最近做了個脫敏的需求,要對系統中的敏感信息,如手機號、車牌號、身份證號、銀行卡號等進行脫敏顯示。 效果類似下麵這樣:  簡單來說,就是對敏感信息中的某幾位進 ...
最近做了個脫敏的需求,要對系統中的敏感信息,如手機號、車牌號、身份證號、銀行卡號等進行脫敏顯示。
效果類似下麵這樣:
簡單來說,就是對敏感信息中的某幾位進行掩碼顯示,常見的一般是使用*。
本篇文章就來講解下在項目中該如何優雅的實現脫敏。
1. 工具類
首先,需要明確下脫敏規則:
-
手機號
顯示前3位和後4位,中間4位脫敏,如
182****6791。 -
車牌號
顯示前3位和後1位,其餘位脫敏,如
滬B0***8。 -
身份證號
顯示前3位和後4位,其餘位脫敏,如
410***********0007。 -
銀行卡號
顯示前4位和後4位,其餘位脫敏,並且每4位分隔,如
6214 **** **** 8533。
然後,需要一個實現了以上脫敏規則的工具類,這個工具類可以使用公司統一提供的,也可以使用第三方類庫的,
或者使用自己實現的。
本篇文章使用第三方類庫Hutool中自帶的脫敏工具類DesensitizedUtil。
如果項目中之前沒有使用過Hutool,需要添加以下依賴:
<dependency>
<groupId>cn.hutool</groupId>
<artifactId>hutool-core</artifactId>
<version>5.8.4</version>
</dependency>
使用示例:
System.out.println(DesensitizedUtil.mobilePhone("18216556791"));
System.out.println(DesensitizedUtil.carLicense("滬B08U28"));
System.out.println(DesensitizedUtil.idCardNum("410328200001010007", 3, 4));
System.out.println(DesensitizedUtil.bankCard("6214856213978533"));
輸出結果:
2. 硬編碼方案
所謂硬編碼方案,就是在所有需要脫敏的地方都調用下上面工具類提供的方法。
這種方案的優點是簡單,容易理解,能很好的評估改動影響的範圍,缺點是代碼耦合度高,如果涉及脫敏的介面很多,
那改動起來簡直是災難。
因此,這種方案推薦在涉及脫敏的介面很少的情況下使用,如果涉及脫敏的介面很多,推薦使用下文講解的使用註解的方案。
3. 使用註解方案
使用註解方案,指的是介面數據在返回之前,通過執行自定義序列化器的邏輯達到脫敏的效果,
這種方案需要在欄位上添加自定義註解來標識這個欄位需要進行脫敏以及脫敏的規則,
優點是代碼耦合度低,脫敏代碼和業務代碼不耦合,缺點是有一定的理解成本,不能很好的評估改動影響的範圍。
那如何使用註解來實現脫敏呢?
首先,定義一個脫敏類型的枚舉:
/**
* 脫敏類型
*/
public enum DesensitizeType {
/**
* 手機號
*/
MOBILE_PHONE,
/**
* 車牌號
*/
LICENSE_NUMBER,
/**
* 身份證號
*/
ID_CARD,
/**
* 銀行卡
*/
BANK_CARD,
/**
* 自定義
*/
CUSTOM
}
然後,定義一個脫敏的註解:
@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
@JacksonAnnotationsInside
@JsonSerialize(using = DesensitizeSerializer.class)
public @interface Desensitize {
/**
* 脫敏類型
*/
DesensitizeType type() default DesensitizeType.CUSTOM;
/**
* 開始位置(包含)
*/
int startIndex() default 0;
/**
* 結束位置(不包含)
*/
int endIndex() default 0;
}
上面代碼中的@Target和@Retention是JDK自帶的元註解,@JacksonAnnotationsInside和@JsonSerialize屬於
jackson-databind下的註解,而spring-boot-starter-web下包含了jackson-databind,因此大部分項目不需要單獨添加依賴:
重點看下@JsonSerialize(using = DesensitizeSerializer.class),該行代碼指定json序列化時使用自定義的
脫敏序列化類DesensitizeSerializer,其代碼如下所示:
/**
* 脫敏序列化類
*/
public class DesensitizeSerializer extends JsonSerializer<String> implements ContextualSerializer {
private DesensitizeType type;
private Integer startIndex;
private Integer endIndex;
public DesensitizeSerializer() {
}
public DesensitizeSerializer(DesensitizeType type, Integer startIndex, Integer endIndex) {
this.type = type;
this.startIndex = startIndex;
this.endIndex = endIndex;
}
@Override
public void serialize(String value, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException {
switch (type) {
// 手機號脫敏
case MOBILE_PHONE:
jsonGenerator.writeString(DesensitizedUtil.mobilePhone(String.valueOf(value)));
break;
// 車牌號脫敏
case LICENSE_NUMBER:
jsonGenerator.writeString(DesensitizedUtil.carLicense(String.valueOf(value)));
break;
// 身份證號脫敏
case ID_CARD:
jsonGenerator.writeString(DesensitizedUtil.idCardNum(String.valueOf(value), 3, 4));
break;
// 銀行卡脫敏
case BANK_CARD:
jsonGenerator.writeString(DesensitizedUtil.bankCard(String.valueOf(value)));
break;
// 自定義脫敏
case CUSTOM:
jsonGenerator.writeString(CharSequenceUtil.hide(value, startIndex, endIndex));
break;
default:
break;
}
}
@Override
public JsonSerializer<?> createContextual(SerializerProvider serializerProvider, BeanProperty beanProperty) throws JsonMappingException {
if (beanProperty != null) {
// 判斷數據類型是否為String類型
if (Objects.equals(beanProperty.getType().getRawClass(), String.class)) {
// 獲取定義的註解
Desensitize desensitize = beanProperty.getAnnotation(Desensitize.class);
// 為null
if (desensitize == null) {
desensitize = beanProperty.getContextAnnotation(Desensitize.class);
}
// 不為null
