MyBatis拦截器优雅实现数据脱敏

西河刘卡车医  金牌会员 | 2023-11-28 21:45:34 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题
楼主

主题 933|帖子 933|积分 2799

背景

现代网络环境中,敏感数据的处理是至关重要的。敏感数据包括个人身份信息、银行账号、手机号码等,泄露这些数据可能导致用户隐私泄露、财产损失等严重后果。因此,对敏感数据进行脱敏处理是一种必要的安全措施。
比如页面上常见的敏感数据都是加*遮挡处理过的,如下图所示。

接下来本文将以Spring Boot和MyBatis框架实现返回数据的脱敏处理。
脱敏工具

脱敏工具有很多种,本文主要介绍和使用hutool工具包提供的脱敏工具类DesensitizedUtil,它提供了常见的手机号、身份证号、银行卡、邮箱等脱敏的方法,将敏感数据部分加*处理。
使用方法如下:
maven项目需要导入hutool包依赖,坐标如下:
  1. <dependency>
  2.     <groupId>cn.hutool</groupId>
  3.     <artifactId>hutool-core</artifactId>
  4.     <version>5.8.4</version>
  5. </dependency>
复制代码
  1. import cn.hutool.core.util.DesensitizedUtil;
  3. public class SensitiveHutoolTest {
  4.     public static void main(String[] args) {
  5.         System.out.println(DesensitizedUtil.mobilePhone("13812345678"));
  6.         System.out.println(DesensitizedUtil.idCardNum("110101200007283706", 3, 4));
  7.         System.out.println(DesensitizedUtil.bankCard("6225809637392380845"));
  8.         System.out.println(DesensitizedUtil.email("zhangsanfeng@test.com"));
  9.     }
  10. }
复制代码
输出如下:
  1. 138****5678
  2. 110***********3706
  3. 6225 **** **** *** 0845
  4. z***********@test.com
复制代码
实现思路


  • 设计一个常用的脱敏类型枚举类。
  • 编写脱敏注解,包含脱敏类型,采用注解的方式对需要脱敏的字段进行标注。
  • 再编写脱敏注解相应的实现逻辑使用MyBatis的拦截器功能对查出的结果集采用反射的处理方式对结果进行脱敏处理,然后将脱敏处理后的结果集再返回。
代码实现


  • 定义脱敏类型枚举
利用hutool工具包,对常见的手机号、身份证号、银行卡号、邮箱进行脱敏处理。还给了一个默认的DEFAULT枚举类型按原数据返回,同时自定义了一个CUSTOM枚举,可根据实现CustomMaskService这个接口去自定义脱敏逻辑。
注意:这里的CUSTOM只是举一个简单的例子,实际情况可能需要根据实际情况扩展输入输出参数等。
  1. import cn.hutool.core.util.DesensitizedUtil;
  2. import lombok.Getter;
  4. public enum SensitiveTypeEnum {
  5.     MOBILE("mobile", "手机号") {
  6.         @Override
  7.         public String maskSensitiveData(String data) {
  8.             //手机号前3位后4位脱敏,中间部分加*处理,比如:138****5678
  9.             return DesensitizedUtil.mobilePhone(data);
  10.         }
  11.     },
  12.     IDENTIFY("identify", "身份证号") {
  13.         @Override
  14.         public String maskSensitiveData(String data) {
  15.             //身份证前3位后4位脱敏,中间部分加*处理,比如:110***********3706
  16.             return DesensitizedUtil.idCardNum(data, 3, 4);
  17.         }
  18.     },
  19.     BANKCARD("bankcard", "银行卡号") {
  20.         @Override
  21.         public String maskSensitiveData(String data) {
  22.             //银行卡号前4位后4位脱敏,中间部分加*处理,比如:6225 **** **** *** 0845
  23.             return DesensitizedUtil.bankCard(data);
  24.         }
  25.     },
  27.     EMAIL("email", "邮箱") {
  28.         @Override
  29.         public String maskSensitiveData(String data) {
  30.             //邮箱@符号后明文显示,@符号前的字符串,只显示第一个字符,其余加*处理,比如:z***********@test.com
  31.             return DesensitizedUtil.email(data);
  32.         }
  33.     },
  34.     DEFAULT("default", "默认") {
  35.         @Override
  36.         public String maskSensitiveData(String data) {
  37.             // 默认原值返回,其他这个也没啥意义^_^
  38.             return data;
  39.         }
  40.     },
  41.     CUSTOM("custom", "自定义") {
  42.         @Override
  43.         public String maskSensitiveData(String data, CustomMaskService customMaskService) {
  44.             // 可以自定义处理的service,根据实际使用情况可能需要添加参数,调整一下即可
  45.             return customMaskService.maskData(data);
  46.         }
  47.     };
  50.     @Getter
  51.     private String type;
  53.     @Getter
  54.     private String desc;
  56.     SensitiveTypeEnum(String type, String desc) {
  57.         this.type = type;
  58.         this.desc = desc;
  59.     }
  61.     /**
  62.      * 遮挡敏感数据
  63.      *
  64.      * @param data
  65.      * @return
  66.      */
  67.     public String maskSensitiveData(String data) {
  68.         return data;
  69.     }
  71.     public String maskSensitiveData(String data, CustomMaskService customMaskService) {
  72.         return null;
  73.     }
  74. }
复制代码

