一个注解搞定接口数据脱敏，太强了！

来源：juejin.cn/post/7110110794188062727
下午惬意时光，突然产品小姐姐走到我面前，打断我短暂的摸鱼time，企图与我进行深入交流，还好我早有防备没有闪，打开瑞star的点单页面，暗示没有一杯coffee解决不了的需求，需求是某些接口返回的信息，涉及到敏感数据的必须进行脱敏操作，我思考一反，表示某问题，马上安排。

思路

1.要做成可配置多策略的脱敏操作，要不然一个个接口进行脱敏操作，重复的工作量太多，很显然违背了“多写一行算我输”的程序员规范，思来想去，定义数据脱敏注解和数据脱敏逻辑的接口， 在返回类上，对需要进行脱敏的属性加上，并指定对应的脱敏策略操作。
2.接下来我只需要拦截控制器返回的数据，找到带有脱敏注解的属性操作即可，一开始打算用@ControllerAdvice去实现，但发现需要自己去反射类获取注解，当返回对象比较复杂，需要递归去反射，性能一下子就会降低，于是换种思路，我想到平时使用的@JsonFormat，跟我现在的场景很类似，通过自定义注解跟字段解析器，对字段进行自定义解析，tql
代码

Spring Boot 基础就不介绍了，推荐下这个实战教程：

https://github.com/javastacks/spring-boot-best-practice

1. 自定义数据注解，并可以配置数据脱敏策略

1. @Target({ElementType.FIELD, ElementType.TYPE})
2. @Retention(RetentionPolicy.RUNTIME)
3. @Documented
4. public @interface DataMasking {
6.     DataMaskingFunc maskFunc() default DataMaskingFunc.NO_MASK;
8. }

复制代码

2. 自定义Serializer，参考jackson的StringSerializer，下面的示例只针对String类型进行脱敏

1. public interface DataMaskingOperation {
3.     String MASK_CHAR = "*";
5.     String mask(String content, String maskChar);
7. }
9. public enum DataMaskingFunc {
11.      /**
12.      *  脱敏转换器
13.      */
14.      NO_MASK((str, maskChar) -> {
15.         return str;
16.      }),
17.      ALL_MASK((str, maskChar) -> {
18.         if (StringUtils.hasLength(str)) {
19.             StringBuilder sb = new StringBuilder();
20.             for (int i = 0; i < str.length(); i++) {
21.                 sb.append(StringUtils.hasLength(maskChar) ? maskChar : DataMaskingOperation.MASK_CHAR);
22.             }
23.             return sb.toString();
24.         } else {
25.             return str;
26.         }
27.     });
29.     private final DataMaskingOperation operation;
31.     private DataMaskingFunc(DataMaskingOperation operation) {
32.         this.operation = operation;
33.     }
35.     public DataMaskingOperation operation() {
36.         return this.operation;
37.     }
39. }
41. public final class DataMaskingSerializer extends StdScalarSerializer<Object> {
42.     private final DataMaskingOperation operation;
44.     public DataMaskingSerializer() {
45.         super(String.class, false);
46.         this.operation = null;
47.     }
49.     public DataMaskingSerializer(DataMaskingOperation operation) {
50.         super(String.class, false);
51.         this.operation = operation;
52.     }
54.     public boolean isEmpty(SerializerProvider prov, Object value) {
55.         String str = (String)value;
56.         return str.isEmpty();
57.     }
59.     public void serialize(Object value, JsonGenerator gen, SerializerProvider provider) throws IOException {
60.         if (Objects.isNull(operation)) {
61.             String content = DataMaskingFunc.ALL_MASK.operation().mask((String) value, null);
62.             gen.writeString(content);
63.         } else {
64.             String content = operation.mask((String) value, null);
65.             gen.writeString(content);
66.         }
67.     }
69.     public final void serializeWithType(Object value, JsonGenerator gen, SerializerProvider provider, TypeSerializer typeSer) throws IOException {
70.         this.serialize(value, gen, provider);
71.     }
73.     public JsonNode getSchema(SerializerProvider provider, Type typeHint) {
74.         return this.createSchemaNode("string", true);
75.     }
77.     public void acceptJsonFormatVisitor(JsonFormatVisitorWrapper visitor, JavaType typeHint) throws JsonMappingException {
78.         this.visitStringFormat(visitor, typeHint);
79.     }
80. }

复制代码

3. 自定义AnnotationIntrospector，适配我们自定义注解返回相应的Serializer

1. @Slf4j
2. public class DataMaskingAnnotationIntrospector extends NopAnnotationIntrospector {
4.     @Override
5.     public Object findSerializer(Annotated am) {
6.         DataMasking annotation = am.getAnnotation(DataMasking.class);
7.         if (annotation != null) {
8.             return new DataMaskingSerializer(annotation.maskFunc().operation());
9.         }
10.         return null;
11.     }
13. }

复制代码

4. 覆盖ObjectMapper

1. @Configuration(
2.         proxyBeanMethods = false
3. )
4. public class DataMaskConfiguration {
6.     @Configuration(
7.             proxyBeanMethods = false
8.     )
9.     @ConditionalOnClass({Jackson2ObjectMapperBuilder.class})
10.     static class JacksonObjectMapperConfiguration {
11.         JacksonObjectMapperConfiguration() {
12.         }
14.         @Bean
15.         @Primary
16.         ObjectMapper jacksonObjectMapper(Jackson2ObjectMapperBuilder builder) {
17.             ObjectMapper objectMapper = builder.createXmlMapper(false).build();
18.             AnnotationIntrospector ai = objectMapper.getSerializationConfig().getAnnotationIntrospector();
19.             AnnotationIntrospector newAi = AnnotationIntrospectorPair.pair(ai, new DataMaskingAnnotationIntrospector());
20.             objectMapper.setAnnotationIntrospector(newAi);
21.             return objectMapper;
22.         }
23.     }
25. }

复制代码

5. 返回对象加上注解

1. public class User implements Serializable {
2.     /**
3.      * 主键ID
4.      */
5.     private Long id;
7.     /**
8.      * 姓名
9.      */
10.     @DataMasking(maskFunc = DataMaskingFunc.ALL_MASK)
11.     private String name;
13.     /**
14.      * 年龄
15.      */
16.     private Integer age;
18.     /**
19.      * 邮箱
20.      */
21.     @DataMasking(maskFunc = DataMaskingFunc.ALL_MASK)
22.     private String email;
24. }

复制代码

近期热文推荐：
1.1,000+ 道 Java面试题及答案整理(2022最新版)
2.劲爆！Java 协程要来了。。。
3.Spring Boot 2.x 教程，太全了！
4.别再写满屏的爆爆爆炸类了，试试装饰器模式，这才是优雅的方式！！
5.《Java开发手册（嵩山版）》最新发布，速速下载！
觉得不错，别忘了随手点赞+转发哦！

免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！