若依源码:数据脱敏处理

本文发布于 2025年02月13日,阅读 38 次,点赞 0 次,归类于 源码分析

博客:https://www.emanjusaka.com
博客园:https://www.cnblogs.com/emanjusaka
公众号:emanjusaka的编程栈

by emanjusaka from https://www.emanjusaka.com/archives/ruoyi-data-desensitization 彼岸花开可奈何
本文是若依的源码解读,这是一个系列文章,欢迎关注我的博客或者微信公众号获取后续文章更新。


有时我们基于隐私保护的要求需求对某些数据进行脱敏处理,比如手机号、身份证号等敏感信息。
每个单独处理太过麻烦,RuoYi 中使用注解进行了统一处理。

定义注解

package com.ruoyi.common.annotation;  
  
import java.lang.annotation.ElementType;  
import java.lang.annotation.Retention;  
import java.lang.annotation.RetentionPolicy;  
import java.lang.annotation.Target;  
import com.fasterxml.jackson.annotation.JacksonAnnotationsInside;  
import com.fasterxml.jackson.databind.annotation.JsonSerialize;  
import com.ruoyi.common.config.serializer.SensitiveJsonSerializer;  
import com.ruoyi.common.enums.DesensitizedType;  
  
/**  
 * 数据脱敏注解  
 *  
 * @author ruoyi  
 */
@Retention(RetentionPolicy.RUNTIME)  
@Target(ElementType.FIELD)  
@JacksonAnnotationsInside  
@JsonSerialize(using = SensitiveJsonSerializer.class)  
public @interface Sensitive  
{  
    DesensitizedType desensitizedType();  
}

定义了@Sensitive注解,用于标记需要脱敏处理的字段。该注解只能应用于字段上,并且在运行时可通过反射被读取和处理。
使用该注解需要指定一个DesensitizedType类型的值。

脱敏类型

package com.ruoyi.common.enums;  
  
import java.util.function.Function;  
import com.ruoyi.common.utils.DesensitizedUtil;  
  
/**  
 * 脱敏类型  
 *  
 * @author ruoyi  
 */public enum DesensitizedType  
{  
    /**  
     * 姓名,第2位星号替换  
     */  
    USERNAME(s -> s.replaceAll("(\\S)\\S(\\S*)", "$1*$2")),  
  
    /**  
     * 密码,全部字符都用*代替  
     */  
    PASSWORD(DesensitizedUtil::password),  
  
    /**  
     * 身份证,中间10位星号替换  
     */  
    ID_CARD(s -> s.replaceAll("(\\d{4})\\d{10}(\\d{3}[Xx]|\\d{4})", "$1** **** ****$2")),  
  
    /**  
     * 手机号,中间4位星号替换  
     */  
    PHONE(s -> s.replaceAll("(\\d{3})\\d{4}(\\d{4})", "$1****$2")),  
  
    /**  
     * 电子邮箱,仅显示第一个字母和@后面的地址显示,其他星号替换  
     */  
    EMAIL(s -> s.replaceAll("(^.)[^@]*(@.*$)", "$1****$2")),  
  
    /**  
     * 银行卡号,保留最后4位,其他星号替换  
     */  
    BANK_CARD(s -> s.replaceAll("\\d{15}(\\d{3})", "**** **** **** **** $1")),  
  
    /**  
     * 车牌号码,包含普通车辆、新能源车辆  
     */  
    CAR_LICENSE(DesensitizedUtil::carLicense);  
  
    private final Function<String, String> desensitizer;  
  
    DesensitizedType(Function<String, String> desensitizer)  
    {  
        this.desensitizer = desensitizer;  
    }  
  
    public Function<String, String> desensitizer()  
    {  
        return desensitizer;  
    }  
}

该枚举定义了一些常用的脱敏类型和规则,比如:姓名、密码、手机号、身份证等。

数据脱敏序列化

package com.ruoyi.common.config.serializer;  
  
import java.io.IOException;  
import java.util.Objects;  
import com.fasterxml.jackson.core.JsonGenerator;  
import com.fasterxml.jackson.databind.BeanProperty;  
import com.fasterxml.jackson.databind.JsonMappingException;  
import com.fasterxml.jackson.databind.JsonSerializer;  
import com.fasterxml.jackson.databind.SerializerProvider;  
import com.fasterxml.jackson.databind.ser.ContextualSerializer;  
import com.ruoyi.common.annotation.Sensitive;  
import com.ruoyi.common.core.domain.model.LoginUser;  
import com.ruoyi.common.enums.DesensitizedType;  
import com.ruoyi.common.utils.SecurityUtils;  
  
/**  
 * 数据脱敏序列化过滤  
 *  
 * @author ruoyi  
 */public class SensitiveJsonSerializer extends JsonSerializer<String> implements ContextualSerializer  
{  
    private DesensitizedType desensitizedType;  
  
    @Override  
    public void serialize(String value, JsonGenerator gen, SerializerProvider serializers) throws IOException  
    {  
        if (desensitization())  
        {  
            gen.writeString(desensitizedType.desensitizer().apply(value));  
        }  
        else  
        {  
            gen.writeString(value);  
        }  
    }  
  
    @Override  
    public JsonSerializer<?> createContextual(SerializerProvider prov, BeanProperty property)  
            throws JsonMappingException  
    {   
	    // 获取属性上的Sensitive注解
        Sensitive annotation = property.getAnnotation(Sensitive.class); 
        // 如果属性上有Sensitive注解,并且属性类型是String 
        if (Objects.nonNull(annotation) && Objects.equals(String.class, property.getType().getRawClass()))  
        {   
	        // 设置当前序列化器的脱敏类型为注解中指定的类型
            this.desensitizedType = annotation.desensitizedType(); 
            // 返回当前序列化器实例 
            return this;  
        }  
        // 如果属性上没有Sensitive注解或属性类型不是String,则通过序列化提供者查找并返回与属性类型相匹配的序列化器
        return prov.findValueSerializer(property.getType(), property);  
    }  
  
    /**  
     * 是否需要脱敏处理  
     */  
    private boolean desensitization()  
    {  
        try  
        {  
            LoginUser securityUser = SecurityUtils.getLoginUser();  
            // 管理员不脱敏  
            return !securityUser.getUser().isAdmin();  
        }  
        catch (Exception e)  
        {  
            return true;  
        }  
    }  
}

定义了一个名为SensitiveJsonSerializer的类,它是用于处理数据脱敏的自定义序列化器。这个类扩展了Jackson库的JsonSerializer<String>类,并实现了ContextualSerializer接口,允许它根据上下文动态地创建序列化器实例。

serialize方法:这是JsonSerializer接口的方法,用于将值序列化为JSON。在这里,它检查是否需要脱敏处理(通过desensitization()方法),并根据结果写入脱敏后的值或原始值。

createContextual方法:这是ContextualSerializer接口的方法,用于根据上下文创建序列化器实例。它检查给定的Bean属性上是否存在Sensitive注解,并且属性的类型是否为String。如果条件满足,它设置脱敏类型并返回当前序列化器实例。否则,它使用序列化提供者查找并返回与属性类型相匹配的序列化器。

desensitization方法:私有方法,用于确定是否需要对值进行脱敏处理。它尝试获取当前登录的用户(通过SecurityUtils.getLoginUser()),并检查该用户是否为管理员。如果不是管理员,则返回true(表示需要脱敏),否则返回false。如果在获取登录用户时发生异常,也返回true作为默认行为。

使用方法

在字段上加上注解就可以对该字段进行脱敏处理了。

@Data  
public class TestSensitive {
    private static final long serialVersionUID = 1L;  
    /**  
     * 手机号  
     */  
    @Sensitive(desensitizedType = DesensitizedType.PHONE)  
    private String mobile;  
  
  
    /**  
     * 头像地址  
     */  
    private String avatarUrl;
    }
本篇完