SpringBoot利用自定義注解實(shí)現(xiàn)隱私數(shù)據(jù)脫敏(加密顯示)的解決方案

更新時(shí)間：2023年11月29日 10:29:50 作者：Taoge526

這兩天在整改等保測(cè)出的問(wèn)題,里面有一個(gè)“用戶(hù)信息泄露”的風(fēng)險(xiǎn)項(xiàng)（就是后臺(tái)系統(tǒng)里用戶(hù)的一些隱私數(shù)據(jù)直接明文顯示了）,其實(shí)指的就是要做數(shù)據(jù)脫敏,本文給大家介紹了SpringBoot利用自定義注解實(shí)現(xiàn)隱私數(shù)據(jù)脫敏(加密顯示)的解決方案,需要的朋友可以參考下

前言

這兩天在整改等保測(cè)出的問(wèn)題，里面有一個(gè)“用戶(hù)信息泄露”的風(fēng)險(xiǎn)項(xiàng)（就是后臺(tái)系統(tǒng)里用戶(hù)的一些隱私數(shù)據(jù)直接明文顯示了），其實(shí)指的就是要做數(shù)據(jù)脫敏。

數(shù)據(jù)脫敏：把系統(tǒng)里的一些敏感數(shù)據(jù)進(jìn)行加密處理后再返回，達(dá)到保護(hù)隱私作用，實(shí)現(xiàn)效果圖如下：

其實(shí)要實(shí)現(xiàn)上面的效果，可能最先想到的方法是直接改每個(gè)controller接口，在返回?cái)?shù)據(jù)前做一次加密處理，當(dāng)然這個(gè)方法肯定是非常撈的。這里推薦用注解來(lái)實(shí)現(xiàn)，即高效又優(yōu)雅，省時(shí)省力，支持?jǐn)U展。

其實(shí)解決方案大體上分兩種：

1、在拿到數(shù)據(jù)時(shí)就已經(jīng)脫敏了（如在 mysql 查詢(xún)時(shí)用 insert 函數(shù)進(jìn)行隱藏）

2、拿到數(shù)據(jù)后在序列化的時(shí)候再進(jìn)行脫敏（如用 fastjson、jackson）

這里我所選用的方案是第二種，即在接口返回?cái)?shù)據(jù)前，在序列化的時(shí)候?qū)γ舾凶侄沃颠M(jìn)行處理，并且選用 jackson 的序列化來(lái)實(shí)現(xiàn)（推薦）

1. 創(chuàng)建隱私數(shù)據(jù)類(lèi)型枚舉：PrivacyTypeEnum

import lombok.Getter;

/**
 * 隱私數(shù)據(jù)類(lèi)型枚舉
 */
@Getter
public enum PrivacyTypeEnum {

  /** 自定義（此項(xiàng)需設(shè)置脫敏的范圍）*/
  CUSTOMER,

  /** 姓名 */
  NAME,

  /** 身份證號(hào) */
  ID_CARD,

  /** 手機(jī)號(hào) */
  PHONE,

  /** 郵箱 */
  EMAIL,
}

2. 創(chuàng)建自定義隱私注解：PrivacyEncrypt

import com.fasterxml.jackson.annotation.JacksonAnnotationsInside;
import com.fasterxml.jackson.databind.annotation.JsonSerialize;

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * 自定義數(shù)據(jù)脫敏注解
 */
@Target(ElementType.FIELD) // 作用在字段上
@Retention(RetentionPolicy.RUNTIME) // class文件中保留，運(yùn)行時(shí)也保留，能通過(guò)反射讀取到
@JacksonAnnotationsInside // 表示自定義自己的注解PrivacyEncrypt
@JsonSerialize(using = PrivacySerializer.class) // 該注解使用序列化的方式
public @interface PrivacyEncrypt {

    /**
     * 脫敏數(shù)據(jù)類(lèi)型（沒(méi)給默認(rèn)值，所以使用時(shí)必須指定type）
     */
    PrivacyTypeEnum type();

    /**
     * 前置不需要打碼的長(zhǎng)度
     */
    int prefixNoMaskLen() default 1;

    /**
     * 后置不需要打碼的長(zhǎng)度
     */
    int suffixNoMaskLen() default 1;

    /**
     * 用什么打碼
     */
    String symbol() default "*";
}

3. 創(chuàng)建自定義序列化器：PrivacySerializer

import cn.hutool.core.util.StrUtil;
import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.BeanProperty;
import com.fasterxml.jackson.databind.JsonMappingException;
import com.fasterxml.jackson.databind.JsonSerializer;
import com.fasterxml.jackson.databind.SerializerProvider;
import com.fasterxml.jackson.databind.ser.ContextualSerializer;
import lombok.AllArgsConstructor;
import lombok.NoArgsConstructor;

import java.io.IOException;
import java.util.Objects;

@NoArgsConstructor
@AllArgsConstructor
public class PrivacySerializer extends JsonSerializer<String> implements ContextualSerializer {

    // 脫敏類(lèi)型
    private PrivacyTypeEnum privacyTypeEnum;
    // 前幾位不脫敏
    private Integer prefixNoMaskLen;
    // 最后幾位不脫敏
    private Integer suffixNoMaskLen;
    // 用什么打碼
    private String symbol;

    @Override
    public void serialize(String origin, final JsonGenerator jsonGenerator,
                          final SerializerProvider serializerProvider) throws IOException {
        if (StrUtil.isEmpty(origin)) {
            origin = null;
        }
        if (null != privacyTypeEnum) {
            switch (privacyTypeEnum) {
                case CUSTOMER:
                    jsonGenerator.writeString(PrivacyUtil.desValue(origin, prefixNoMaskLen, suffixNoMaskLen, symbol));
                    break;
                case NAME:
                    jsonGenerator.writeString(PrivacyUtil.hideChineseName(origin));
                    break;
                case ID_CARD:
                    jsonGenerator.writeString(PrivacyUtil.hideIDCard(origin));
                    break;
                case PHONE:
                    jsonGenerator.writeString(PrivacyUtil.hidePhone(origin));
                    break;
                case EMAIL:
                    jsonGenerator.writeString(PrivacyUtil.hideEmail(origin));
                    break;
                default:
                    throw new IllegalArgumentException("unknown privacy type enum " + privacyTypeEnum);
            }
        }
    }

    @Override
    public JsonSerializer<?> createContextual(final SerializerProvider serializerProvider,
                                              final BeanProperty beanProperty) throws JsonMappingException {
        if (null != beanProperty) {
            if (Objects.equals(beanProperty.getType().getRawClass(), String.class)) {
                PrivacyEncrypt privacyEncrypt = beanProperty.getAnnotation(PrivacyEncrypt.class);
                if (null == privacyEncrypt) {
                    privacyEncrypt = beanProperty.getContextAnnotation(PrivacyEncrypt.class);
                }
                if (null != privacyEncrypt) {
                    return new PrivacySerializer(privacyEncrypt.type(), privacyEncrypt.prefixNoMaskLen(),
                            privacyEncrypt.suffixNoMaskLen(), privacyEncrypt.symbol());
                }
            }
            return serializerProvider.findValueSerializer(beanProperty.getType(), beanProperty);
        }
        return serializerProvider.findNullValueSerializer(null);
    }

}

這里是具體的實(shí)現(xiàn)過(guò)程，因?yàn)橐撁舻臄?shù)據(jù)都是 String 類(lèi)型的，所以繼承 JsonSerializer 時(shí)的類(lèi)型填 String

重寫(xiě)的 serialize 方法是實(shí)現(xiàn)脫敏的核心，根據(jù)類(lèi)型 type 的不同去設(shè)置序列化后的值

重寫(xiě)的 createContextual 方法，就是去讀取我們自定義的 PrivacyEncrypt 注解，打造一個(gè)上下文的環(huán)境

【重要】上述代碼已經(jīng)優(yōu)化修改，解決了當(dāng)數(shù)據(jù)庫(kù)表里的字段值為空串、非null時(shí)，Jackson序列化時(shí)報(bào)的異常問(wèn)題

4. 隱私數(shù)據(jù)隱藏工具類(lèi)：PrivacyUtil

public class PrivacyUtil {

    /**
     * 中文名脫敏
     */
    public static String hideChineseName(String chineseName) {
        if (StrUtil.isEmpty(chineseName)) {
            return null;
        }
        if (chineseName.length() <= 2) {
            return desValue(chineseName, 1, 0, "*");
        }
        return desValue(chineseName, 1, 1, "*");
    }

    /**
     * 手機(jī)號(hào)脫敏
     */
    public static String hidePhone(String phone) {
        if (StrUtil.isEmpty(phone)) {
            return null;
        }
        return phone.replaceAll("(\\d{3})\\d{4}(\\d{4})", "$1****$2"); // 隱藏中間4位
//        return desValue(phone, 3, 4, "*"); // 隱藏中間4位
//        return desValue(phone, 7, 0, "*"); // 隱藏末尾4位
    }

    /**
     * 郵箱脫敏
     */
    public static String hideEmail(String email) {
        if (StrUtil.isEmpty(email)) {
            return null;
        }
        return email.replaceAll("(\\w?)(\\w+)(\\w)(@\\w+\\.[a-z]+(\\.[a-z]+)?)", "$1****$3$4");
    }

    /**
     * 身份證號(hào)脫敏
     */
    public static String hideIDCard(String idCard) {
        if (StrUtil.isEmpty(idCard)) {
            return null;
        }
        return idCard.replaceAll("(\\d{4})\\d{10}(\\w{4})", "$1*****$2");
    }

    /**
     * 對(duì)字符串進(jìn)行脫敏操作
     * @param origin          原始字符串
     * @param prefixNoMaskLen 左側(cè)需要保留幾位明文字段
     * @param suffixNoMaskLen 右側(cè)需要保留幾位明文字段
     * @param maskStr         用于遮罩的字符串, 如'*'
     * @return 脫敏后結(jié)果
     */
    public static String desValue(String origin, int prefixNoMaskLen, int suffixNoMaskLen, String maskStr) {
        if (StrUtil.isEmpty(origin)) {
            return null;
        }
        StringBuilder sb = new StringBuilder();
        for (int i = 0, n = origin.length(); i < n; i++) {
            if (i < prefixNoMaskLen) {
                sb.append(origin.charAt(i));
                continue;
            }
            if (i > (n - suffixNoMaskLen - 1)) {
                sb.append(origin.charAt(i));
                continue;
            }
            sb.append(maskStr);
        }
        return sb.toString();
    }

}

這個(gè)工具類(lèi)其實(shí)可以自己定，根據(jù)自己的業(yè)務(wù)去擴(kuò)展，提兩點(diǎn)：

這個(gè)工具類(lèi)不管脫敏什么，一定要先判斷參數(shù)是否為空，若為空，則直接返回null，這樣 jsonGenerator.writeString() 正常執(zhí)行
在自定義注解 PrivacyEncrypt 里，只有 type 的值為 PrivacyTypeEnum.CUSTOMER（自定義）時(shí)，才需要指定脫敏范圍，即 prefixNoMaskLen 和 suffixNoMaskLen 的值，像郵箱、手機(jī)號(hào)這種隱藏格式都可以采用固定的

5. 注解使用

直接在需要脫敏的字段上加上注解，指定 type 值即可（一般在返回的VO實(shí)體類(lèi)中的字段上使用），如下：

@Data
public class People {

    private Integer id;

    private String name;

    private Integer sex;

    private Integer age;

    @PrivacyEncrypt(type = PrivacyTypeEnum.PHONE) // 隱藏手機(jī)號(hào)
    private String phone;

    @PrivacyEncrypt(type = PrivacyTypeEnum.EMAIL) // 隱藏郵箱
    private String email;

    private String sign;
}

到這里，脫敏工作就已經(jīng)結(jié)束了，全局使用這一個(gè)注解即可，一勞永逸，支持?jǐn)U展，測(cè)試效果圖如下：