快捷導(dǎo)航

淺析如何在SpringBoot中實(shí)現(xiàn)數(shù)據(jù)脫敏

更新時(shí)間：2024年03月14日 08:40:31 作者：一只愛擼貓的程序猿

脫敏是指在不改變?cè)瓟?shù)據(jù)結(jié)構(gòu)的前提下,通過某種方式處理數(shù)據(jù),使數(shù)據(jù)不能直接暴露用戶的真實(shí)信息,下面我們就來看看SpringBoot中實(shí)現(xiàn)數(shù)據(jù)脫敏的具體方法吧

在Spring Boot項(xiàng)目中實(shí)現(xiàn)字段的脫敏通常涉及到敏感信息的處理，如用戶的姓名、電話號(hào)碼、電子郵件地址等。脫敏是指在不改變?cè)瓟?shù)據(jù)結(jié)構(gòu)的前提下，通過某種方式處理數(shù)據(jù)，使數(shù)據(jù)不能直接暴露用戶的真實(shí)信息。

通過Jackson序列化機(jī)制實(shí)現(xiàn)的關(guān)鍵點(diǎn)

1. 自定義注解 SensitiveInfo

自定義注解SensitiveInfo是一個(gè)標(biāo)記，它讓我們能夠在字段上指定該字段需要進(jìn)行脫敏處理，并定義脫敏類型。當(dāng)Jackson序列化對(duì)象時(shí)，并不會(huì)直接處理這個(gè)注解，而是等待序列化器去識(shí)別并根據(jù)這個(gè)注解的屬性來執(zhí)行相應(yīng)的邏輯。

2. 自定義序列化器 SensitiveInfoSerialize

SensitiveInfoSerialize繼承自JsonSerializer，并實(shí)現(xiàn)了ContextualSerializer接口。這個(gè)序列化器是脫敏邏輯的核心，其主要方法說明如下：

serialize：這是覆蓋自JsonSerializer的方法，定義了具體的序列化邏輯。當(dāng)字段被序列化時(shí)，這個(gè)方法會(huì)被調(diào)用，并根據(jù)脫敏類型進(jìn)行相應(yīng)的處理。
createContextual：這是ContextualSerializer接口的方法。Jackson調(diào)用此方法來創(chuàng)建一個(gè)上下文感知的序列化器實(shí)例。此方法檢查被注解的字段，提取注解SensitiveInfo的類型，并用這個(gè)信息創(chuàng)建一個(gè)新的序列化器實(shí)例。

3. 序列化過程

當(dāng)Jackson執(zhí)行序列化過程時(shí)，對(duì)于每個(gè)字段，它將檢查字段是否有自定義的序列化器。如果有（在下邊的例子中，是@JsonSerialize指定的SensitiveInfoSerialize），Jackson會(huì)使用這個(gè)序列化器來處理字段。

在序列化器中，createContextual方法會(huì)根據(jù)字段的SensitiveInfo注解確定需要使用的脫敏類型。這樣，每個(gè)字段都可以有其專屬的脫敏邏輯。

當(dāng)?shù)竭_(dá)serialize方法時(shí)，序列化器已經(jīng)知道該如何處理字段（例如，是將電話號(hào)碼中間四位替換成星號(hào)，還是將郵箱的用戶名部分脫敏）。然后，它執(zhí)行相應(yīng)的脫敏操作并輸出結(jié)果。

4. 動(dòng)態(tài)性

這種設(shè)計(jì)的一個(gè)關(guān)鍵優(yōu)勢(shì)是其動(dòng)態(tài)性。通過注解和自定義序列化器，我們可以在不同的字段上應(yīng)用不同的脫敏規(guī)則，甚至可以在運(yùn)行時(shí)改變脫敏行為。所有這些都不需要更改實(shí)體類本身的代碼，只需要修改注解或者序列化器的邏輯即可。

5. 解耦

這種方法還有助于將業(yè)務(wù)邏輯（如何脫敏）與數(shù)據(jù)結(jié)構(gòu)（用戶實(shí)體）解耦。你可以在不影響實(shí)體類的情況下，通過修改序列化器來改變脫敏邏輯，使得代碼更加模塊化，易于維護(hù)和測試。

