项目敏感词脱敏如何实现

最新推荐文章于 2025-04-18 09:53:08 发布
转载 最新推荐文章于 2025-04-18 09:53:08 发布 · 369 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:https://mp.weixin.qq.com/s/m2jjVvhZ5KzvmtEZVdRUcw
文章标签:

#java #spring boot

后端返回数据给前端的时候,一般需要对敏感词脱敏,类似于下面这样:

图片

脱敏的规则有很多种,例如:

  • 替换(常用):将敏感数据中的特定字符或字符序列替换为其他字符。例如,将信用卡号中的中间几位数字替换为星号(*)或其他字符。

  • 删除:将敏感数据中的部分内容随机删除。例如,将电话号码的随机 3 位数字进行删除。

  • 重排:将原始数据中的某些字符或字段的顺序打乱。例如,将身份证号码的随机位交错互换。

  • 加噪:在数据中注入一些误差或者噪音,达到对数据脱敏的效果。例如,在敏感数据中添加一些随机生成的字符。

  • ......

这里以最常用的替换为例进行介绍,这也是我的项目用到的方法。

我是利用 Hutool 提供的 DesensitizedUtil脱敏工具类配合 Jackson 通过注解的方式完成数据脱敏的。

如果不想引入 Hutool 的话,也可以自己实现一个脱敏工具类,实现逻辑非常简单。

DesensitizedUtil脱敏工具类支持用户 ID、中文姓名、身份证号、座机号、手机号、电子邮件、银行卡号等脱敏数据类型,基本覆盖了常见的敏感信息。

DesensitizedUtil脱敏工具类的脱敏规则是隐藏掉信息中的一部分关键信息用*代替,例如:

  • 身份证号:原始值 51343620000320711X,脱敏后 5***************1X

  • 手机号:原始值 18049531999,脱敏后 180****1999

  • 银行卡号:原始值6217000130008255666,脱敏后6217 **** **** *** 5666

  • ......

除了支持常见的脱敏数据类型之外,Hutool 还提供了自定义隐藏方法StrUtil#hide。这个方法实际上是 CharSequenceUtil实现的,StrUtil继承了CharSequenceUtil

图片

图片

因为我的项目是基于 Spring Boot 开发的,因此可以利用 Spring Boot 自带的 Jackson 自定义序列化实现,在 JSON 进行序列化渲染给前端时,进行脱敏。

下面是简化后的核心步骤:

1、我定义了一个用于脱敏的 Desensitization 注解。

@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
@JacksonAnnotationsInside
// 指定序列化时使用 DesensitizationSerialize 这个自定义序列化类
// DesensitizationSerializ 我们后面会自定义
@JsonSerialize(using = DesensitizationSerialize.class)
public @interface Desensitization {
    /**
     * 脱敏数据类型,在MY_RULE的时候,startInclude和endExclude生效
     */
    DesensitizationTypeEnum type() default DesensitizationTypeEnum.MY_RULE;

    /**
     * 脱敏开始位置(包含)
     */
    int startInclude() default 0;

    /**
     * 脱敏结束位置(不包含)
     */
    int endExclude() default 0;
}

DesensitizationTypeEnum 是脱敏策略的枚举:

public enum DesensitizationTypeEnum {
    //自定义
    MY_RULE,
    //用户id
    USER_ID,
    //手机号
    MOBILE_PHONE,
    //邮箱
    EMAIL,
    // 省略其他枚举字段
    // ...
}

2、自定义序列化类继承 JsonSerializer,实现 ContextualSerializer 接口,并重写 serialize() 和 createContextual() 这两个方法。

/**
 * 自定义序列化类,用于数据脱敏处理
 * 支持多种脱敏类型,包括自定义规则。
 */
@AllArgsConstructor
@NoArgsConstructor
public class DesensitizationSerialize extends JsonSerializer<String> implements ContextualSerializer {
    private DesensitizationTypeEnum type;
    private Integer startInclude;
    private Integer endExclude;

    @Override
    public void serialize(String str, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException {
        switch (type) {
            // 自定义类型脱敏
            case MY_RULE:
                jsonGenerator.writeString(StrUtil.hide(str, startInclude, endExclude));
                break;
            // userId脱敏
            case USER_ID:
                jsonGenerator.writeString(String.valueOf(DesensitizedUtil.userId()));
                break;
            // 中文姓名脱敏
            case CHINESE_NAME:
                jsonGenerator.writeString(DesensitizedUtil.chineseName(String.valueOf(str)));
                break;
            // 省略其他数据类型脱敏
            // ......
        }
    }

    @Override
    public JsonSerializer<?> createContextual(SerializerProvider serializerProvider, BeanProperty beanProperty) throws JsonMappingException {
        if (beanProperty != null) {
            // 判断数据类型是否为String类型
            if (Objects.equals(beanProperty.getType().getRawClass(), String.class)) {
                // 获取定义的注解
                Desensitization desensitization = beanProperty.getAnnotation(Desensitization.class);
                // 如果字段上没有注解,则从上下文中获取注解
                if (desensitization == null) {
                    desensitization = beanProperty.getContextAnnotation(Desensitization.class);
                }
                // 如果找到了注解,创建新的序列化实例
                if (desensitization != null) {
                    return new DesensitizationSerialize(desensitization.type(), desensitization.startInclude(), desensitization.endExclude());
                }
            }
            // 如果不是String类型,使用默认的序列化处理
            return serializerProvider.findValueSerializer(beanProperty.getType(), beanProperty);
        }
        // 如果beanProperty为null,返回默认的null值序列化处理
        return serializerProvider.findNullValueSerializer(null);
    }
}

这段代码有一个优化小技巧:可以将函数放进枚举类,进而避免使用 switch-case 语句,从而使代码更加简洁和易于维护。

public enum DesensitizationTypeEnum {
    // 自定义
    MY_RULE {
        @Override
        public String desensitize(String str, Integer startInclude, Integer endExclude) {
            return StrUtil.hide(str, startInclude, endExclude);
        }
    },
    // 用户id
    USER_ID {
        @Override
        public String desensitize(String str, Integer startInclude, Integer endExclude) {
            return String.valueOf(DesensitizedUtil.userId());
        }
    },
    MOBILE_PHONE {
        @Override
        public String desensitize(String str, Integer startInclude, Integer endExclude) {
            return String.valueOf(DesensitizedUtil.mobilePhone(str));
        }
    },
    EMAIL {
        @Override
        public String desensitize(String str, Integer startInclude, Integer endExclude) {
            return String.valueOf(DesensitizedUtil.email(str));
        }
    };
    // 省略其他枚举字段
    // ...
    public abstract String desensitize(String str, Integer startInclude, Integer endExclude);
}

这样的话,一行代码即可实现调用:

jsonGenerator.writeString(type.desensitize(str, startInclude, endExclude));

如果使用的序列化是 Fastjson 而不是默认的 Jackson,你可以创建一个自定义的 ValueFilter 来处理脱敏逻辑。

这里只是以 Jackson 和 Fastjson 为例说明,其他常见的序列化实现都有对应的解决方法。

3、经过上面两步之后就可以使用脱敏注解了。

在对应的字段上添加上脱敏注解即可:

@Data
@NoArgsConstructor
@AllArgsConstructor
public class User {
    // 演示自定义脱敏
    @Desensitization(type = DesensitizationTypeEnum.MY_RULE, startInclude = 4, endExclude = 7)
    private String userid;

    @Desensitization(type = DesensitizationTypeEnum.MOBILE_PHONE)
    private String phone;

    @Desensitization(type = DesensitizationTypeEnum.EMAIL)
    private String email;

}

输出示例:

{
  "userid": "user***56",
  "phone": "181****8155",
  "email": ":*************@163.com"
}
y&m
关注
C#实现对姓名、身份证进行数据脱敏(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
03-31 736
C#实现对姓名、身份证进行数据脱敏(附完整源码)
3.1 牛客网项目——过滤敏感词
qq_32863265的博客
06-13 483
1. 定义初始化前缀树 根节点没有字符 除了根节点每个节点都只有一个字符 每个节点所有的子节点的字符都不相同 字符串的每个字符作为TrieNode节点,TrieNode节点主要有两部分组成: 是否为单词 节点所有的子节点,用map来保存,key是字符,value是子节点 //前缀树 private class TrieNode { //关键词结束的标识 private boolean isKeywordEnd = false; //子节点(key是下级字符,value是下.
Java字符序列类CharSequence基本详解
热门推荐
OceanSky的专栏
02-04 3万+
CharSequence类是java.lang包下的一个接口,此接口对多种不同的对char访问的统一接口,像String、StringBuffer、StringBuilder类都是CharSequence的子接口; CharSequence类String类都可以定义字符串,但是String定义的字符串只能读,CharSequence定义的字符串是可读可写的; 对于抽象类或者接口来说不可以直接
对敏感数据进行脱敏操作
早起一杯咖啡
05-11 985
/** * 数据脱敏 * * @param data * @param left 左边保留长度 * @param right 右边保留长度 * @return */ public String dataEncrypt(String data, int left, int right) { if (StringUtils.isBlank(data)) { return StringUtils.EMPTY; } return S
CharSequenceUtilTest的使用
weixin_44681259的博客
03-06 513
脱敏技术!!!
qq_64847107的博客
03-28 1100
数据脱敏(Data Masking)是一种数据安全技术,旨在通过预先设定的规则算法,对原始数据中包含的敏感信息进行变形处理,使得这些信息在非生产环境(例如开发、测试、分析或培训场景)中使用时,既能保持原有数据格式业务逻辑的真实性,又能有效保护个人隐私商业机密不被泄露。在实施数据脱敏时,对诸如身份证号、手机号、银行卡号、个人姓名、家庭住址、电子邮件地址、医疗记录等敏感信息采取替换、遮盖、乱序、加密、截断等手段进行处理,以防止这些敏感信息在未经授权的情况下被识别或滥用。4.创建自定义的序列化脱敏类。
java利用DFA算法实现敏感词过滤功能
08-30
在本文中,我们将探讨如何使用DFA(有穷自动机)算法在Java实现敏感词过滤功能。敏感词过滤在许多应用程序中都是必要的,例如社交媒体、...在实际应用中,根据项目需求资源限制,可以选择适合的敏感词过滤策略。
基于DFA算法的敏感词过滤与数据脱敏Spring Boot Starter设计源码
02-15
该工具包含的19个Java源文件是项目的核心代码,涵盖了敏感词过滤引擎的实现、数据脱敏方法的封装以及配置加载等关键功能。3个PNG图片文件可能用于展示工具的使用界面或流程图,便于理解操作。2个XML配置文件则可能...
【技术派后端篇】技术派通用敏感词替换:原理、实现与应用
04-18 1038
本文聚焦技术派通用敏感词替换技术。介绍 DFA 敏感词校验算法原理,阐述借助开源库构建敏感词服务类,详述基于 Mybatis 拦截器的数据库脱敏方案,提及实际效果与白名单机制,强调安全合规在项目中的重要性。
4.log4j2实现日志脱敏
CAT
04-11 1184
日志脱敏 日志基础研究脑图 日志基础框架图 主要参考资料:   源码分析: https://www.cnblogs.com/xiaoxi666/p/11426259.html https://cloud.tencent.com/d...
第十章 Java常用类库
ge_zhe的博客
06-18 569
常用类库
常用的String判空工具类StringUtil
hezhimin1124的博客
12-30 1326
由于在java经常会要对数值进行判空(尤其是String类型),所以提炼成工具类,在以后每一次用到可以简写很多代码,同时代码也简单明了。日常积累工具方法,能够更加精炼。
String 常用工具类
chy-x 的博客
09-30 9991
apache的 common-lang3 工具类众多、方法齐全, 推荐使用。老版本类库是 commons-lang,新版本是 commons-lang3,尽量用 lang3 代替 lang。工具类封装的方法,相比于原生方法,往往做了很多额外校验、兼容、处理,比如校验了输入是否合法、兼容了NPE、判断了从其它地方获取的数据,使用起来要方便些。empty、blank的异同点:都包含了null、空串,blank还包含了空格串。都是在副本上修改,返回副本,原串不变。
commons之CharSequenceUtils
liukaihandsome的专栏
12-06 690
