devbox
代码探险家
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

SpringBoot接口返回数据脱敏(Mybatis、Jackson)_springboot 电话脱敏

作者:代码探险家 | 2024-08-03 01:26:54

springboot 电话脱敏

一、前言

有时候,我们接口返回的数据需要做一些处理,有一些敏感数据,我们不能全部返回给用户,需要用*号隐藏掉一部分关键数据,使得该敏感数据变得不完全,其他人无法知道脱敏前的数据是什么样的。同时,存储在底层数据库的数据,一些关键信息如用户密码、身份证、手机号等敏感信息,也不能够通过明文的方式存放在数据库中。

数据脱敏有以下几种做法:

1、通过Mybatis处理

2、通过自定义Jackson注解,实现在属性序列化过程中处理数据

3、其他方式

二、Mybatis数据脱敏

在数据库中,根据业务需求存放了不少的有关用户的敏感信息,比如身份证、手机、住址、密码等信息,如果这些数据都是以明文的形式存放的,那么,当数据库被破解后,用户这些重要的信息都会被泄露。

数据加密解密很简单,如果自己手动在插入数据前对数据加密,读取到数据后进行手动解密,那么将会很麻烦。

因此,对于数据库数据的加密解密将采用Mybatis的TypeHandler处理,在我们为数据库提供数据后,会根据我们的需求,对部分数据进行加密。在读取后数据最终到我们手上前,会对读取到数据进行解密。请给位跟随以下的做法,实现Mybatis数据脱敏把。

1、自定义一个TypeHandler类型的处理器,用于处理数据的加密和解密

TypeHandler用于处理数据在数据库类型和java类型之间的转换,默认情况下,我们常用的String、Long、Date等java类型都有对应的TypeHandler进行处理,我们自定义TypeHanler的情况在于目前没有对应的数据转换处理器。

以下为自定义的字符串加密解密处理器:

  1. import cn.hutool.crypto.symmetric.AES;
  2. import org.apache.ibatis.type.BaseTypeHandler;
  3. import org.apache.ibatis.type.JdbcType;
  4. import org.springframework.util.StringUtils;
  5.  
  6. import java.nio.charset.StandardCharsets;
  7. import java.sql.CallableStatement;
  8. import java.sql.PreparedStatement;
  9. import java.sql.ResultSet;
  10. import java.sql.SQLException;
  11. import java.util.Objects;
  12.  
  13. /**
  14.  * mybatis String类型敏感字段处理类
  15.  * 可以通过实现TypeHandler,但是BaseTypeHandler已经实现了,我们可以继承它
  16.  */
  17. public class SensitiveColumnHandler extends BaseTypeHandler<String> {
  18.  
  19.     private static final String key = "wjfgncvkdkd25fc2";
  20.  
  21.     /**
  22.      * 设置参数值,在此处对字段值进行加密处理
  23.      */
  24.     @Override
  25.     public void setNonNullParameter(PreparedStatement ps, int i, String parameter, JdbcType jdbcType) throws SQLException {
  26.         // 如果字段或字段值为空,不进行处理
  27.         if(StringUtils.isEmpty(parameter)){
  28.             ps.setString(i, parameter);
  29.             return;
  30.         }
  31.         // 对字段值进行加密,此处使用hutool工具,有其他使用其他即可
  32.         AES aes = SecureUtil.aes(key.getBytes(StandardCharsets.UTF_8));
  33.         String secretStr = aes.encryptHex(parameter);
  34.         ps.setString(i, secretStr);
  35.     }
  36.  
  37.     /**
  38.      * 获取值内容
  39.      */
  40.     @Override
  41.     public String getNullableResult(ResultSet rs, String columnName) throws SQLException {
  42.         String value = rs.getString(columnName);
  43.         if(Objects.isNull(value)){
  44.             return null;
  45.         }
  46.         // 对字段值进行加密,此处使用hutool工具,有其他使用其他即可
  47.         AES aes = SecureUtil.aes(key.getBytes(StandardCharsets.UTF_8));
  48.         return aes.decryptStr(value);
  49.     }
  50.  
  51.     /**
  52.      * 获取值内容
  53.      */
  54.     @Override
  55.     public String getNullableResult(ResultSet rs, int columnIndex) throws SQLException {
  56.         String value = rs.getString(columnIndex);
  57.         if(Objects.isNull(value)){
  58.             return null;
  59.         }
  60.         // 对字段值就行加密,此处使用hutool工具,有其他使用其他即可
  61.         AES aes = SecureUtil.aes(key.getBytes(StandardCharsets.UTF_8));
  62.         return aes.decryptStr(value);
  63.     }
  64.  
  65.     /**
  66.      * 获取值内容
  67.      */
  68.     @Override
  69.     public String getNullableResult(CallableStatement cs, int columnIndex) throws SQLException {
  70.         String value = cs.getString(columnIndex);
  71.         if(Objects.isNull(value)){
  72.             return null;
  73.         }
  74.         // 对字段值进行加密,此处使用hutool工具,有其他使用其他即可
  75.         AES aes = SecureUtil.aes(key.getBytes(StandardCharsets.UTF_8));
  76.         return aes.decryptStr(value);
  77.     }
  78. }

