2020-03-08

思路
1.分析脱敏场景
2.基于Fastjson、Jackson、logback的各种实现
3.总结

文末有代码实现git地址、小星星

一、分析脱敏场景
生产数据,为了保护用户信息,防止用户信息泄露,我们通常需要对数据进行脱敏主要有(手机号、身份证、姓名等)

打印日志脱敏,日志中看到的信息不是完整的比如:183****0001

接口返回信息脱敏,比如用户手机号、银行卡号、身份证等

数据库脱敏存储

题外话:数据库存储目前用的比较多的是密码加密,其它的数据牵扯到查询,加密成本比较高,sharding-jdbc自带数据加密存储及查询,有兴趣的可以了解一下,我们本节主要讲解前两种

二、基于Fastjson、Jackson、logback的各种实现
1、Fastjson实现
实现思路:
自定义注解,可让用户自定义脱敏方式,用于实体类的属性基于ValueFilter进行 属性注解拦截,并多value进行替换脱敏使用json序列化对象是指定自定义序列化Filter
题外话:ValueFilter:对象值过滤器,将要序列化对象的值进行统一
处理

代码实现:

首先自定义注解

@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Desensitization {
​
  /**
   * 脱敏规则类型
   * @return
   */
  DesensitionType type();
​
  /**
   * 附加值, 自定义正则表达式等
   * @return
   */
  String[] attach() default "";
​
}
 

解释:

脱敏规则类型:主要定义了一些常用的类型(手机号、身份证等)

自定义正则表达式,如果常用的不能满足时可自定义

看一下脱敏规则类型

public enum DesensitionType {
  /**
   * 手机号脱敏
   * "(13[0-9]|14[579]|15[0-3,5-9]|16[6]|17[0135678]|18[0-9]|19[89])\\d{8}"
   * "(\\d{3})\\d{4}(\\d{4})"
   */
  PHONE("mobile", "11位手机号", "(13[0-9]|14[579]|15[0-3,5-9]|16[6]|17[0135678]|18[0-9]|19[89])\\d{4}(\\d{4}}", "$1****$2"),
  IDENTITYNO("identityNo", "15或者18身份证号", "(\\w{4})\\w{7,10}(\\w{4})", "$1****$2"),
  BANKCARDNO("bankCardNo", "银行卡号", "(\\d{4})\\d*(\\d{4})", "$1****$2"),
  REALNAME("realname","真实姓名Json类型","(\"realname\":)(\"[\u4E00-\u9FA5]{1})[\u4E00-\u9FA5]{1,}(\")","$1$2**$3"),
  REALNAME2("realname","真实姓名toString类型","(realname=)([\u4E00-\u9FA5]{1})[\u4E00-\u9FA5]{1,}","$1$2**"),
  CUSTOM("custom", "自定义正则处理", ""),
  TRUNCATE("truncate", "字符串截取处理", ""),
  ;
  String type;
  String describe;
  String[] regular;
  DesensitionType(String type, String describe, String... regular) {
    this.type = type;
    this.describe = describe;
    this.regular = regular;
  }

这里主要注意一下第三个参数:是一个数组,通常0位:要脱敏数据的正则匹配,1位:要脱敏成的格式

然后在我们的需要脱敏的对象字段上加上该注解

@Data
public class UserDTO implements Serializable {
  @Desensitization(type=DesensitionType.IDENTITYNO)
  private String identityNo;
  private String name;
  private String realname;
}

接下来编写我们的自定义值过滤器,实现ValueFilter,实现方法process()

@Log4j2
public class FastjsonDesensitizeFilter implements ValueFilter,DesensitizeService {
  @Override
  public Object process(Object object, String name, Object value) {
    if (null == value || !(value instanceof String) || ((String) value).length() == 0) {
      return value;
    }
    try {
      Field field = object.getClass().getDeclaredField(name);
      Desensitization desensitization;
      if (String.class != field.getType() || (desensitization = field.getAnnotation(Desensitization.class)) == null) {
        return value;
      }
      ;
      DesensitionType type = desensitization.type();
      List regular=this.desensitize(type,desensitization);
      if (regular.size() > 1) {
        String match = regular.get(0);
        String result = regular.get(1);
        if (null != match && result != null && match.length() > 0) {
          return ((String) value).replaceAll(match, result);
        }
      }
    } catch (Exception e) {
      log.warn("FastJsonDesensitizeFilter the class {} has no field {}", object.getClass(), name);
    }
    return value;
  }
}

解释:

这里目前只支持String类型的value,大家可以根据需要自定义

获取属性上的注解,根据属性得到相应的脱敏规则类型

按照规则类型进行value替换

然后只要我们在使用fastjson进行序列化的时候指定我们的自定义过滤器即可

public Object beforeBodyWrite(Object body, MethodParameter returnType, MediaType selectedContentType,
      Class selectedConverterType, ServerHttpRequest request, ServerHttpResponse response) {
    log.info("requestUrl 【{}】 request body 【{}】",request.getURI(),JSONObject.toJSONString(body,new FastjsonDesensitizeFilter()));
    return body;
  }
 

