這兩天在整改等保測出的問題，里面有一個“用戶信息泄露”的風險項（就是后臺系統里用戶的一些隱私數據直接明文顯示了），其實指的就是要做數據脫敏。

數據脫敏：把系統里的一些敏感數據進行加密處理后再返回，達到保護隱私作用，實現效果圖如下：

其實要實現上面的效果，可能最先想到的方法是直接改每個controller接口，在返回數據前做一次加密處理，當然這個方法肯定是非常撈的。這里推薦用注解來實現，即高效又優雅，省時省力，支持擴展。

其實解決方案大體上分兩種：

在拿到數據時就已經脫敏了（如在 mysql 查詢時用 insert 函數進行隱藏）

拿到數據后在序列化的時候再進行脫敏（如用 fastjson、jackson）

這里我所選用的方案是第二種，即在接口返回數據前，在序列化的時候對敏感字段值進行處理，并且選用 jackson 的序列化來實現（推薦）

1. 創建隱私數據類型枚舉：PrivacyTypeEnum

importlombok.Getter;

/**
*隱私數據類型枚舉
*/
@Getter
publicenumPrivacyTypeEnum{

/**自定義（此項需設置脫敏的范圍）*/
CUSTOMER,

/**姓名*/
NAME,

/**身份證號*/
ID_CARD,

/**手機號*/
PHONE,

/**郵箱*/
EMAIL,
}

基于 Spring Boot + MyBatis Plus + Vue & Element 實現的后臺管理系統 + 用戶小程序，支持 RBAC 動態權限、多租戶、數據權限、工作流、三方登錄、支付、短信、商城等功能

2. 創建自定義隱私注解：PrivacyEncrypt

importcom.fasterxml.jackson.annotation.JacksonAnnotationsInside;
importcom.fasterxml.jackson.databind.annotation.JsonSerialize;

importjava.lang.annotation.ElementType;
importjava.lang.annotation.Retention;
importjava.lang.annotation.RetentionPolicy;
importjava.lang.annotation.Target;

/**
*自定義數據脫敏注解
*/
@Target(ElementType.FIELD)//作用在字段上
@Retention(RetentionPolicy.RUNTIME)//class文件中保留，運行時也保留，能通過反射讀取到
@JacksonAnnotationsInside//表示自定義自己的注解PrivacyEncrypt
@JsonSerialize(using=PrivacySerializer.class)//該注解使用序列化的方式
public@interfacePrivacyEncrypt{

/**
*脫敏數據類型（沒給默認值，所以使用時必須指定type）
*/
PrivacyTypeEnumtype();

/**
*前置不需要打碼的長度
*/
intprefixNoMaskLen()default1;

/**
*后置不需要打碼的長度
*/
intsuffixNoMaskLen()default1;

/**
*用什么打碼
*/
Stringsymbol()default"*";
}

基于 Spring Cloud Alibaba + Gateway + Nacos + RocketMQ + Vue & Element 實現的后臺管理系統 + 用戶小程序，支持 RBAC 動態權限、多租戶、數據權限、工作流、三方登錄、支付、短信、商城等功能

3. 創建自定義序列化器：PrivacySerializer

importcom.fasterxml.jackson.core.JsonGenerator;
importcom.fasterxml.jackson.databind.BeanProperty;
importcom.fasterxml.jackson.databind.JsonMappingException;
importcom.fasterxml.jackson.databind.JsonSerializer;
importcom.fasterxml.jackson.databind.SerializerProvider;
importcom.fasterxml.jackson.databind.ser.ContextualSerializer;
importcom.zk.common.core.domain.enumerate.PrivacyTypeEnum;
importcom.zk.common.core.utils.PrivacyUtil;
importjava.io.IOException;
importjava.util.Objects;
importlombok.AllArgsConstructor;
importlombok.NoArgsConstructor;
importorg.apache.commons.lang3.StringUtils;

@NoArgsConstructor
@AllArgsConstructor
publicclassPrivacySerializerextendsJsonSerializerimplementsContextualSerializer{

//脫敏類型
privatePrivacyTypeEnumprivacyTypeEnum;
//前幾位不脫敏
privateIntegerprefixNoMaskLen;
//最后幾位不脫敏
privateIntegersuffixNoMaskLen;
//用什么打碼
privateStringsymbol;

@Override
publicvoidserialize(finalStringorigin,finalJsonGeneratorjsonGenerator,
finalSerializerProviderserializerProvider)throwsIOException{
if(StringUtils.isNotBlank(origin)&&null!=privacyTypeEnum){
switch(privacyTypeEnum){
caseCUSTOMER:
jsonGenerator.writeString(PrivacyUtil.desValue(origin,prefixNoMaskLen,suffixNoMaskLen,symbol));
break;
caseNAME:
jsonGenerator.writeString(PrivacyUtil.hideChineseName(origin));
break;
caseID_CARD:
jsonGenerator.writeString(PrivacyUtil.hideIDCard(origin));
break;
casePHONE:
jsonGenerator.writeString(PrivacyUtil.hidePhone(origin));
break;
caseEMAIL:
jsonGenerator.writeString(PrivacyUtil.hideEmail(origin));
break;
default:
thrownewIllegalArgumentException("unknownprivacytypeenum"+privacyTypeEnum);
}
}
}

