @Desensitize中的type指定了使用哪种方式进行数据脱敏
package gk.springboot.preheat.model;

import gk.springboot.preheat.annotation.Desensitize;
import gk.springboot.preheat.plugin.DesensitizedSerializerPlugin;
import lombok.Data;

import java.util.Date;
import java.util.List;

@Data
public class UserInfo {
    private Integer id;
    @Desensitize(type = DesensitizedSerializerPlugin.DesensitizedType.CHINESE_NAME)
    private String name;
    private Integer age;
    private Character sex;
    private Date createTime = new Date();
    private Date updateTime = new Date();
    private List<Account> account;
}
测试

在这里插入图片描述

注意

  • 该方式需要使用Jackson作为Http消息转换器的JSON序列化类,如果使用fastJson则不能实现
  • 一般微服务系统中,在网关中进行数据脱敏,因为考虑动态脱敏,即:根据不同角色,对不同的数据进行脱敏。比如:
    • 超级管理员,就不需要脱敏
    • 普通用户角色,需要对敏感数据进行脱敏
    • 部门主管,对自己所在部门数据无需脱敏,但是其他部门数据需要脱敏

参考文章

想象之中丶
关注
专栏目录
SpringBoot中优雅的实现隐私数据脱敏(提供Gitee源码)
黄团团的个人博客
08-15 1782
在实际项目开发中,可能会对一些用户的隐私信息进行脱敏操作,传统的方式很多都是用replace方法进行手动替换,这样会由很多冗余的代码并且后续也不好维护,本期就讲解一下如何在SpringBoot中优雅的通过序列化的方式去实现数据的脱敏操作!
SpringBoot中通过自定义Jackson注解实现接口返回数据脱敏
BADAO_LIUMANG_QIZHI的博客
07-16 1436
上面讲的是数据库中存储密文,查询使用明文的脱敏方式,如果是需要数据库中存储明文,而在查询返回处理后的数据,比如身份证号、手机号等敏感数据,可以通过如下方式。
利用Jackson序列化实现数据脱敏
qq_46388795的博客
10-12 2060
几天前使用了Jackson对数据的自定义序列化。突发灵感,利用此方法来简单实现接口返回数据脱敏,故写此文记录。 核心思想是利用Jackson的StdSerializer,@JsonSerialize,以及自己实现数据脱敏过程。 使用效果如下: 首先在需要进行脱敏的VO字段上面标注相关脱敏注解 调用接口即可看到脱敏效果 实现过程如下: 1. 定义脱敏的过程实现 /** * Created by EalenXie on 2021/9/24 15:52 * 顶级的脱敏器 */ p
基于Jackson实现数据脱敏
weixin_59603061的博客
08-29 281
4、配置注解,指定脱敏字段【@SensitiveData(strategy = SensitiveEnum.USERNAME)】2、自定义注解,并指定序列化类为【SensitiveSerializer】3、自定义脱敏策略,可自行扩展。
Hutool - 信息脱敏工具 - DesensitizedUtil
热门推荐
RuanDong的博客
11-11 1万+
一、功能 对应一些敏感进行脱敏 二、DesensitizedUtil支持的脱敏数据类型 用户id 中文姓名 身份证号 座机号 手机号 地址 电子邮件 密码 中国大陆车牌,包含普通车辆、新能源车辆 银行卡 三、使用频率较高的案例 3.1 中文姓名脱敏 @Test public void test() { String chineseName = DesensitizedUtil.chineseName("历飞雨"); System.out.println(
数据脱敏工具类
li_tiantian的博客
08-20 398
import org.apache.commons.lang.StringUtils; /** * @Title: DesensitizedUtils * @Description:脱敏工具 */ public class DesensitizedUtils { /** * 【中文姓名】只显示第一个汉字,其他隐藏为2个星号,比如:李** * ...
基于Jackson实现API接口数据脱敏
tianmaxingkonger的专栏
06-01 1373
JacksonSpringBoot默认的Json序列化和反序列化库,本文通过使用Jackson的@JsonSerialize注解实现序列化脱敏操作,通过使用Jackson的@JsonDeserialize注解实现序列化脱敏数据检测并丢弃操作。API接口出参(Rsp),敏感数据序列化脱敏API接口入参(Req),过滤已脱敏的数据,直接丢弃。
自定义注解结合Hutool对SpringBoot接口返回数据进行脱敏【权限控制】
lucky_love816的博客
12-26 1059
我们在使用手机银行的候经常能看到APP上会将银行卡的卡号中间部分给隐藏掉使用 ***** 来代替,在某些网站上查看一些业务密码(例如签到密码等)也会使用 ***** 来隐藏掉真正的密码,那么这种方式是如何实现的呢?我们这篇文章的实现思路就基于Hutool来实现,在Hutool中提供了一个名为 DesensitizedUtil 的工具类,我们使用这个工具类来加密。
