【深度思考】如何優雅的實現脫敏?
最近做了個脫敏的需求,要對系統中的敏感資訊,如手機號、車牌號、身份證號、銀行卡號等進行脫敏顯示。
效果類似下面這樣:
簡單來說,就是對敏感資訊中的某幾位進行掩碼顯示,常見的一般是使用*。
本篇文章就來講解下在專案中該如何優雅的實現脫敏。
1. 工具類
首先,需要明確下脫敏規則:
-
手機號
顯示前3位和後4位元,中間4位元脫敏,如
182****6791。 -
車牌號
顯示前3位和後1位,其餘位脫敏,如
滬B0***8。 -
身份證號
顯示前3位和後4位元,其餘位脫敏,如
410***********0007。 -
銀行卡號
顯示前4位元和後4位元,其餘位脫敏,並且每4位元分隔,如
6214 **** **** 8533。
然後,需要一個實現了以上脫敏規則的工具類,這個工具類可以使用公司統一提供的,也可以使用第三方類庫的,
或者使用自己實現的。
本篇文章使用第三方類庫Hutool中自帶的脫敏工具類DesensitizedUtil。
如果專案中之前沒有使用過Hutool,需要新增以下依賴:
<dependency>
<groupId>cn.hutool</groupId>
<artifactId>hutool-core</artifactId>
<version>5.8.4</version>
</dependency>
使用範例:
System.out.println(DesensitizedUtil.mobilePhone("18216556791"));
System.out.println(DesensitizedUtil.carLicense("滬B08U28"));
System.out.println(DesensitizedUtil.idCardNum("410328200001010007", 3, 4));
System.out.println(DesensitizedUtil.bankCard("6214856213978533"));
輸出結果:
2. 寫死方案
所謂寫死方案,就是在所有需要脫敏的地方都呼叫下上面工具類提供的方法。
這種方案的優點是簡單,容易理解,能很好的評估改動影響的範圍,缺點是程式碼耦合度高,如果涉及脫敏的介面很多,
那改動起來簡直是災難。
因此,這種方案推薦在涉及脫敏的介面很少的情況下使用,如果涉及脫敏的介面很多,推薦使用下文講解的使用註解的方案。
3. 使用註解方案
使用註解方案,指的是介面資料在返回之前,通過執行自定義序列化器的邏輯達到脫敏的效果,
這種方案需要在欄位上新增自定義註解來標識這個欄位需要進行脫敏以及脫敏的規則,
優點是程式碼耦合度低,脫敏程式碼和業務程式碼不耦合,缺點是有一定的理解成本,不能很好的評估改動影響的範圍。
那如何使用註解來實現脫敏呢?
首先,定義一個脫敏型別的列舉:
/**
* 脫敏型別
*/
public enum DesensitizeType {
/**
* 手機號
*/
MOBILE_PHONE,
/**
* 車牌號
*/
LICENSE_NUMBER,
/**
* 身份證號
*/
ID_CARD,
/**
* 銀行卡
*/
BANK_CARD,
/**
* 自定義
*/
CUSTOM
}
然後,定義一個脫敏的註解:
@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
@JacksonAnnotationsInside
@JsonSerialize(using = DesensitizeSerializer.class)
public @interface Desensitize {
/**
* 脫敏型別
*/
DesensitizeType type() default DesensitizeType.CUSTOM;
/**
* 開始位置(包含)
*/
int startIndex() default 0;
/**
* 結束位置(不包含)
*/
int endIndex() default 0;
}
上面程式碼中的@Target和@Retention是JDK自帶的元註解,@JacksonAnnotationsInside和@JsonSerialize屬於
jackson-databind下的註解,而spring-boot-starter-web下包含了jackson-databind,因此大部分專案不需要單獨新增依賴:
重點看下@JsonSerialize(using = DesensitizeSerializer.class),該行程式碼指定json序列化時使用自定義的
脫敏序列化類DesensitizeSerializer,其程式碼如下所示:
/**
* 脫敏序列化類
*/
public class DesensitizeSerializer extends JsonSerializer<String> implements ContextualSerializer {
private DesensitizeType type;
private Integer startIndex;
private Integer endIndex;
public DesensitizeSerializer() {
}
public DesensitizeSerializer(DesensitizeType type, Integer startIndex, Integer endIndex) {
this.type = type;
this.startIndex = startIndex;
this.endIndex = endIndex;
}
@Override
public void serialize(String value, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException {
switch (type) {
// 手機號脫敏
case MOBILE_PHONE:
jsonGenerator.writeString(DesensitizedUtil.mobilePhone(String.valueOf(value)));
break;
// 車牌號脫敏
case LICENSE_NUMBER:
jsonGenerator.writeString(DesensitizedUtil.carLicense(String.valueOf(value)));
break;
// 身份證號脫敏
case ID_CARD:
jsonGenerator.writeString(DesensitizedUtil.idCardNum(String.valueOf(value), 3, 4));
break;
// 銀行卡脫敏
case BANK_CARD:
jsonGenerator.writeString(DesensitizedUtil.bankCard(String.valueOf(value)));
break;
// 自定義脫敏
case CUSTOM:
jsonGenerator.writeString(CharSequenceUtil.hide(value, startIndex, endIndex));
break;
default:
break;
}
}
@Override
public JsonSerializer<?> createContextual(SerializerProvider serializerProvider, BeanProperty beanProperty) throws JsonMappingException {
if (beanProperty != null) {
// 判斷資料型別是否為String型別
if (Objects.equals(beanProperty.getType().getRawClass(), String.class)) {
// 獲取定義的註解
Desensitize desensitize = beanProperty.getAnnotation(Desensitize.class);
// 為null
if (desensitize == null) {
desensitize = beanProperty.getContextAnnotation(Desensitize.class);
}
// 不為null
if (desensitize != null) {