以上就是我们自定义一个TypeHandler类型的处理器,以下是关于处理器的使用,有分以下两种情况:

1)、全局使用

全局使用需要在配置文件中指定处理器包位置,指定之后,在默认情况下,遇到该处理器能够处理的类型,都将使用该处理器。不建议使用全局的方式使用自定义处理器,比如本文我们的自定义处理器是用于处理String字符串的,全局注册处理器之后,所有的String值将会使用该处理器。但实际情况是,只有在字符串是敏感数据时,我们才需要用到自定义的处理器。

  1. #指定TypeHandler处理器的包位置
  2. type-handlers-package: com.sensitive.learn.handler

2)、局部使用

在我们需要的字段上使用typeHandler表明指定的处理器,没有标注typeHandler的字段,将采用默认的处理器。(此处使用见Mapper.xml)。

2、创建Test实体类

  1. @Data
  2. @Accessors(chain = true)
  3. public class Test {
  4.  
  5.     private Long id;
  6.  
  7.     private String idCard;
  8.  
  9.     private String phone;
  10.     
  11. }

3、创建TestMapper接口类

  1. @Mapper
  2. public interface TestMapper {
  3.  
  4.     List<Test> selectAll();
  5.  
  6.     Boolean insert(Test test);
  7.  
  8. }

4、Myatis Mapper文件,在需要自定义TypeHandler的字段是使用typeHandler属性进行指定

  1. <?xml version="1.0" encoding="UTF-8" ?>
  2. <!DOCTYPE mapper
  3.         PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
  4.         "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
  5. <mapper namespace="com.sensitive.learn.mapper.TestMapper">
  6.  
  7.     <resultMap id="testMap" type="com.sensitive.learn.model.Test">
  8.         <id property="id" column="id"/>
  9.         <result property="idCard" column="id_card" typeHandler="com.sensitive.learn.handler.SensitiveColumnHandler"/>
  10.         <result property="phone" column="phone" typeHandler="com.sensitive.learn.handler.SensitiveColumnHandler"/>
  11.     </resultMap>
  12.  
  13.     <select id="selectAll" resultMap="testMap">
  14.         select id, id_card, phone
  15.         from test
  16.     </select>
  17.  
  18.     <insert id="insert" parameterType="com.sensitive.learn.model.Test">
  19.         insert into test(id, id_card, phone)
  20.         values(#{id},
  21.                #{idCard, typeHandler=com.sensitive.learn.handler.SensitiveColumnHandler},
  22.                #{phone, typeHandler=com.sensitive.learn.handler.SensitiveColumnHandler})
  23.     </insert>
  24.  
  25. </mapper>

