Java SpringBoot 脱敏

一、前言

核心隐私数据无论对于企业还是用户来说尤其重要,因此要想办法杜绝各种隐私数据的泄漏。下面从以下三个方面讲解一下隐私数据如何脱敏,也是日常开发中需要注意的:

  1. 配置文件数据脱敏
  2. 接口返回数据脱敏
  3. 日志文件数据脱敏

文章目录如下:
2021-09-05-21-12-25-752379.png

二、配置文件如何脱敏?

经常会遇到这样一种情况:项目的配置文件中总有一些敏感信息,比如数据源的url、用户名、密码….这些信息一旦被暴露那么整个数据库都将会被泄漏,那么如何将这些配置隐藏呢?
以前都是手动将加密之后的配置写入到配置文件中,提取的时候再手动解密,当然这是一种思路,也能解决问题,但是每次都要手动加密、解密不觉得麻烦吗?
介绍一种方案,在无感知的情况下实现配置文件的加密、解密。利用一款开源插件:jasypt-spring-boot。项目地址:https://github.com/ulisesbocchio/jasypt-spring-boot
使用方法很简单,整合Spring Boot 只需要添加一个starter。

1. 添加依赖

  1. <dependency>
  2. <groupId>com.github.ulisesbocchio</groupId>
  3. <artifactId>jasypt-spring-boot-starter</artifactId>
  4. <version>3.0.3</version>
  5. </dependency>

2. 配置秘钥

在配置文件中添加一个加密的秘钥(任意),如下:

  1. jasypt:
  2. encryptor:
  3. password: Y6M9fAJQdU7jNp5MW

当然将秘钥直接放在配置文件中也是不安全的,可以在项目启动的时候配置秘钥,命令如下:

  1. java -jar xxx.jar -Djasypt.encryptor.password=Y6M9fAJQdU7jNp5MW

3. 生成加密后的数据

这一步骤是将配置明文进行加密,代码如下:

  1. @SpringBootTest
  2. @RunWith(SpringRunner.class)
  3. public class SpringbootJasyptApplicationTests {
  4. /**
  5. * 注入加密方法
  6. */
  7. @Autowired
  8. private StringEncryptor encryptor;
  9. /**
  10. * 手动生成密文,此处演示了url,user,password
  11. */
  12. @Test
  13. public void encrypt() {
  14. String url = encryptor.encrypt("jdbc\\:mysql\\://127.0.0.1\\:3306/test?useUnicode\\=true&characterEncoding\\=UTF-8&zeroDateTimeBehavior\\=convertToNull&useSSL\\=false&allowMultiQueries\\=true&serverTimezone=Asia/Shanghai");
  15. String name = encryptor.encrypt("root");
  16. String password = encryptor.encrypt("123456");
  17. System.out.println("database url: " + url);
  18. System.out.println("database name: " + name);
  19. System.out.println("database password: " + password);
  20. Assert.assertTrue(url.length() > 0);
  21. Assert.assertTrue(name.length() > 0);
  22. Assert.assertTrue(password.length() > 0);
  23. }
  24. }

上述代码对数据源的url、user、password进行了明文加密,输出的结果如下:

  1. database url: szkFDG56WcAOzG2utv0m2aoAvNFH5g3DXz0o6joZjT26Y5WNA+1Z+pQFpyhFBokqOp2jsFtB+P9b3gB601rfas3dSfvS8Bgo3MyP1nojJgVp6gCVi+B/XUs0keXPn+pbX/19HrlUN1LeEweHS/LCRZslhWJCsIXTwZo1PlpXRv3Vyhf2OEzzKLm3mIAYj51CrEaN3w5cMiCESlwvKUhpAJVz/uXQJ1spLUAMuXCKKrXM/6dSRnWyTtdFRost5cChEU9uRjw5M+8HU3BLemtcK0vM8iYDjEi5zDbZtwxD3hA=
  2. database name: L8I2RqYPptEtQNL4x8VhRVakSUdlsTGzEND/3TOnVTYPWe0ZnWsW0/5JdUsw9ulm
  3. database password: EJYCSbBL8Pmf2HubIH7dHhpfDZcLyJCEGMR9jAV3apJtvFtx9TVdhUPsAxjQ2pnJ