通過Jackson序列化機(jī)制實(shí)現(xiàn)的實(shí)例代碼

步驟 1：定義脫敏注解

首先，定義一個(gè)脫敏注解SensitiveInfo，用來標(biāo)注需要脫敏的字段。

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
public @interface SensitiveInfo {
    SensitiveType type();
}

enum SensitiveType {
    PHONE_NUMBER,
    EMAIL
}

步驟 2：創(chuàng)建自定義序列化器

然后，創(chuàng)建一個(gè)自定義的序列化器SensitiveInfoSerialize來處理標(biāo)注了SensitiveInfo注解的字段。

import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.JsonSerializer;
import com.fasterxml.jackson.databind.SerializerProvider;
import com.fasterxml.jackson.databind.introspect.Annotated;
import com.fasterxml.jackson.databind.ser.ContextualSerializer;

import java.io.IOException;

public class SensitiveInfoSerialize extends JsonSerializer<String> implements ContextualSerializer {

    private SensitiveType type;

    public SensitiveInfoSerialize() {}

    public SensitiveInfoSerialize(SensitiveType type) {
        this.type = type;
    }

    @Override
    public void serialize(String value, JsonGenerator gen, SerializerProvider serializers) throws IOException {
        switch (type) {
            case PHONE_NUMBER:
                gen.writeString(DesensitizationUtil.desensitizePhoneNumber(value));
                break;
            case EMAIL:
                gen.writeString(DesensitizationUtil.desensitizeEmail(value));
                break;
            default:
                gen.writeString(value);
        }
    }

    @Override
    public JsonSerializer<?> createContextual(SerializerProvider prov, BeanProperty property) {
        Annotated annotated = property.getMember();
        SensitiveInfo sensitiveInfo = annotated.getAnnotation(SensitiveInfo.class);
        if (sensitiveInfo != null) {
            return new SensitiveInfoSerialize(sensitiveInfo.type());
        }
        return this;
    }
}

步驟 3：應(yīng)用注解到實(shí)體類

在實(shí)體類User中，使用@JsonSerialize注解結(jié)合SensitiveInfo來指定哪些字段需要脫敏。

public class User {
    private String name;

    @JsonSerialize(using = SensitiveInfoSerialize.class)
    @SensitiveInfo(type = SensitiveType.PHONE_NUMBER)
    private String phoneNumber;

    @JsonSerialize(using = SensitiveInfoSerialize.class)
    @SensitiveInfo(type = SensitiveType.EMAIL)
    private String email;

    // 省略構(gòu)造方法、getter和setter
}

步驟 4：序列化并驗(yàn)證結(jié)果

現(xiàn)在，當(dāng)我們序列化User對(duì)象時(shí)，指定的字段將自動(dòng)進(jìn)行脫敏處理。

public class Main {
    public static void main(String[] args) throws JsonProcessingException {
        User user = new User("Alice", "1234567890", "alice@example.com");
        ObjectMapper mapper = new ObjectMapper();
        String result = mapper.writeValueAsString(user);
        System.out.println(result);
    }
}

當(dāng)運(yùn)行上述代碼時(shí)，你將看到控制臺(tái)輸出脫敏后的用戶信息，其中電話號(hào)碼和郵箱字段已根據(jù)我們的脫敏邏輯進(jìn)行了處理。

這種方法的優(yōu)點(diǎn)是脫敏邏輯與業(yè)務(wù)邏輯解耦，通過注解即可靈活地對(duì)任何字段進(jìn)行脫敏，不需要修改實(shí)體類或者在每次序列化時(shí)手動(dòng)調(diào)用脫敏方法。這樣做使得代碼更加清晰，易于維護(hù)。

到此這篇關(guān)于淺析如何在SpringBoot中實(shí)現(xiàn)數(shù)據(jù)脫敏的文章就介紹到這了,更多相關(guān)SpringBoot實(shí)現(xiàn)數(shù)據(jù)脫敏內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: