環(huán)境:SpringBoot2.6.12
API接口脫敏是一種保護敏感數(shù)據(jù)的重要方法。它涉及到在數(shù)據(jù)傳輸和存儲過程中,將敏感數(shù)據(jù)替換為無意義或偽裝的數(shù)據(jù),以防止未經授權的訪問和泄露。下面是一些關于如何安全地處理敏感數(shù)據(jù)的方法:
- 數(shù)據(jù)加密:使用加密算法對敏感數(shù)據(jù)進行加密,以確保即使數(shù)據(jù)在傳輸過程中被截獲,也無法被解密。常見的加密算法包括對稱加密算法(如AES)和非對稱加密算法(如RSA)。
- 數(shù)據(jù)脫敏:使用數(shù)據(jù)脫敏技術,將敏感數(shù)據(jù)替換為無意義或偽裝的數(shù)據(jù)。例如,將真實的手機號碼替換為隨機生成的虛假號碼,或將真實的姓名替換為隨機生成的虛假姓名。
- 訪問控制:對API接口進行訪問控制,只允許經過身份驗證和授權的用戶訪問。使用身份驗證令牌(如JWT)或OAuth等協(xié)議對用戶進行身份驗證和授權。
- 日志記錄:對API接口的訪問和使用情況進行詳細的日志記錄,以便在發(fā)生安全事件時能夠迅速發(fā)現(xiàn)和應對。
- 數(shù)據(jù)傳輸安全:使用HTTPS協(xié)議進行數(shù)據(jù)傳輸,以確保數(shù)據(jù)傳輸過程中的安全性。
- 數(shù)據(jù)存儲安全:將敏感數(shù)據(jù)存儲在加密的數(shù)據(jù)庫中,并使用訪問控制列表(ACL)等技術對數(shù)據(jù)庫進行訪問控制。
項目中開發(fā)的API接口,可能有些接口返回的字段信息不能以明文的形式傳輸,這時候我們該如何進行處理呢?以下給出3中方式:
數(shù)據(jù)庫層面處理
在SQL查詢的時候進行處理,但這種效率不高,一般不會這樣處理。如下:
SELECT
CONCAT(LEFT( idNo, 6), '********', RIGHT (idNo, 4)) as idNo
FROM
users where id = 7;
查詢結果:
以掩碼的方式處理部分數(shù)據(jù)
數(shù)據(jù)加密處理
該種方式就是將你需要處理的字段完全通過對稱加密或者HASH算法進行處理。在寫入或者查詢數(shù)據(jù)的時候對敏感數(shù)據(jù)進行加密/解密處理。示例如下:
import JAVA.sql.*;
public class JdbcSensitiveDataProcess {
public static void main(String[] args) {
try {
// 連接數(shù)據(jù)庫
Connection conn = DataSourceUtils.getConnection() ;
// 創(chuàng)建Statement對象
Statement stmt = conn.createStatement();
// 執(zhí)行查詢語句
ResultSet rs = stmt.executeQuery("SELECT id, name, encrypted_data FROM t_xxx");
// 遍歷結果集
while (rs.next()) {
int id = rs.getInt("id");
String name = rs.getString("name");
String encryptedData = rs.getString("encrypted_data");
// 對加密數(shù)據(jù)進行解密處理
String decryptedData = decryptData(encryptedData);
// 輸出解密后的數(shù)據(jù)
System.out.println("ID: " + id + ", Name: " + name + ", Decrypted Data: " + decryptedData);
}
} catch (Exception e) {
e.printStackTrace();
} finally {
// 關閉數(shù)據(jù)庫相關資源
}
}
// 解密數(shù)據(jù)的方法,這里只是示例,實際需要根據(jù)具體的加密算法來實現(xiàn)
private static String decryptData(String encryptedData) {
// 解密邏輯...
// Cipher cipher = Cipher.getInsance(...) ;
return decryptedData;
}
}
JSON序列化時處理
API接口在生成JSON字符串的時候(序列化時)將敏感信息進行掩碼處理或者加密處理,接下來將詳細介紹第三種方式"JSON序列化時處理"。
JSON序列化處理脫敏
使用jackson時在對對象序列化時進行敏感字段的處理,為了簡單我們通過自定義注解的方式來實現(xiàn)該功能。
@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
// 該注解必須,不然jackson不會識別該注解
@JacksonAnnotationsInside
// 指定我們需要序列化字段的實現(xiàn)
@JsonSerialize(using = SensitiveSerializer.class)
public @interface Sensitive {
/**
* 正則表達式
* @return
*/
String pattern() default "" ;
/**
* 正則表達式的第幾個分組;該分組將被替換為掩碼mask
* @return
*/
int group() default 0 ;
/**
* 掩碼
* @return
*/
String mask() default "*" ;
public interface Pattern {
/**身份證*/
String ID = "(\w{5})(\w+)(\w{3})" ;
/**電話*/
String PHONE = "(\w){3}(\w+)(\w{2})" ;
/**私密*/
String KEY = "(\w+)" ;
}
}
上面的注釋類都有詳細的說明,不再做過多的說明。
自定義序列化實現(xiàn)
public class SensitiveSerializer extends JsonSerializer<String> implements ContextualSerializer {
private Sensitive sensitive ;
@Override
public void serialize(String value, JsonGenerator gen, SerializerProvider serializers) throws IOException {
String val = value ;
if (sensitive != null) {
String pattern = sensitive.pattern() ;
int groupIndex = sensitive.group() ;
String mask = sensitive.mask() ;
if (pattern.length() > 0) {
Pattern pa = Pattern.compile(pattern) ;
Matcher matcher = pa.matcher(value) ;
if (matcher.matches()) {
String group = matcher.group(groupIndex) ;
if (mask.length() > 0 && group.length() > 0) {
val = val.replace(group, String.join("", Collections.nCopies(group.length(), mask))) ;
}
}
}
}
gen.writeObject(val) ;
}
@Override
public JsonSerializer<?> createContextual(SerializerProvider prov, BeanProperty property)
throws JsonMAppingException {
sensitive = property.getAnnotation(Sensitive.class) ;
return this ;
}
}
該類實現(xiàn)了ContextualSerializer通過該類的回調方法能夠用來讀取當前字段上的注解信息。
public class Users {
@JsonFormat(pattern = "yyyy-MM-dd HH:mm:ss", timezone = "GMT+10")
private Date birthday ;
private Integer age ;
private String name ;
// 在需要處理的字段上加入上面定義的注解,這里我們也可以自定義表達式
@Sensitive(pattern = Sensitive.Pattern.ID)
private String idNo
}
運行效果:
idNo按照指定的規(guī)則進行了掩碼處理
完畢!!!