if (desensitize != null) {
// 創建定義的序列化類的實例並且返回,入參為註解定義的type,開始位置,結束位置。
return new DesensitizeSerializer(desensitize.type(), desensitize.startIndex(),
desensitize.endIndex());
}
}
return serializerProvider.findValueSerializer(beanProperty.getType(), beanProperty);
}
return serializerProvider.findNullValueSerializer(null);
}
}
該類實現了com.fasterxml.jackson.databind.ser.ContextualSerializer介面並重寫了createContextual方法,
該方法會解析欄位的類型是不是String以及欄位上有沒有之前自定義的註解Desensitize,如果有的話,
就返回自定義的序列化類的實例,創建實例時用到了註解中的參數。
該類還繼承了com.fasterxml.jackson.databind.JsonSerializer類並重寫了serialize方法,
該方法會判斷脫敏的類型,執行具體的脫敏邏輯,這裡用到了之前提到的脫敏工具類。
最後,新建介面進行驗證:
@Getter
@Setter
public class CarInfoVO {
@Desensitize(type = DesensitizeType.LICENSE_NUMBER)
private String licenseNumber;
@Desensitize(type = DesensitizeType.MOBILE_PHONE)
private String ownerMobile;
@Desensitize(type = DesensitizeType.ID_CARD)
private String ownerIdCard;
@Desensitize(type = DesensitizeType.BANK_CARD)
private String ownerBankCardNo;
@Desensitize(type = DesensitizeType.CUSTOM, startIndex = 0, endIndex = 1)
private String ownerName;
}
@GetMapping("/car/info")
@ResponseBody
public WebResult<CarInfoVO> queryCarInfo() {
CarInfoVO carInfoVO = new CarInfoVO();
carInfoVO.setLicenseNumber("滬B08U28");
carInfoVO.setOwnerMobile("18216556791");
carInfoVO.setOwnerIdCard("410328200001010007");
carInfoVO.setOwnerBankCardNo("6214856213978533");
carInfoVO.setOwnerName("葉子農");
return WebResult.success(carInfoVO);
}
輸出結果:
4. 註意事項
4.1 無參構造函數不要刪
上文中新建的自定義序列化類的無參構造函數錶面上看沒有任何調用,在IDEA中看著是下圖這樣的:
但千萬不要手賤刪除(我就手賤了,哈哈),否則會拋運行時異常:
4.2 自定義脫敏註解不生效
如果上文中提到的每一步都正常操作了,但自定義脫敏註解還是不生效:
那很可能是Spring Boot預設的消息轉換器被替換成fastjson了,因為Spring Boot預設是使用jackson進行序列化的,上面的方案也是
基於jackson的,但如果項目中明確指定了使用fastjson進行序列化,那上面的自定義脫敏註解就不會生效:
@Bean
public HttpMessageConverters httpMessageConverters() {
FastJsonConfig fastJsonConfig = new FastJsonConfig();
fastJsonConfig.setSerializerFeatures(SerializerFeature.WriteMapNullValue, SerializerFeature.BrowserCompatible);
FastJsonHttpMessageConverter fastJsonHttpMessageConverter = new FastJsonHttpMessageConverter();
fastJsonHttpMessageConverter.setFastJsonConfig(fastJsonConfig);
return new HttpMessageConverters(fastJsonHttpMessageConverter);
}
此時的解決方案是新建過濾器類,實現com.alibaba.fastjson.serializer.ValueFilter介面並重寫process方法:
public class DesensitizeValueFilter implements ValueFilter {
@Override
public Object process(Object object, String name, Object value) {
try {
Field field = object.getClass().getDeclaredField(name);
Desensitize desensitize = field.getAnnotation(Desensitize.class);
if (desensitize == null) {
return value;
}
if (!(value instanceof String) || ((String) value).length() == 0) {
return value;
}
String valueStr = (String) value;
DesensitizeType type = desensitize.type();
switch (type) {
// 手機號脫敏
case MOBILE_PHONE:
return DesensitizedUtil.mobilePhone(valueStr);
// 車牌號脫敏
case LICENSE_NUMBER:
return DesensitizedUtil.carLicense(valueStr);
// 身份證號脫敏
case ID_CARD:
return DesensitizedUtil.idCardNum(valueStr, 3, 4);
// 銀行卡脫敏
case BANK_CARD:
return DesensitizedUtil.bankCard(valueStr);
// 自定義脫敏
case CUSTOM:
return CharSequenceUtil.hide(valueStr, desensitize.startIndex(), desensitize.endIndex());
default:
break;
}
} catch (NoSuchFieldException e) {
return value;
}
return value;
}
}
然後在上面聲明httpMessageConverters()的地方新增以下代碼:
fastJsonConfig.setSerializeFilters(new DesensitizeValueFilter());
此時,上文中自定義的脫敏註解中,@JacksonAnnotationsInside和@JsonSerialize(using = DesensitizeSerializer.class)
可以移除:
再次運行驗證,會發現自定義脫敏註解生效了:
4.3 註意影響範圍
在VO的某個欄位上加上@Desensitize(type = DesensitizeType.MOBILE_PHONE)後,所有使用到該VO的介面,在返回數據時,
該欄位都會被脫敏,如果列表頁介面和詳情介面共用了這個VO,但實際情況是列表頁該欄位需要脫敏,編輯頁該欄位不需要脫敏,
這種場景就需要特別註意。