  • 定义一个脱敏注解
  1. import java.lang.annotation.*;
  3. @Documented
  4. @Retention(RetentionPolicy.RUNTIME)
  5. @Target(ElementType.FIELD)
  6. public @interface SensitiveData {
  7.     SensitiveTypeEnum type() default SensitiveTypeEnum.DEFAULT;
  8. }
复制代码

  • 定义并配置一个mybatis拦截器。
  1. import lombok.extern.slf4j.Slf4j;
  2. import org.apache.ibatis.executor.resultset.ResultSetHandler;
  3. import org.apache.ibatis.plugin.Interceptor;
  4. import org.apache.ibatis.plugin.Intercepts;
  5. import org.apache.ibatis.plugin.Invocation;
  6. import org.apache.ibatis.plugin.Signature;
  7. import org.springframework.beans.factory.annotation.Autowired;
  9. import java.lang.reflect.Field;
  10. import java.sql.Statement;
  11. import java.util.List;
  12. import java.util.Map;
  14. @Intercepts({
  15.         @Signature(type = ResultSetHandler.class, method = "handleResultSets", args = {Statement.class})
  16. })
  17. @Slf4j
  18. public class SensitiveDataInterceptor implements Interceptor {
  20.     @Autowired
  21.     private CustomMaskService customMaskService;
  23.     @Override
  24.     public Object intercept(Invocation invocation) throws Throwable {
  25.         Object result = invocation.proceed();
  26.         log.debug("进入数据脱敏拦截器...");
  27.         if (result instanceof List) {
  28.             List<?> resultList = (List<?>) result;
  29.             for (Object obj : resultList) {
  30.                 doSensitiveFields(obj);
  31.             }
  32.         } else if (result instanceof Map) {
  33.             Map<?, ?> resultMap = (Map<?, ?>) result;
  34.             for (Object obj : resultMap.values()) {
  35.                 doSensitiveFields(obj);
  36.             }
  37.         } else {
  38.             doSensitiveFields(result);
  39.         }
  40.         return result;
  41.     }
  43.     private void doSensitiveFields(Object obj) throws IllegalAccessException {
  44.         Field[] fields = obj.getClass().getDeclaredFields();
  45.         for (Field field : fields) {
  46.             if (field.isAnnotationPresent(SensitiveData.class)) {
  47.                 field.setAccessible(true);
  48.                 Object value = field.get(obj);
  49.                 if (value == null) {
  50.                     return;
  51.                 }
  52.                 SensitiveData sensitiveData = field.getAnnotation(SensitiveData.class);
  53.                 SensitiveTypeEnum type = sensitiveData.type();
  54.                 String result;
  55.                 if (type == SensitiveTypeEnum.CUSTOM) {
  56.                     result = type.maskSensitiveData(value.toString(), customMaskService);
  57.                 } else {
  58.                     result = type.maskSensitiveData(value.toString());
  59.                 }
  60.                 field.set(obj, result);
  61.             }
  62.         }
  63.     }
  64. }
复制代码
拦截器注解里写明了要拦截的对象和方法,类:ResultSetHandler,方法:handleResultSets,它是在sql执行完成后拿到结果集并对结果集进行处理再返回。

  • 配置mybatis及拦截器
  1. import com.star95.project.study.mybatisplus.interceptor.SensitiveDataInterceptor;
  2. import org.mybatis.spring.annotation.MapperScan;
  3. import org.springframework.context.annotation.Bean;
  4. import org.springframework.context.annotation.Configuration;
  6. @Configuration
  7. @MapperScan("com.star95.project.study.mybatisplus.mapper")
  8. public class MyBatisPlusConfig {
  10.     @Bean
  11.     public SensitiveDataInterceptor sensitiveDataInterceptor() {
  12.         return new SensitiveDataInterceptor();
  13.     }
  14. }
复制代码