打印出来就是这样

requestUrl 【http://localhost:8080/idNo】 request body 【{"code":"000000","data":{"identityNo":"1111****1111","name":"dsf","realname":"张**"},"message":"SUCCESS"}】

2、基于jackson实现数据脱敏

思路跟用fastjson基本一样,只是实现的类不同而已

public class JacksonDesensitize extends JsonSerializer implements ContextualSerializer,DesensitizeService{
  private DesensitionType type;
  @Override
  public void serialize(String value, JsonGenerator jsonGenerator, SerializerProvider serializerProvider)
      throws IOException {
    if (type!=null){
      try {
        List regular=this.desensitize(type,null);
        if (regular.size() > 1) {
          String match = regular.get(0);
          String result = regular.get(1);
          if (null != match && result != null && match.length() > 0) {
            jsonGenerator.writeString ( value.replaceAll(match, result));
          }
        }
      } catch (Exception e) {
        log.warn("JacksonDesensitize has no field {}",  value);
      }
    }
  }
​
  @Override
  public JsonSerializer createContextual(SerializerProvider serializerProvider, BeanProperty beanProperty)
      throws JsonMappingException {
    type = beanProperty.getAnnotation(Desensitization.class).type();
    return this;
  }
}

解释:

获取对象属性上的注解,根据属性得到相应的脱敏规则类型

按照规则类型进行value替换

题外话:这里主要牵扯到要继承JsonSerializer重写serialize()方法实现对象序列化,实现ContextualSerializer接口,实现方法,这个主要是拿到属性上的注解

接下来引用我们的自定义序列化器即可,直接在自定义注解上引用即可

@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
@JsonSerialize(using = JacksonDesensitize.class)
@JacksonAnnotationsInside
public @interface Desensitization {
​
  /**
   * 脱敏规则类型
   * @return
   */
  DesensitionType type();
​
  /**
   * 附加值, 自定义正则表达式等
   * @return
   */
  String[] attach() default "";
​
}

解释:

这里主要看@JsonSerialize(using=JacksonDesensitize.class)就是让json序列化时用我们自定义的

@JacksonAnnotationsInside这个是注解组合出现时用的

我们现在的项目基本都是前后端分离,controller返回的时候一般都是ResponseBody的,正好我们springMVC后台是默认使用Jackson作为序列化的,所以这时候就可以直接使用

返回就是这样的

{
    "code": "000000",
    "message": "SUCCESS",
    "data": {
        "identityNo": "1111****1111",
        "name": "dsf",
        "realname": "张三"
    }
}

3、基于logback进行全局日志脱敏

思路

我们先定义需要脱敏的属性名,就是你真正要打印到日志的属性名字

然后继承logback的MessageConverter重写convert方法

通过正则进行身份证、姓名、手机号的匹配

匹配成功后按规则替换

public class LogDesensitizeConverter  extends MessageConverter {
  /**
   * 日志脱敏开关
   */
  private static Boolean converterCanRun = Boolean.TRUE;
  /**
   * 日志脱敏关键字
   */
  @Override
  public String convert(ILoggingEvent event) {
    // 获取原始日志
    String oriLogMsg = event.getFormattedMessage();
    if (!converterCanRun){
      return oriLogMsg;
    }
    // 获取脱敏后的日志
    DesensitionType[] values = DesensitionType.values();
    for (DesensitionType value : values) {
      if (value.getRegular()!=null && value.getRegular().length>0 && oriLogMsg.contains(value.getType())){
        Matcher matcher = Pattern.compile(value.getRegular()[0]).matcher(oriLogMsg);
        oriLogMsg = matcher.replaceAll(value.getRegular()[1]);
      }
    }
    return oriLogMsg;
  }
}

然后将我们编写完的Converter添加到logback.xml文件引用即可

之后接口用了,日志文件里时这样的



三、总结
SpringMVC默认使用Jackson作为对象序列化,如果想要使用fastjson需要单独配置,然后指定我们的自定义序列化器就可以了

如果单纯的只用fastjson打印日志那么建议在拦截器,或者像本文代码中实现ResponseBodyAdvice去集中打印,不然还要每次都加我们的自定义序列化器

我们使用Jackson和fastjson时使用了自定义注解,当然也可以根据自己的业务提前定义属性值,像logback的方式一样实现也可

复杂的正则很耗cpu但我们的非常简单,并且都有提前过滤

四、现码的代码
git地址:https://gitee.com/carpentor/spring-cloud-example.git​

代码里包含了很多,本文主要看desensitize项目

你可能感兴趣的:(2020-03-08)