[code="java"] import org.apache.commons.lang3.CharSequenceUtils; public class CharSequenceUtilsDemo { private static final CharSequence cs = "hello"; private static final CharSequence n =...
Hutool 实现敏感信息展示脱敏及其反脱敏
weixin_73077810的博客
11-16 3958
业务中如果出现敏感数据展示,数据脱敏是一种重要的安全措施。数据脱敏是指在处理存储敏感信息时,将这些信息中的敏感部分替换为无意义的数据,以保护用户的隐私数据安全。本文基于Hutool工具类来实现一键式快速数据脱敏操作
Java自定义数据脱敏注解
telescopewang的博客
04-28 2024
数据库中密文存储身份证、手机号等敏感信息时,Java需要将密文数据转换为明文并脱敏返回给前端。
StrUtil.removeAll,java: 无法将类 cn.hutool.core.text.CharSequenceUtil中的方法 removeAll应用到给定类型;
Marcuslu的博客
12-15 1737
情况及问题 //原始代码 String s = StrUtil.removeAll(data, "{", "\"", "[", "]"); //问题 java: 无法将类 cn.hutool.core.text.CharSequenceUtil中的方法 removeAll应用到给定类型; 需要: java.lang.CharSequence,char[] 找到: java.lang.String,java.lang.String,java.lang.String,java.lang.String,
SpringBoot实现返回值数据脱敏
月色无痕的专栏
07-11 1831
SpringBoot实现数据脱敏响应请求,由于业务需要,敏感数据返回给第三方时,需要进行隐藏处理,但是如果一个字段一个字段的进行硬编码处理的话,不仅增加了工作量,而且后期需求变动的时候,更加是地狱般的工作量变更。下面将介绍一种高效便捷的处理方法。下面,通过身份证,姓名,密码,手机号等等示例去演示脱敏的流程/*** 步骤一* 方法来源于ContextualSerializer,获取属性上的注解属性,同时返回一个合适的序列化器*/@Override// 获取自定义注解。
Java字符序列CharSequence接口学习记录
CEVERY的博客
04-28 889
文章目录一、基本认识二、基本注意事项三、学习理解3.1 在线文档3.2 理解注意 一、基本认识 CharSequence是java.lang包下的一个接口,此接口对应不同的实现类,如CharBuffer、String、StringBuffer、StringBuilder CharSequence接口的源码 package java.lang; import java.util.NoSuchElementException; import java.util.PrimitiveIterator;
logstash-logback-encoder如何实现日志脱敏
最新发布
07-26
<think>嗯,用户问的是如何使用logstash-logback-encoder实现日志脱敏。这个问题挺专业的,用户应该是做Java开发的,可能在搭建日志系统时遇到了敏感数据泄露的风险。 用户可能正在处理金融、电商或医疗类项目,这类场景对数据安全要求很高。ta的提问很具体,说明已经研究过logstash-logback-encoder的基础用法,现在需要进阶的脱敏方案。从引用内容看,用户可能参考过一些资料但不确定具体实现方式。 核心问题在于如何在不破坏日志结构的前提下动态脱敏。logstash-logback-encoder本身不提供脱敏功能,需要结合自定义Converter。用户提到的conversionRule配置很关键,这是实现入口。 技术实现上要考虑三点:一是脱敏规则的灵活性,最好支持正则表达式;二是性能影响,避免拖慢日志输出;三是与ELK的兼容性,脱敏后的日志应该保持JSON格式不变。 引用[2]给出了重要线索,通过自定义ConverterClass可以实现字段级处理。但需要提醒用户注意线程安全问题,特别是在异步日志场景下。另外引用[3]的logstash配置可以作为补充参考,确保脱敏后的日志能正常流入ELK。 用户可能没意识到的是:1) 脱敏时机选择(序列化时处理优于日志传输后过滤)2) 如何避免敏感信息在堆栈跟踪中泄露 3) 是否需要分级脱敏策略。这些在回复里都值得展开说明。 准备在回复中提供具体代码示例,特别是SensitiveDataConverter的实现逻辑。考虑加入正则表达式匹配的银行卡号脱敏案例,因为这是最常见需求。同时提醒测试注意事项,比如多线程环境特殊字符处理。</think>以下是基于 `logstash-logback-encoder` 实现日志脱敏的完整方案,结合引用内容最佳实践整理: --- ### 一、实现原理 通过自定义 `MessageConverter` 拦截日志输出流,在 JSON 序列化前对敏感字段进行脱敏处理。核心步骤: 1. **定义脱敏规则**:正则表达式匹配敏感数据(如银行卡、手机号) 2. **继承 `net.logstash.logback.composite.loggingevent.MessageFormattin`**:重写 `write` 方法实现脱敏逻辑 3. **配置 `logback.xml`**:注入自定义转换器 --- ### 二、具体实现步骤 #### 1. 