springmvc log4j2 logback 注解 jackson 日志脱敏实现源码
12-30
本资源包含的是关于`SpringMVC`、`Log4j2`、`Logback`以及`Jackson`的日志脱敏实现源码,提供了多种实现方式,旨在帮助开发者在保障信息安全的同,充分利用日志进行系统分析。 1. **基于正则表达式的日志脱敏实现...
SpringBoot接口返回数据脱敏(Mybatis、Jackson
Staba的博客
02-24 2654
J数据脱敏有以下几种做法: 1、通过自定义Jackson注解,实现在属性序列化过程中处理数据 2、通过Mybatis查询数据处理 3、其他方式 JacksonSpring默认的序列化框架,以下将通过自定义Jackson注解,实现序列化过程中对属性值进行处理。 对于数据库数据的加密解密将采用Mybatis的TypeHandler处理,在我们为数据库提供数据后,会根据我们的需求,对部分数据进行加密。在读取后数据最终到我们手上前,会对读取到数据进行解密。
java手机号、身份证号脱敏
cainiaobulan的博客
10-14 996
手机号、身份证脱敏处理
Java工具类库Hutool
最新发布
nalanxiaoxiao2011的博客
02-02 1246
hutool 常用工具类
java中注解实现敏感数据脱敏
qq_52477177的博客
06-19 838
在使用该注解,只需要在需要脱敏的字段上添加该注解即可。字段使用了手机号码脱敏类型,并指定了脱敏规则为前3位明文,后4位明文,中间用*代替;:脱敏类型,枚举类型,包括默认脱敏、姓名脱敏、手机号码脱敏、身份证号码脱敏等;:脱敏规则,例如:手机号码脱敏规则为:前3位明文,后4位明文,中间用*代替;:脱敏开始位置,从0开始计数,默认为0;:脱敏占位符,例如:用*代替敏感数据;字段使用了默认脱敏类型,对姓名进行脱敏处理。:脱敏结束位置,默认为整个字符串长度。注解进行脱敏处理。该注解包含了以下属性: -
json消息转换器MappingJackson2HttpMessageConverter的使用
csdnyq的博客
08-21 5092
json消息转换器MappingJackson2HttpMessageConverter的使用 注意: 从Spring4开始,spring默认使用的json消息转换器是MappingJackson2HttpMessageConverter,spring3是使用MappingJacksonHttpMessageConverter。 MappingJackson2HttpMessageConverter要用的Jackson版本要2.1或以上。 引入Jackson依赖 <dependency
[享学Jackson] 二十、Spring MVC下的Jackson --- MappingJackson2HttpMessageConverter
架构师:通透,才能写出好代码!
02-04 3607
`Spring MVC`是通过`HttpMessageConverter`消息转换器来与Jackson库整合的(其实只是使用了Jackson库来解析JSON格式的消息而已)。需要注意的是:它默认支持的不仅仅只有Jackson,还有JavaEE标准技术的`javax.json.bind.Jsonb`以及谷歌公司的`Gson`。 大多数程序员很少接触过`Jackson`,是因为`Spring`把它“隐藏”得很深。知道`HttpMessageConverter`本来就很少,更何况隐藏在其之下的`Jackson`
解析Json之MappingJackson2HttpMessageConverter使用方法
我主要负责转载优秀的技术博文
06-08 8141
众所周知,用Spring cloud构建微服务架构,后台接收controller通常用@RestController注解。@Restcontroller是@Controller和@ResponseBody的结合体。这样就将后台返回的Java对象转换为Json字符串传递给前台,但是当数据库字段为date类型,@ResponseBody注解在转换日期类型会默认把日期转换为间戳(例如: date...
Jackson - 注解 @JsonSerialize 和 @JsonDeserialize 实现自定义序列化和反序列化
你今天真好看呀
06-03 2399
注解 @JsonSerialize 和 @JsonDeserialize 可以用于为 Java 对象中的字段指定自定义序列化和反序列化程序 ,最常用的就是对日期进行序列化。使用 @JsonSerialize 通过 OptimizedBooleanSerializer 序列化 enabled 属性: 测试结果:使用 @JsonDeserialize 通过 OptimizedBooleanDeserializer 反序列化 enabled 属性: 测试结果:使用 @JsonSerialize 通过
MappingJackson2HttpMessageConverter的学习
爱骚韦的程序猿
05-30 9137
spring提供了HttpMessageConverter转换器,默认加载了MappingJackson2HttpMessageConverter(json--&gt;Object),只需配置@RequestBody 即可使用注册的类已经变成了RequestMappingHandlerMapping和 RequestMappingHandlerAdapter...
SpringBootJackson配置详解与实战示例
"在SpringBoot项目开发中,Jackson是默认的JSON转换工具,由spring-boot-starter-web依赖中的spring-boot-starter-json包提供。本文将详细介绍如何在SpringBoot应用中配置Jackson,包括通过application.yml和...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值