// 建立定義的序列化類的範例並且返回,入參為註解定義的type,開始位置,結束位置。
return new DesensitizeSerializer(desensitize.type(), desensitize.startIndex(),
desensitize.endIndex());
}
}
return serializerProvider.findValueSerializer(beanProperty.getType(), beanProperty);
}
return serializerProvider.findNullValueSerializer(null);
}
}
該類實現了com.fasterxml.jackson.databind.ser.ContextualSerializer介面並重寫了createContextual方法,
該方法會解析欄位的型別是不是String以及欄位上有沒有之前自定義的註解Desensitize,如果有的話,
就返回自定義的序列化類的範例,建立範例時用到了註解中的引數。
該類還繼承了com.fasterxml.jackson.databind.JsonSerializer類並重寫了serialize方法,
該方法會判斷脫敏的型別,執行具體的脫敏邏輯,這裡用到了之前提到的脫敏工具類。
最後,新建介面進行驗證:
@Getter
@Setter
public class CarInfoVO {
@Desensitize(type = DesensitizeType.LICENSE_NUMBER)
private String licenseNumber;
@Desensitize(type = DesensitizeType.MOBILE_PHONE)
private String ownerMobile;
@Desensitize(type = DesensitizeType.ID_CARD)
private String ownerIdCard;
@Desensitize(type = DesensitizeType.BANK_CARD)
private String ownerBankCardNo;
@Desensitize(type = DesensitizeType.CUSTOM, startIndex = 0, endIndex = 1)
private String ownerName;
}
@GetMapping("/car/info")
@ResponseBody
public WebResult<CarInfoVO> queryCarInfo() {
CarInfoVO carInfoVO = new CarInfoVO();
carInfoVO.setLicenseNumber("滬B08U28");
carInfoVO.setOwnerMobile("18216556791");
carInfoVO.setOwnerIdCard("410328200001010007");
carInfoVO.setOwnerBankCardNo("6214856213978533");
carInfoVO.setOwnerName("葉子農");
return WebResult.success(carInfoVO);
}
輸出結果:
4. 注意事項
4.1 無參建構函式不要刪
上文中新建的自定義序列化類的無參建構函式表面上看沒有任何呼叫,在IDEA中看著是下圖這樣的:
但千萬不要手賤刪除(我就手賤了,哈哈),否則會拋執行時異常:
4.2 自定義脫敏註解不生效
如果上文中提到的每一步都正常操作了,但自定義脫敏註解還是不生效:
那很可能是Spring Boot預設的訊息轉換器被替換成fastjson了,因為Spring Boot預設是使用jackson進行序列化的,上面的方案也是
基於jackson的,但如果專案中明確指定了使用fastjson進行序列化,那上面的自定義脫敏註解就不會生效:
@Bean
public HttpMessageConverters httpMessageConverters() {
FastJsonConfig fastJsonConfig = new FastJsonConfig();
fastJsonConfig.setSerializerFeatures(SerializerFeature.WriteMapNullValue, SerializerFeature.BrowserCompatible);
FastJsonHttpMessageConverter fastJsonHttpMessageConverter = new FastJsonHttpMessageConverter();
fastJsonHttpMessageConverter.setFastJsonConfig(fastJsonConfig);
return new HttpMessageConverters(fastJsonHttpMessageConverter);
}
此時的解決方案是新建過濾器類,實現com.alibaba.fastjson.serializer.ValueFilter介面並重寫process方法:
public class DesensitizeValueFilter implements ValueFilter {
@Override
public Object process(Object object, String name, Object value) {
try {
Field field = object.getClass().getDeclaredField(name);
Desensitize desensitize = field.getAnnotation(Desensitize.class);
if (desensitize == null) {
return value;
}
if (!(value instanceof String) || ((String) value).length() == 0) {
return value;
}
String valueStr = (String) value;
DesensitizeType type = desensitize.type();
switch (type) {
// 手機號脫敏
case MOBILE_PHONE:
return DesensitizedUtil.mobilePhone(valueStr);
// 車牌號脫敏
case LICENSE_NUMBER:
return DesensitizedUtil.carLicense(valueStr);
// 身份證號脫敏
case ID_CARD:
return DesensitizedUtil.idCardNum(valueStr, 3, 4);
// 銀行卡脫敏
case BANK_CARD:
return DesensitizedUtil.bankCard(valueStr);
// 自定義脫敏
case CUSTOM:
return CharSequenceUtil.hide(valueStr, desensitize.startIndex(), desensitize.endIndex());
default:
break;
}
} catch (NoSuchFieldException e) {
return value;
}
return value;
}
}
然後在上面宣告httpMessageConverters()的地方新增以下程式碼:
fastJsonConfig.setSerializeFilters(new DesensitizeValueFilter());
此時,上文中自定義的脫敏註解中,@JacksonAnnotationsInside和@JsonSerialize(using = DesensitizeSerializer.class)
可以移除:
再次執行驗證,會發現自定義脫敏註解生效了:
4.3 注意影響範圍
在VO的某個欄位上加上@Desensitize(type = DesensitizeType.MOBILE_PHONE)後,所有使用到該VO的介面,在返回資料時,
該欄位都會被脫敏,如果列表頁介面和詳情介面共用了這個VO,但實際情況是列表頁該欄位需要脫敏,編輯頁該欄位不需要脫敏,
這種場景就需要特別注意。