创建脱敏转换器 ```java package com.example.log.converter; import ch.qos.logback.classic.pattern.MessageConverter; import ch.qos.logback.classic.spi.ILoggingEvent; import java.util.regex.Pattern; public class SensitiveDataConverter extends MessageConverter { // 脱敏规则(按需扩展) private static final Pattern BANK_CARD_PATTERN = Pattern.compile("\\b(\\d{4})(\\d{4,6})(\\d{4,6})(\\d{4})\\b"); private static final Pattern PHONE_PATTERN = Pattern.compile("\\b(1[3-9]\\d{9})\\b"); @Override public String convert(ILoggingEvent event) { String originalMsg = super.convert(event); return desensitize(originalMsg); } private String desensitize(String message) { // 银行卡脱敏(保留前4后4) message = BANK_CARD_PATTERN.matcher(message).replaceAll("$1****$3"); // 手机号脱敏(保留前3后4) message = PHONE_PATTERN.matcher(message).replaceAll("$1****$3"); return message; } } ``` #### 2. 配置 `logback.xml` ```xml <configuration> <!-- 注册自定义转换器 --> <conversionRule conversionWord="msg" converterClass="com.example.log.converter.SensitiveDataConverter"/> <appender name="LOGSTASH" class="net.logstash.logback.appender.LogstashTcpSocketAppender"> <destination>logstash-server:5044</destination> <encoder class="net.logstash.logback.encoder.LogstashEncoder"> <!-- 使用自定义msg字段 --> <fieldNames> <message>msg</message> </fieldNames> </encoder> </appender> <root level="INFO"> <appender-ref ref="LOGSTASH"/> </root> </configuration> ``` --- ### 三、关键注意事项 1. **性能优化**: - 预编译正则表达式(`Pattern.compile`) - 避免在循环中重复创建匹配器 ```java // 错误示例(每次调用新建Matcher) message.replaceAll("\\d{16}", "****"); ``` 2. **嵌套字段脱敏**: ```java // 处理JSON嵌套字段(需引入JSON解析库) if (message.startsWith("{")) { JSONObject json = new JSONObject(message); json.put("idCard", maskIdCard(json.getString("idCard"))); return json.toString(); } ``` 3. **动态规则扩展**: ```java // 从配置文件加载规则 Properties rules = loadRules("sensitive-rules.properties"); rules.forEach((pattern, replacement) -> { message = Pattern.compile(pattern).matcher(message).replaceAll(replacement); }); ``` --- ### 四、验证结果 原始日志: ```json {"message":"用户18812345678付款,卡号6225880123456789"} ``` 脱敏后输出到 Logstash: ```json {"message":"用户188****5678付款,卡号6225****6789"} ``` --- ### 五、进阶方案 | 场景 | 解决方案 | |---------------------|----------------------------------| | **异步日志** | 使用`AsyncAppender`确保线程安全 | | **分布式链路追踪** | 集成`MDC`注入traceId并脱敏[^1] | | **日志模板化** | 结合`logstash-logback-encoder`的`pattern`配置 | | **敏感词动态更新** | 监听配置中心更新(如Apollo/Nacos)| ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值