5、测试插入与查询

  1. @SpringBootTest
  2. @RunWith(SpringRunner.class)
  3. public class TestClass {
  4.  
  5.     @Resource
  6.     private TestMapper testMapper;
  7.  
  8.     @Test
  9.     public void test1(){
  10.         List<com.sensitive.learn.model.Test> tests = testMapper.selectAll();
  11.         tests.forEach(System.out::println);
  12.  
  13.     }
  14.  
  15.     @Test
  16.     public void test2(){
  17.         com.sensitive.learn.model.Test test = new com.sensitive.learn.model.Test();
  18.         test.setId(6L)
  19.                 .setIdCard("4493888665464654660")
  20.                 .setPhone("1234567890");
  21.         testMapper.insert(test);
  22.     }
  23.  
  24. }

插如之后查看数据库表情况:

 可以看出数据已经经过加密了

查询控制台打印的结果:

Test(id=6, idCard=4493888665464654660, phone=1234567890)

可以看出能够正常解密

好了,以上有关Mybatis的数据脱敏就到此为止了。

三、自定义Jackson数据脱敏

Jackson是Spring默认的序列化框架,以下将通过自定义Jackson注解,实现在序列化过程中对属性值进行处理。

1、定义一个注解,标注在需要脱敏的字段上

  1. import com.boot.learn.enums.SecretStrategy;
  2. import com.boot.learn.serializer.SecretJsonSerializer;
  3. import com.fasterxml.jackson.annotation.JacksonAnnotationsInside;
  4. import com.fasterxml.jackson.databind.annotation.JsonSerialize;
  5.  
  6. import java.lang.annotation.ElementType;
  7. import java.lang.annotation.Retention;
  8. import java.lang.annotation.RetentionPolicy;
  9. import java.lang.annotation.Target;
  10.  
  11.  
  12. @Target(ElementType.FIELD) // 标注在字段上
  13. @Retention(RetentionPolicy.RUNTIME)
  14. @JacksonAnnotationsInside // 一般用于将其他的注解一起打包成"组合"注解
  15. @JsonSerialize(using = SecretJsonSerializer.class) // 对标注注解的字段采用哪种序列化器进行序列化
  16. public @interface SecretColumn {
  17.  
  18.     // 脱敏策略
  19.     SecretStrategy strategy();
  20.  
  21. }

2、定义字段序列化策略,因为不同类型数据有不同脱敏后的展现形式。以下通过枚举类方式实现几种策略:

  1. /**
  2.  * 脱敏策略,不同数据可选择不同的策略
  3.  */
  4. @Getter
  5. public enum SecretStrategy {
  6.  
  7.     /**
  8.      * 用户名脱敏
  9.      */
  10.     USERNAME(str -> str.replaceAll("(\\S)\\S(\\S*)", "$1*$2")),
  11.  
  12.     /**
  13.      * 身份证脱敏
  14.      */
  15.     ID_CARD(str -> str.replaceAll("(\\d{4})\\d{10}(\\w{4})", "$1****$2")),
  16.  
  17.     /**
  18.      * 手机号脱敏
  19.      */
  20.     PHONE(str -> str.replaceAll("(\\d{3})\\d{4}(\\d{4})", "$1****$2")),
  21.  
  22.     /**
  23.      * 地址脱敏
  24.      */
  25.     ADDRESS(str -> str.replaceAll("(\\S{3})\\S{2}(\\S*)\\S{2}", "$1****$2****"));
  26.  
  27.     private final Function<String, String> desensitizer;
  28.  
  29.     SecretStrategy(Function<String, String> desensitizer){
  30.         this.desensitizer = desensitizer;
  31.     }
  32.  
  33.  
  34.  
  35. }

