在Spring Boot项目中实现字段的脱敏通常涉及到敏感信息的处理,如用户的姓名、电话号码、电子邮件地址等。脱敏是指在不改变原数据结构的前提下,通过某种方式处理数据,使数据不能直接暴露用户的真实信息。
通过Jackson序列化机制实现的关键点
1. 自定义注解 SensitiveInfo
自定义注解SensitiveInfo是一个标记,它让我们能够在字段上指定该字段需要进行脱敏处理,并定义脱敏类型。当Jackson序列化对象时,并不会直接处理这个注解,而是等待序列化器去识别并根据这个注解的属性来执行相应的逻辑。
2. 自定义序列化器 SensitiveInfoSerialize
SensitiveInfoSerialize继承自JsonSerializer,并实现了ContextualSerializer接口。这个序列化器是脱敏逻辑的核心,其主要方法说明如下:
-
serialize:这是覆盖自JsonSerializer的方法,定义了具体的序列化逻辑。当字段被序列化时,这个方法会被调用,并根据脱敏类型进行相应的处理。 -
createContextual:这是ContextualSerializer接口的方法。Jackson调用此方法来创建一个上下文感知的序列化器实例。此方法检查被注解的字段,提取注解SensitiveInfo的类型,并用这个信息创建一个新的序列化器实例。
3. 序列化过程
当Jackson执行序列化过程时,对于每个字段,它将检查字段是否有自定义的序列化器。如果有(在下边的例子中,是@JsonSerialize指定的SensitiveInfoSerialize),Jackson会使用这个序列化器来处理字段。
在序列化器中,createContextual方法会根据字段的SensitiveInfo注解确定需要使用的脱敏类型。这样,每个字段都可以有其专属的脱敏逻辑。
当到达serialize方法时,序列化器已经知道该如何处理字段(例如,是将电话号码中间四位替换成星号,还是将邮箱的用户名部分脱敏)。然后,它执行相应的脱敏操作并输出结果。
4. 动态性
这种设计的一个关键优势是其动态性。通过注解和自定义序列化器,我们可以在不同的字段上应用不同的脱敏规则,甚至可以在运行时改变脱敏行为。所有这些都不需要更改实体类本身的代码,只需要修改注解或者序列化器的逻辑即可。
5. 解耦
这种方法还有助于将业务逻辑(如何脱敏)与数据结构(用户实体)解耦。你可以在不影响实体类的情况下,通过修改序列化器来改变脱敏逻辑,使得代码更加模块化,易于维护和测试。
通过Jackson序列化机制实现的实例代码
步骤 1:定义脱敏注解
首先,定义一个脱敏注解SensitiveInfo,用来标注需要脱敏的字段。
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
public @interface SensitiveInfo {
SensitiveType type();
}
enum SensitiveType {
PHONE_NUMBER,
EMAIL
}
步骤 2:创建自定义序列化器
然后,创建一个自定义的序列化器SensitiveInfoSerialize来处理标注了SensitiveInfo注解的字段。
import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.JsonSerializer;
import com.fasterxml.jackson.databind.SerializerProvider;
import com.fasterxml.jackson.databind.introspect.Annotated;
import com.fasterxml.jackson.databind.ser.ContextualSerializer;
import java.io.IOException;
public class SensitiveInfoSerialize extends JsonSerializer<String> implements ContextualSerializer {
private SensitiveType type;
public SensitiveInfoSerialize() {}
public SensitiveInfoSerialize(SensitiveType type) {
this.type = type;
}
@Override
public void serialize(String value, JsonGenerator gen, SerializerProvider serializers) throws IOException {
switch (type) {
case PHONE_NUMBER:
gen.writeString(DesensitizationUtil.desensitizePhoneNumber(value));
break;
case EMAIL:
gen.writeString(DesensitizationUtil.desensitizeEmail(value));
break;
default:
gen.writeString(value);
}
}
@Override
public JsonSerializer<?> createContextual(SerializerProvider prov, BeanProperty property) {
Annotated annotated = property.getMember();
SensitiveInfo sensitiveInfo = annotated.getAnnotation(SensitiveInfo.class);
if (sensitiveInfo != null) {
return new SensitiveInfoSerialize(sensitiveInfo.type());
}
return this;
}
}
步骤 3:应用注解到实体类
在实体类User中,使用@JsonSerialize注解结合SensitiveInfo来指定哪些字段需要脱敏。
public class User {
private String name;
@JsonSerialize(using = SensitiveInfoSerialize.class)
@SensitiveInfo(type = SensitiveType.PHONE_NUMBER)
private String phoneNumber;
@JsonSerialize(using = SensitiveInfoSerialize.class)
@SensitiveInfo(type = SensitiveType.EMAIL)
private String email;
// 省略构造方法、getter和setter
}
步骤 4:序列化并验证结果
现在,当我们序列化User对象时,指定的字段将自动进行脱敏处理。
public class Main {
public static void main(String[] args) throws JsonProcessingException {
User user = new User("Alice", "1234567890", "alice@example.com");
ObjectMapper mapper = new ObjectMapper();
String result = mapper.writeValueAsString(user);
System.out.println(result);
}
}
当运行上述代码时,你将看到控制台输出脱敏后的用户信息,其中电话号码和邮箱字段已根据我们的脱敏逻辑进行了处理。
这种方法的优点是脱敏逻辑与业务逻辑解耦,通过注解即可灵活地对任何字段进行脱敏,不需要修改实体类或者在每次序列化时手动调用脱敏方法。这样做使得代码更加清晰,易于维护。