@Override
publicJsonSerializercreateContextual(finalSerializerProviderserializerProvider,
finalBeanPropertybeanProperty)throwsJsonMappingException{
if(beanProperty!=null){
if(Objects.equals(beanProperty.getType().getRawClass(),String.class)){
PrivacyEncryptprivacyEncrypt=beanProperty.getAnnotation(PrivacyEncrypt.class);
if(privacyEncrypt==null){
privacyEncrypt=beanProperty.getContextAnnotation(PrivacyEncrypt.class);
}
if(privacyEncrypt!=null){
returnnewPrivacySerializer(privacyEncrypt.type(),privacyEncrypt.prefixNoMaskLen(),
privacyEncrypt.suffixNoMaskLen(),privacyEncrypt.symbol());
}
}
returnserializerProvider.findValueSerializer(beanProperty.getType(),beanProperty);
}
returnserializerProvider.findNullValueSerializer(null);
}
}

這里是具體的實現過程，因為要脫敏的數據都是 String 類型的，所以繼承 JsonSerializer 時的類型填 String

重寫的 serialize 方法是實現脫敏的核心，根據類型 type 的不同去設置序列化后的值

重寫的 createContextual 方法就是去讀取我們自定義的 PrivacyEncrypt 注解，打造一個上下文的環境。

4. 隱私數據隱藏工具類：PrivacyUtil

publicclassPrivacyUtil{

/**
*隱藏手機號中間四位
*/
publicstaticStringhidePhone(Stringphone){
returnphone.replaceAll("(\d{3})\d{4}(\d{4})","$1****$2");
}

/**
*隱藏郵箱
*/
publicstaticStringhideEmail(Stringemail){
returnemail.replaceAll("(\w?)(\w+)(\w)(@\w+\.[a-z]+(\.[a-z]+)?)","$1****$3$4");
}

/**
*隱藏身份證
*/
publicstaticStringhideIDCard(StringidCard){
returnidCard.replaceAll("(\d{4})\d{10}(\w{4})","$1*****$2");
}

/**
*【中文姓名】只顯示第一個漢字，其他隱藏為星號，比如：任**
*/
publicstaticStringhideChineseName(StringchineseName){
if(chineseName==null){
returnnull;
}
returndesValue(chineseName,1,0,"*");
}

///**
//*【身份證號】顯示前4位,后2位
//*/
//publicstaticStringhideIdCard(StringidCard){
//returndesValue(idCard,4,2,"*");
//}

///**
//*【手機號碼】前三位，后四位，其他隱藏。
//*/
//publicstaticStringhidePhone(Stringphone){
//returndesValue(phone,3,4,"*");
//}

/**
*對字符串進行脫敏操作
*@paramorigin原始字符串
*@paramprefixNoMaskLen左側需要保留幾位明文字段
*@paramsuffixNoMaskLen右側需要保留幾位明文字段
*@parammaskStr用于遮罩的字符串,如'*'
*@return脫敏后結果
*/
publicstaticStringdesValue(Stringorigin,intprefixNoMaskLen,intsuffixNoMaskLen,StringmaskStr){
if(origin==null){
returnnull;
}
StringBuildersb=newStringBuilder();
for(inti=0,n=origin.length();i(n-suffixNoMaskLen-1)){
sb.append(origin.charAt(i));
continue;
}
sb.append(maskStr);
}
returnsb.toString();
}

publicstaticvoidmain(String[]args){
System.out.println(hideChineseName("張三三"));
}
}

這個工具類其實可以自己定，根據自己的業務去擴展，提一點：

在自定義注解 PrivacyEncrypt 里，只有 type 的值為 PrivacyTypeEnum.CUSTOMER（自定義）時，才需要指定脫敏范圍，即 prefixNoMaskLen 和 suffixNoMaskLen 的值，像郵箱、手機號這種隱藏格式都采用固定的

5. 注解使用

直接在需要脫敏的字段上加上注解，指定 type 值即可，如下：

@Data
publicclassPeople{

privateIntegerid;

privateStringname;

privateIntegersex;

privateIntegerage;

@PrivacyEncrypt(type=PrivacyTypeEnum.PHONE)//隱藏手機號
privateStringphone;

@PrivacyEncrypt(type=PrivacyTypeEnum.EMAIL)//隱藏郵箱
privateStringemail;

privateStringsign;
}

到這里，脫敏工作就已經結束了，全局使用這一個注解即可，一勞永逸，測試效果圖如下：

以上代碼已經過測試，并已實際使用，所以可放心使用。

審核編輯：劉清