自定义Jackson序列化器进行数据脱敏

前言

Jackson 是用来序列化和反序列化 json 的 Java 的开源框架。Spring MVC 的默认 json 解析器便是 Jackson。与其他 Java 的 json 的框架 Gson 等相比, Jackson 解析大的 json 文件速度比较快;Jackson 运行时占用内存比较低,性能比较好;Jackson 有灵活的 API,可以很容易进行扩展和定制。
在有些业务场景下,后台保存的敏感数据不适宜在前端(或传输)直接展示,需要将敏感数据脱敏后返回,比较简单的方式是自定义Jackson序列化器进行数据脱敏。

自定义注解

package com.cube.share.jackson.annotation;

import com.cube.share.jackson.serializer.SensitiveDataSerializer;
import com.fasterxml.jackson.annotation.JacksonAnnotationsInside;
import com.fasterxml.jackson.databind.annotation.JsonSerialize;

import java.lang.annotation.*;

/**
 * @author poker.li
 * @date 2021/8/16 15:44
 * <p>
 * 需要脱密的字段注解
 */
@Retention(RetentionPolicy.RUNTIME)
@Documented
@JacksonAnnotationsInside
@Target(ElementType.FIELD)
@JsonSerialize(using = SensitiveDataSerializer.class)
public @interface SensitiveData {

    /**
     * 默认的字段脱敏替换字符串
     */
    String DEFAULT_REPLACE_STRING = "*";

    /**
     * 脱敏策略
     */
    Strategy strategy() default Strategy.TOTAL;

    /**
     * 脱敏长度,在Strategy.TOTAL策略下忽略该字段
     */
    int length() default 0;

    /**
     * 脱敏字段替换字符
     */
    String replaceStr() default DEFAULT_REPLACE_STRING;

    enum Strategy {
        /**
         * 全部
         */
        TOTAL,
        /**
         * 从左边开始
         */
        LEFT,
        /**
         * 从右边开始
         */
        RIGHT
    }
}

这个注解比较简单,注释很详细就不赘述了。

自定义序列化器

package com.cube.share.jackson.serializer;

import com.cube.share.jackson.annotation.SensitiveData;
import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.BeanProperty;
import com.fasterxml.jackson.databind.JsonSerializer;
import com.fasterxml.jackson.databind.SerializerProvider;
import com.fasterxml.jackson.databind.ser.ContextualSerializer;
import org.apache.commons.lang3.StringUtils;

import java.io.IOException;

/**
 * @author poker.li
 * @date 2021/8/16 19:32
 * <p>
 * 脱敏字段序列化器
 */
public class SensitiveDataSerializer extends JsonSerializer<String> implements ContextualSerializer {

    private SensitiveData sensitiveData;

    public SensitiveDataSerializer(SensitiveData sensitiveData) {
        this.sensitiveData = sensitiveData;
    }

    public SensitiveDataSerializer() {
    }


    @Override
    public void serialize(String value, JsonGenerator gen, SerializerProvider serializers) throws IOException {
        if (StringUtils.isBlank(value)) {
            gen.writeString(value);
            return;
        }

        if (sensitiveData != null) {
            final SensitiveData.Strategy strategy = sensitiveData.strategy();
            final int length = sensitiveData.length();
            final String replaceString = sensitiveData.replaceStr();
            gen.writeString(getValue(value, strategy, length, replaceString));
        } else {
            gen.writeString(value);
        }

    }

    @Override
    public JsonSerializer<?> createContextual(SerializerProvider prov, BeanProperty property) {
        SensitiveData annotation = property.getAnnotation(SensitiveData.class);

        if (annotation != null) {
            return new SensitiveDataSerializer(annotation);
        }
        return this;
    }

    private String getValue(String rawStr, SensitiveData.Strategy strategy, int length, String replaceString) {
        switch (strategy) {
            case TOTAL:
                return rawStr.replaceAll("[\\s\\S]", replaceString);
            case LEFT:
                return replaceByLength(rawStr, length, replaceString, true);
            case RIGHT:
                return replaceByLength(rawStr, length, replaceString, false);
            default:
                throw new IllegalArgumentException("Illegal Sensitive Strategy");
        }
    }

    private String replaceByLength(String rawStr, int length, String replaceString, boolean fromLeft) {
        if (StringUtils.isBlank(rawStr)) {
            return rawStr;
        }
        if (rawStr.length() <= length) {
            return rawStr.replaceAll("[\\s\\S]", replaceString);
        }

        if (fromLeft) {
            return getSpecStringSequence(length, replaceString) + rawStr.substring(length);
        } else {
            return rawStr.substring(0, length) + getSpecStringSequence(length, replaceString);
        }
    }

    private String getSpecStringSequence(int length, String str) {
        StringBuilder stringBuilder = new StringBuilder();
        for (int i = 0; i < length; i++) {
            stringBuilder.append(str);
        }
        return stringBuilder.toString();
    }
}