4. 将加密后的密文写入配置

jasypt默认使用ENC()包裹,此时的数据源配置如下:

  1. spring:
  2. datasource:
  3. # 数据源基本配置
  4. username: ENC(L8I2RqYPptEtQNL4x8VhRVakSUdlsTGzEND/3TOnVTYPWe0ZnWsW0/5JdUsw9ulm)
  5. password: ENC(EJYCSbBL8Pmf2HubIH7dHhpfDZcLyJCEGMR9jAV3apJtvFtx9TVdhUPsAxjQ2pnJ)
  6. driver-class-name: com.mysql.jdbc.Driver
  7. url: ENC(szkFDG56WcAOzG2utv0m2aoAvNFH5g3DXz0o6joZjT26Y5WNA+1Z+pQFpyhFBokqOp2jsFtB+P9b3gB601rfas3dSfvS8Bgo3MyP1nojJgVp6gCVi+B/XUs0keXPn+pbX/19HrlUN1LeEweHS/LCRZslhWJCsIXTwZo1PlpXRv3Vyhf2OEzzKLm3mIAYj51CrEaN3w5cMiCESlwvKUhpAJVz/uXQJ1spLUAMuXCKKrXM/6dSRnWyTtdFRost5cChEU9uRjw5M+8HU3BLemtcK0vM8iYDjEi5zDbZtwxD3hA=)
  8. type: com.alibaba.druid.pool.DruidDataSource

上述配置是使用默认的prefix=ENC(suffix=),当然可以根据自己的要求更改,只需要在配置文件中更改即可,如下:

  1. jasypt:
  2. encryptor:
  3. ## 指定前缀、后缀
  4. property:
  5. prefix: 'PASS('
  6. suffix: ')'

那么此时的配置就必须使用PASS()包裹才会被解密,如下:

  1. spring:
  2. datasource:
  3. # 数据源基本配置
  4. username: PASS(L8I2RqYPptEtQNL4x8VhRVakSUdlsTGzEND/3TOnVTYPWe0ZnWsW0/5JdUsw9ulm)
  5. password: PASS(EJYCSbBL8Pmf2HubIH7dHhpfDZcLyJCEGMR9jAV3apJtvFtx9TVdhUPsAxjQ2pnJ)
  6. driver-class-name: com.mysql.jdbc.Driver
  7. url: PASS(szkFDG56WcAOzG2utv0m2aoAvNFH5g3DXz0o6joZjT26Y5WNA+1Z+pQFpyhFBokqOp2jsFtB+P9b3gB601rfas3dSfvS8Bgo3MyP1nojJgVp6gCVi+B/XUs0keXPn+pbX/19HrlUN1LeEweHS/LCRZslhWJCsIXTwZo1PlpXRv3Vyhf2OEzzKLm3mIAYj51CrEaN3w5cMiCESlwvKUhpAJVz/uXQJ1spLUAMuXCKKrXM/6dSRnWyTtdFRost5cChEU9uRjw5M+8HU3BLemtcK0vM8iYDjEi5zDbZtwxD3hA=)
  8. type: com.alibaba.druid.pool.DruidDataSource

5. 总结

jasypt还有许多高级用法,比如可以自己配置加密算法,具体的操作可以参考Github上的文档。

三、接口返回数据如何脱敏?

通常接口返回值中的一些敏感数据也是要脱敏的,比如身份证号、手机号码、地址…..通常的手段就是用*隐藏一部分数据,当然也可以根据自己需求定制。
言归正传,如何优雅的实现呢?有两种实现方案,如下:

  • 整合Mybatis插件,在查询的时候针对特定的字段进行脱敏
  • 整合Jackson,在序列化阶段对特定字段进行脱敏
  • 基于Sharding Sphere实现数据脱敏

第一种方案网上很多实现方式,下面演示第二种,整合Jackson。

1. 自定义一个Jackson注解

需要自定义一个脱敏注解,一旦有属性被标注,则进行对应得脱敏,如下:

  1. /**
  2. * 自定义jackson注解,标注在属性上
  3. */
  4. @Retention(RetentionPolicy.RUNTIME)
  5. @Target(ElementType.FIELD)
  6. @JacksonAnnotationsInside
  7. @JsonSerialize(using = SensitiveJsonSerializer.class)
  8. public @interface Sensitive {
  9. //脱敏策略
  10. SensitiveStrategy strategy();
  11. }

2. 定制脱敏策略

针对项目需求,定制不同字段的脱敏规则,比如手机号中间几位用*替代,如下:

  1. /**
  2. * 脱敏策略,枚举类,针对不同的数据定制特定的策略
  3. */
  4. public enum SensitiveStrategy {
  5. /**
  6. * 用户名
  7. */
  8. USERNAME(s -> s.replaceAll("(\\S)\\S(\\S*)", "$1*$2")),
  9. /**
  10. * 身份证
  11. */
  12. ID_CARD(s -> s.replaceAll("(\\d{4})\\d{10}(\\w{4})", "$1****$2")),
  13. /**
  14. * 手机号
  15. */
  16. PHONE(s -> s.replaceAll("(\\d{3})\\d{4}(\\d{4})", "$1****$2")),
  17. /**
  18. * 地址
  19. */
  20. ADDRESS(s -> s.replaceAll("(\\S{3})\\S{2}(\\S*)\\S{2}", "$1****$2****"));
  21. private final Function<String, String> desensitizer;
  22. SensitiveStrategy(Function<String, String> desensitizer) {
  23. this.desensitizer = desensitizer;
  24. }
  25. public Function<String, String> desensitizer() {
  26. return desensitizer;
  27. }
  28. }

以上只是提供了部分,具体根据自己项目要求进行配置。

3. 定制JSON序列化实现

下面将是重要实现,对标注注解@Sensitive的字段进行脱敏,实现如下:

  1. /**
  2. * 序列化注解自定义实现
  3. * JsonSerializer<String>:指定String 类型,serialize()方法用于将修改后的数据载入
  4. */
  5. public class SensitiveJsonSerializer extends JsonSerializer<String> implements ContextualSerializer {
  6. private SensitiveStrategy strategy;
  7. @Override
  8. public void serialize(String value, JsonGenerator gen, SerializerProvider serializers) throws IOException {
  9. gen.writeString(strategy.desensitizer().apply(value));
  10. }
  11. /**
  12. * 获取属性上的注解属性
  13. */
  14. @Override
  15. public JsonSerializer<?> createContextual(SerializerProvider prov, BeanProperty property) throws JsonMappingException {
  16. Sensitive annotation = property.getAnnotation(Sensitive.class);
  17. if (Objects.nonNull(annotation)&&Objects.equals(String.class, property.getType().getRawClass())) {
  18. this.strategy = annotation.strategy();
  19. return this;
  20. }
  21. return prov.findValueSerializer(property.getType(), property);
  22. }
  23. }

4. 定义Person类,对其数据脱敏

使用注解@Sensitive注解进行数据脱敏,代码如下:

  1. @Data
  2. public class Person {
  3. /**
  4. * 真实姓名
  5. */
  6. @Sensitive(strategy = SensitiveStrategy.USERNAME)
  7. private String realName;
  8. /**
  9. * 地址
  10. */
  11. @Sensitive(strategy = SensitiveStrategy.ADDRESS)
  12. private String address;
  13. /**
  14. * 电话号码
  15. */
  16. @Sensitive(strategy = SensitiveStrategy.PHONE)
  17. private String phoneNumber;
  18. /**
  19. * 身份证号码
  20. */
  21. @Sensitive(strategy = SensitiveStrategy.ID_CARD)
  22. private String idCard;
  23. }

5. 模拟接口测试

以上4个步骤完成了数据脱敏的Jackson注解,下面写个controller进行测试,代码如下:

  1. @RestController
  2. public class TestController {
  3. @GetMapping("/test")
  4. public Person test(){
  5. Person user = new Person();
  6. user.setRealName("不才");
  7. user.setPhoneNumber("19796328206");
  8. user.setAddress("浙江省杭州市温州市....");
  9. user.setIdCard("4333333333334334333");
  10. return user;
  11. }
  12. }

调用接口查看数据有没有正常脱敏,结果如下:

  1. {
  2. "realName": "不*",
  3. "address": "浙江省****市温州市..****",
  4. "phoneNumber": "197****8206",
  5. "idCard": "4333****34333"
  6. }

6. 总结

数据脱敏有很多种实现方式,关键是哪种更加适合,哪种更加优雅…..

四、日志文件如何数据脱敏?

上面讲了配置文件、接口返回值的数据脱敏,现在总该轮到日志脱敏了。项目中总避免不了打印日志,肯定会涉及到一些敏感数据被明文打印出来,那么此时就需要过滤掉这些敏感数据(身份证、号码、用户名…..)。
下面以log4j2这款日志为例讲解一下日志如何脱敏,其他日志框架大致思路一样。

1. 添加log4j2日志依赖

Spring Boot 默认日志框架是logback,但是可以切换到log4j2,依赖如下:

  1. <dependency>
  2. <groupId>org.springframework.boot</groupId>
  3. <artifactId>spring-boot-starter-web</artifactId>
  4. <!-- 去掉springboot默认配置 -->
  5. <exclusions>
  6. <exclusion>
  7. <groupId>org.springframework.boot</groupId>
  8. <artifactId>spring-boot-starter-logging</artifactId>
  9. </exclusion>
  10. </exclusions>
  11. </dependency>
  12. <!--使用log4j2替换 LogBack-->
  13. <dependency>
  14. <groupId>org.springframework.boot</groupId>
  15. <artifactId>spring-boot-starter-log4j2</artifactId>
  16. </dependency>

2. 在/resource目录下新建log4j2.xml配置

log4j2的日志配置很简单,只需要在/resource文件夹下新建一个log4j2.xml配置文件,内容如下图:
2021-09-05-21-12-26-783235.png2021-09-05-21-12-27-403910.png
上图的配置并没有实现数据脱敏,这是普通的配置,使用的是PatternLayout

3. 自定义PatternLayout实现数据脱敏

步骤2中的配置使用的是PatternLayout实现日志的格式,那么也可以自定义一个PatternLayout来实现日志的过滤脱敏。
PatternLayout的类图继承关系如下:
2021-09-05-21-12-27-773020.png
从上图中可以清楚的看出来,PatternLayout继承了一个抽象类AbstractStringLayout,因此想要自定义只需要继承这个抽象类即可。

1、创建CustomPatternLayout,继承抽象类AbstractStringLayout

代码如下:

  1. /**
  2. * log4j2 脱敏插件
  3. * 继承AbstractStringLayout
  4. **/
  5. @Plugin(name = "CustomPatternLayout", category = Node.CATEGORY, elementType = Layout.ELEMENT_TYPE, printObject = true)
  6. public class CustomPatternLayout extends AbstractStringLayout {
  7. public final static Logger logger = LoggerFactory.getLogger(CustomPatternLayout.class);
  8. private PatternLayout patternLayout;
  9. protected CustomPatternLayout(Charset charset, String pattern) {
  10. super(charset);
  11. patternLayout = PatternLayout.newBuilder().withPattern(pattern).build();
  12. initRule();
  13. }
  14. /**
  15. * 要匹配的正则表达式map
  16. */
  17. private static Map<String, Pattern> REG_PATTERN_MAP = new HashMap<>();
  18. private static Map<String, String> KEY_REG_MAP = new HashMap<>();
  19. private void initRule() {
  20. try {
  21. if (MapUtils.isEmpty(Log4j2Rule.regularMap)) {
  22. return;
  23. }
  24. Log4j2Rule.regularMap.forEach((a, b) -> {
  25. if (StringUtils.isNotBlank(a)) {
  26. Map<String, String> collect = Arrays.stream(a.split(",")).collect(Collectors.toMap(c -> c, w -> b, (key1, key2) -> key1));
  27. KEY_REG_MAP.putAll(collect);
  28. }
  29. Pattern compile = Pattern.compile(b);
  30. REG_PATTERN_MAP.put(b, compile);
  31. });
  32. } catch (Exception e) {
  33. logger.info(">>>>>> 初始化日志脱敏规则失败 ERROR:{}", e);
  34. }
  35. }
  36. /**
  37. * 处理日志信息,进行脱敏
  38. * 1.判断配置文件中是否已经配置需要脱敏字段
  39. * 2.判断内容是否有需要脱敏的敏感信息
  40. * 2.1 没有需要脱敏信息直接返回
  41. * 2.2 处理: 身份证 ,姓名,手机号敏感信息
  42. */
  43. public String hideMarkLog(String logStr) {
  44. try {
  45. //1.判断配置文件中是否已经配置需要脱敏字段
  46. if (StringUtils.isBlank(logStr) || MapUtils.isEmpty(KEY_REG_MAP) || MapUtils.isEmpty(REG_PATTERN_MAP)) {
  47. return logStr;
  48. }
  49. //2.判断内容是否有需要脱敏的敏感信息
  50. Set<String> charKeys = KEY_REG_MAP.keySet();
  51. for (String key : charKeys) {
  52. if (logStr.contains(key)) {
  53. String regExp = KEY_REG_MAP.get(key);
  54. logStr = matchingAndEncrypt(logStr, regExp, key);
  55. }
  56. }
  57. return logStr;
  58. } catch (Exception e) {
  59. logger.info(">>>>>>>>> 脱敏处理异常 ERROR:{}", e);
  60. //如果抛出异常为了不影响流程,直接返回原信息
  61. return logStr;
  62. }
  63. }
  64. /**
  65. * 正则匹配对应的对象。
  66. *
  67. * @param msg
  68. * @param regExp
  69. * @return
  70. */
  71. private static String matchingAndEncrypt(String msg, String regExp, String key) {
  72. Pattern pattern = REG_PATTERN_MAP.get(regExp);
  73. if (pattern == null) {
  74. logger.info(">>> logger 没有匹配到对应的正则表达式 ");
  75. return msg;
  76. }
  77. Matcher matcher = pattern.matcher(msg);
  78. int length = key.length() + 5;
  79. boolean contains = Log4j2Rule.USER_NAME_STR.contains(key);
  80. String hiddenStr = "";
  81. while (matcher.find()) {
  82. String originStr = matcher.group();
  83. if (contains) {
  84. // 计算关键词和需要脱敏词的距离小于5。
  85. int i = msg.indexOf(originStr);
  86. if (i < 0) {
  87. continue;
  88. }
  89. int span = i - length;
  90. int startIndex = span >= 0 ? span : 0;
  91. String substring = msg.substring(startIndex, i);
  92. if (StringUtils.isBlank(substring) || !substring.contains(key)) {
  93. continue;
  94. }
  95. hiddenStr = hideMarkStr(originStr);
  96. msg = msg.replace(originStr, hiddenStr);
  97. } else {
  98. hiddenStr = hideMarkStr(originStr);
  99. msg = msg.replace(originStr, hiddenStr);
  100. }
  101. }
  102. return msg;
  103. }
  104. /**
  105. * 标记敏感文字规则
  106. *
  107. * @param needHideMark
  108. * @return
  109. */
  110. private static String hideMarkStr(String needHideMark) {
  111. if (StringUtils.isBlank(needHideMark)) {
  112. return "";
  113. }
  114. int startSize = 0, endSize = 0, mark = 0, length = needHideMark.length();
  115. StringBuffer hideRegBuffer = new StringBuffer("(\\S{");
  116. StringBuffer replaceSb = new StringBuffer("$1");
  117. if (length > 4) {
  118. int i = length / 3;
  119. startSize = i;
  120. endSize = i;
  121. } else {
  122. startSize = 1;
  123. endSize = 0;
  124. }
  125. mark = length - startSize - endSize;
  126. for (int i = 0; i < mark; i++) {
  127. replaceSb.append("*");
  128. }
  129. hideRegBuffer.append(startSize).append("})\\S*(\\S{").append(endSize).append("})");
  130. replaceSb.append("$2");
  131. needHideMark = needHideMark.replaceAll(hideRegBuffer.toString(), replaceSb.toString());
  132. return needHideMark;
  133. }
  134. /**
  135. * 创建插件
  136. */
  137. @PluginFactory
  138. public static Layout createLayout(@PluginAttribute(value = "pattern") final String pattern,
  139. @PluginAttribute(value = "charset") final Charset charset) {
  140. return new CustomPatternLayout(charset, pattern);
  141. }
  142. @Override
  143. public String toSerializable(LogEvent event) {
  144. return hideMarkLog(patternLayout.toSerializable(event));
  145. }
  146. }