  • 测试
  1. import com.star95.project.study.mybatisplus.interceptor.SensitiveData;
  2. import lombok.Data;
  4. import static com.star95.project.study.mybatisplus.interceptor.SensitiveTypeEnum.*;
  6. @Data
  7. public class UserDto {
  8.     /**
  9.      * id
  10.      */
  11.     private Long id;
  12.     /**
  13.      * 姓名
  14.      */
  15.     @SensitiveData(type = CUSTOM)
  16.     private String name;
  17.     /**
  18.      * 年龄
  19.      */
  20.     private Integer age;
  22.     /**
  23.      * 邮箱
  24.      */
  25.     @SensitiveData(type = EMAIL)
  26.     private String email;
  28.     /**
  29.      * 手机号
  30.      */
  31.     @SensitiveData(type = MOBILE)
  32.     private String mobile;
  34.     /**
  35.      * 身份证号
  36.      */
  37.     @SensitiveData(type = IDENTIFY)
  38.     private String identify;
  40.     /**
  41.      * 银行卡号
  42.      */
  43.     @SensitiveData(type = BANKCARD)
  44.     private String bankcard;
  45. }
复制代码
  1. public interface CustomMaskService {
  2.     String maskData(String data);
  3. }
复制代码
  1. import cn.hutool.core.text.CharSequenceUtil;
  2. import org.springframework.stereotype.Service;
  4. @Service
  5. public class CustomMaskServiceImpl implements CustomMaskService {
  6.     @Override
  7.     public String maskData(String data) {
  8.         //第一个字符明文外,其他都加*处理
  9.         return CharSequenceUtil.hide(data, 1, data.length());
  10.     }
  11. }
复制代码
  1. import com.baomidou.mybatisplus.core.mapper.BaseMapper;
  2. import com.star95.project.study.mybatisplus.dto.User;
  3. import com.star95.project.study.mybatisplus.dto.UserDto;
  4. import org.apache.ibatis.annotations.Mapper;
  5. import org.apache.ibatis.annotations.Select;
  7. import java.util.List;
  9. @Mapper
  10. public interface UserMapper extends BaseMapper<User> {
  11.     @Select({"select * from user where id=#{id}"})
  12.     UserDto getSpecialUser(String id);
  14.     @Select({"select * from user"})
  15.     List<UserDto> queryAll();
  16. }
复制代码
  1. import com.star95.project.study.mybatisplus.dto.UserDto;
  2. import com.star95.project.study.mybatisplus.mapper.UserMapper;
  3. import org.springframework.web.bind.annotation.GetMapping;
  4. import org.springframework.web.bind.annotation.PathVariable;
  5. import org.springframework.web.bind.annotation.RequestMapping;
  6. import org.springframework.web.bind.annotation.RestController;
  8. import javax.annotation.Resource;
  9. import java.util.List;
  11. @RestController
  12. @RequestMapping("/sensitive")
  13. public class SensitiveMybatisInterceptorTestController {
  14.     @Resource
  15.     private UserMapper userMapper;
  17.     @GetMapping("/user/{id}")
  18.     public Result<UserDto> queryUserInfo(@PathVariable String id) {
  19.         return Result.success(userMapper.getSpecialUser(id));
  20.     }
  22.     @GetMapping("/userlist")
  23.     public Result<List<UserDto>> queryUserList() {
  24.         return Result.success(userMapper.queryAll());
  25.     }
  26. }
复制代码
写了两个测试接口,一个是查询单个对象,一个是返回list集合列表,访问一下:


可以看到单个结果和集合列表都做了脱敏处理,这样功能就实现完成了。
其他

使用mybatis拦截器这种方式,是在数据持久层的逻辑处理,需要注意的是,查询结果返回的dto如果是共享的情况下,可能会把不需要脱敏的数据也给处理了,影响业务逻辑,所以使用过程中要注意区分。
另外也可在接口返回数据时进行脱敏处理,也就是所说的序列化方式,比如自定义Jackson、fastjson等的序列化逻辑同样可以完成数据脱敏。
总结

通过使用MyBatis拦截器,我们可以实现对敏感数据的优雅脱敏处理,保护用户隐私和数据安全。这种方式可以灵活应用于各种场景,提供了一种简单而强大的解决方案。在实际开发中,我们可以根据具体需求,定制化开发拦截器的逻辑,以满足不同的数据脱敏需求。
数据的隐私和安全是非常重要的,敏感数据除存储方面要加密外,再展示方便也要适当的做脱敏处理,本文只介绍了mybatis拦截器实现的一种数据脱敏方式,还有很多其他技术可以实现,可以自行搜索,根据实际情况选择合适的解决方案。

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览
返回列表

快速回复

高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

西河刘卡车医

金牌会员
这个人很懒什么都没写!

楼主热帖

标签云

存储 服务器
微信订阅号
微信服务号
微信客服
小程序
H5
关于我们 商务合作 网站地图
©Copyright 2022-2024 杭州祥升科技有限公司 版权所有 浙ICP备20004199号
快速回复 返回顶部 返回列表