通过自定义序列化器改变使用注解 @SensitiveData字段在序列化时的表现,将其全部或部分使用特殊字符替换,从而达到脱敏的效果。

这里有必要提一下ContextualSerializer这个接口,ContextualSerializer内只有一个方法createContextual,自定义JsonSerializer实现ContextualSerializer后,该序列化器可以根据所要序列化属性(实体类的属性)的类型或者配置的注解类型来改变该属性的序列化行为;方法createContextual的声明如下:

public JsonSerializer<?> createContextual(SerializerProvider prov, BeanProperty property)
        throws JsonMappingException;

参数SerializerProvider prov表示序列化器提供者,用于获取序列化配置或者其他序列化器,参数BeanProperty property表示代表这个属性的方法或者字段,用于获取要序列化的值。该方法的返回结果是一个序列化器,根据所要实现的序列化行为来决定是返回当前序列化器还是新建一个序列化器,从而改变序列化时的行为。
因此,在实现自定义序列化器时,可以通过判断某一字段上是否具有 @SensitiveData,如果有,获取该注解的属性并新建一个序列化器,改变当前字段在序列化时的行为。

测试

实体类声明如下:

package com.cube.share.jackson.entity;

import com.cube.share.jackson.annotation.SensitiveData;
import com.fasterxml.jackson.annotation.JsonFormat;
import com.fasterxml.jackson.annotation.JsonUnwrapped;
import lombok.AllArgsConstructor;
import lombok.Builder;
import lombok.Data;
import lombok.NoArgsConstructor;

import java.time.LocalDate;
import java.time.LocalDateTime;

/**
 * @author poker.li
 * @date 2021/8/16 14:16
 */
@Data
@NoArgsConstructor
@AllArgsConstructor
@Builder
public class Person {

    private Long id;

    private String name;

    private String address;

    private Integer age;

    @JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss")
    private LocalDateTime createAt;

    private LocalDateTime updateAt;

    @JsonFormat(pattern = "yyyy-MM-dd")
    private LocalDate lastLoginDate;

    @SensitiveData(strategy = SensitiveData.Strategy.LEFT, length = 6, replaceStr = "*")
    private String mobile;

    @JsonUnwrapped
    private Role role;
}

其中,字段手机号的前六位需要进行脱敏处理,并且使用'*'填充前六位。

package com.cube.share.jackson.controller;

import com.cube.share.base.templates.ApiResult;
import com.cube.share.jackson.entity.Person;
import com.cube.share.jackson.entity.Role;
import lombok.extern.slf4j.Slf4j;
import org.springframework.web.bind.annotation.*;

import java.time.LocalDate;
import java.time.LocalDateTime;

/**
 * @author poker.li
 * @date 2021/8/16 14:17
 */
@RestController
@RequestMapping("/person")
@Slf4j
public class PersonController {

    @GetMapping("/detail/{id}")
    public ApiResult detail(@PathVariable("id") Long id) {
        Role role = new Role();
        role.setId(12L);
        role.setRoleName("管理员");
        return ApiResult.success(Person.builder()
                .id(id)
                .age(18)
                .name("lis")
                .address("北京")
                .createAt(LocalDateTime.now())
                .updateAt(LocalDateTime.now())
                .lastLoginDate(LocalDate.now())
                .mobile("15824984456")
                .role(role)
                .build());
    }

    @PostMapping("/save")
    public ApiResult save(@RequestBody Person person) {
        log.info("用户信息: {}", person);
        return ApiResult.success();
    }
}

调用详情接口响应如下:

{
code: 200,
msg: null,
data: {
id: 1,
name: "lis",
address: "北京",
age: 18,
createAt: "2021-08-18 21:53:04",
updateAt: "2021-08-18T21:53:04.346",
lastLoginDate: "2021-08-18",
mobile: "******84456",
roleName: "管理员",
desc: null,
roleId: 12
}
}

可以看出手机号返回值已经脱敏。

示例代码:https://gitee.com/li-cube/share/tree/master/jackson

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,047评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,807评论 3 386
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,501评论 0 348
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,839评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 65,951评论 6 386
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,117评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,188评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,929评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,372评论 1 303
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,679评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,837评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,536评论 4 335
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,168评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,886评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,129评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,665评论 2 362
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,739评论 2 351

推荐阅读更多精彩内容