3、定义一个Jackson序列化器,可以对标注了@SecretColumn 的注解进行处理

  1. /**
  2.  * 序列化器实现
  3.  */
  4. public class SecretJsonSerializer extends JsonSerializer<String> implements ContextualSerializer {
  5.  
  6.     private SecretStrategy secretStrategy;
  7.  
  8.     /**
  9.      * 步骤一
  10.      * 方法来源于ContextualSerializer,获取属性上的注解属性,同时返回一个合适的序列化器
  11.      */
  12.     @Override
  13.     public JsonSerializer<?> createContextual(SerializerProvider serializerProvider, BeanProperty beanProperty) throws JsonMappingException {
  14.         // 获取自定义注解
  15.         SecretColumn annotation = beanProperty.getAnnotation(SecretColumn.class);
  16.         // 注解不为空,且标注的字段为String
  17.         if(Objects.nonNull(annotation) && Objects.equals(String.class, beanProperty.getType().getRawClass())){
  18.             this.secretStrategy = annotation.strategy();
  19.             // 符合我们自定义情况,返回本序列化器,将顺利进入到该类中的serialize()方法中
  20.             return this;
  21.         }
  22.         // 注解为空,字段不为String,寻找合适的序列化器进行处理
  23.         return serializerProvider.findValueSerializer(beanProperty.getType(), beanProperty);
  24.     }
  25.  
  26.     /**
  27.      * 步骤二
  28.      * 方法来源于JsonSerializer<String>:指定返回类型为String类型,serialize()将修改后的数据返回
  29.      */
  30.     @Override
  31.     public void serialize(String s, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException {
  32.         if(Objects.isNull(secretStrategy)){
  33.             // 定义策略为空,返回原字符串
  34.             jsonGenerator.writeString(s);
  35.         }else {
  36.             // 定义策略不为空,返回策略处理过的字符串
  37.             jsonGenerator.writeString(secretStrategy.getDesensitizer().apply(s));
  38.         }
  39.     }
  40. }

4、实体类中使用@SecretColumn注解

  1. @ToString
  2. @Data
  3. @Accessors(chain = true)
  4. public class User {
  5.  
  6.     /**
  7.      * 真实姓名
  8.      */
  9.     @SecretColumn(strategy = SecretStrategy.USERNAME)
  10.     private String realName;
  11.  
  12.     /**
  13.      * 地址
  14.      */
  15.     @SecretColumn(strategy = SecretStrategy.ADDRESS)
  16.     private String address;
  17.  
  18.     /**
  19.      * 电话号码
  20.      */
  21.     @SecretColumn(strategy = SecretStrategy.PHONE)
  22.     private String phoneNumber;
  23.  
  24.     /**
  25.      * 身份证号码
  26.      */
  27.     @SecretColumn(strategy = SecretStrategy.ID_CARD)
  28.     private String idCard;
  29.  
  30. }

5、测试

  1. @RestController
  2. @RequestMapping("/secret")
  3. public class SecretController {
  4.  
  5.     @GetMapping("/test")
  6.     public User test(){
  7.         User user = new User();
  8.         user.setRealName("陈平安")
  9.                 .setPhoneNumber("12345678910")
  10.                 .setAddress("浩然天下宝瓶洲骊珠洞天泥瓶巷")
  11.                 .setIdCard("4493888665464654659");
  12.         System.out.println(user);
  13.         return user;
  14.     }
  15.  
  16. }

输出结果:

1)控制台打印结果

User(realName=陈平安, address=浩然天下宝瓶洲骊珠洞天泥瓶巷, phoneNumber=12345678910, idCard=4493888665464654659)

2)浏览器结果

{"realName":"陈*安","address":"浩然天****瓶洲骊珠洞天泥****","phoneNumber":"123****8910","idCard":"4493****54659"}

结论:通过自定义Jackson实现数据脱敏,猜测生效的过程是在接口返回对象数据时,序列化器将对象数据转换成json数据时实现的。

可以在代码中通过ObjectMapper序列化对象,同样能够得到脱敏后的数据:

  1. ObjectMapper objectMapper = new ObjectMapper();
  2. try {
  3.     System.out.println(objectMapper.writeValueAsString(user));
  4. } catch (JsonProcessingException e) {
  5.     e.printStackTrace();
  6. }

控制台打印结果:

{"realName":"陈*安","address":"浩然天****瓶洲骊珠洞天泥****","phoneNumber":"123****8910","idCard":"4493****54659"}

注意:如果使用的不是Jackson,而是fastjson或者其他的序列化工具,则需要使用定义对应组件能够识别的序列化器,否则,序列化将不生效。

四、总结

以上是关于接口数据脱敏两个方面的实现,一方面是通过Mybatis实现,一方面是通过Jackson实现,大家可以通过自己的业务需求灵活组合使用,事半功倍!

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/代码探险家/article/detail/920838
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号