关于其中的一些细节,比如@Plugin@PluginFactory这两个注解什么意思?log4j2如何实现自定义一个插件,这里不再详细介绍,有兴趣的可以查看log4j2的官方文档。

2、自定义自己的脱敏规则

上述代码中的Log4j2Rule则是脱敏规则静态类,这里是直接放在了静态类中配置,实际项目中可以设置到配置文件中,代码如下:

  1. /**
  2. * 现在拦截加密的日志有三类:
  3. * 1,身份证
  4. * 2,姓名
  5. * 3,身份证号
  6. * 加密的规则后续可以优化在配置文件中
  7. **/
  8. public class Log4j2Rule {
  9. /**
  10. * 正则匹配 关键词 类别
  11. */
  12. public static Map<String, String> regularMap = new HashMap<>();
  13. /**
  14. * TODO 可配置
  15. * 此项可以后期放在配置项中
  16. */
  17. public static final String USER_NAME_STR = "Name,name,联系人,姓名";
  18. public static final String USER_IDCARD_STR = "empCard,idCard,身份证,证件号";
  19. public static final String USER_PHONE_STR = "mobile,Phone,phone,电话,手机";
  20. /**
  21. * 正则匹配,自己根据业务要求自定义
  22. */
  23. private static String IDCARD_REGEXP = "(\\d{17}[0-9Xx]|\\d{14}[0-9Xx])";
  24. private static String USERNAME_REGEXP = "[\\u4e00-\\u9fa5]{2,4}";
  25. private static String PHONE_REGEXP = "(?<!\\d)(?:(?:1[3456789]\\d{9})|(?:861[356789]\\d{9}))(?!\\d)";
  26. static {
  27. regularMap.put(USER_NAME_STR, USERNAME_REGEXP);
  28. regularMap.put(USER_IDCARD_STR, IDCARD_REGEXP);
  29. regularMap.put(USER_PHONE_STR, PHONE_REGEXP);
  30. }
  31. }

经过上述两个步骤,自定义的PatternLayout已经完成,下面将是改写log4j2.xml这个配置文件了。

4. 修改log4j2.xml配置文件

其实这里修改很简单,原配置文件是直接使用PatternLayout进行日志格式化的,那么只需要将默认的<PatternLayout/>这个节点替换成<CustomPatternLayout/>,如下图:
2021-09-05-21-12-28-792636.png
直接全局替换掉即可,至此,这个配置文件就修改完成了。

5. 演示效果

在步骤3这边自定义了脱敏规则静态类Log4j2Rule,其中定义了姓名、身份证、号码这三个脱敏规则,如下:
2021-09-05-21-12-30-485726.png
下面就来演示这三个规则能否正确脱敏,直接使用日志打印,代码如下:

  1. @Test
  2. public void test3(){
  3. log.debug("身份证:{},姓名:{},电话:{}","320829112334566767","不要说","19896327106");
  4. }

控制台打印的日志如下:

  1. 身份证:320829******566767,姓名:不***,电话:198*****106

6. 总结

日志脱敏的方案很多,这也只是介绍一种常用的。