说明:在项目里,经常可以看到以下日志内容,将对象序列化后直接打印出来,观察对象数据,判断当前处理逻辑正确与否。
(以下信息来自:https://www.tl.beer/randbankcard.html生成器,信息均为虚构)
一般来说,数据库服务器和应用服务器(项目)不会是一台服务器,不会放在一起,但项目产生的日志一定是和项目放在一起的,通常就是在项目目录里。所以,日志文件如果被泄露,用户的数据(证件号、手机号、真实姓名)也就被泄露了,这样做有风险。以下介绍几种方式,来排除日志中的敏感属性值。
方式一:重写toString()
最简单的方式,重写对象的toString()方法,只打印非敏感属性值,如下:
import lombok.*;
import java.io.Serializable;@AllArgsConstructor
@NoArgsConstructor
@Getter
@Setter
public class User implements Serializable {/*** id*/private String id;/*** 证件号*/private String cardNo;/*** 手机号*/private String phone;/*** 姓名*/private String name;/*** 用户名*/private String username;/*** 密码*/private String password;@Overridepublic String toString() {return "User{" +"id='" + id + '\'' +", username='" + username + '\'' +'}';}
}
同样,在调用打印日志信息时,就不能用序列化的方式了,需要改成toString(),或直接输入变量名
log.info("user: {}", user);// 或 user.toString()
但是,如果你对象的toString()方法另有他用,或者系统中打印日志已经都是序列化的方式了(如 JSON.toJson()),一个个去改太麻烦,这种方式就不适合了,推荐下面两种方式。
方式二:transient关键字
可以使用Java关键字,transient,修饰属性,表示改属性不能被序列化,如下:
import lombok.*;
import java.io.Serializable;@Data
public class User implements Serializable {/*** id*/private String id;/*** 证件号*/private transient String cardNo;/*** 手机号*/private transient String phone;/*** 姓名*/private transient String name;/*** 用户名*/private String username;/*** 密码*/private transient String password;
}
敏感字段未被序列化
方式三:@JsonIgnore注解
使用JSON自带的注解,@JsonIgnore,这个注解的作用同样是序列化的时候排除该属性,也能达到相同的目的;
import com.fasterxml.jackson.annotation.JsonIgnore;
import lombok.*;
import java.io.Serializable;@Data
public class User implements Serializable {/*** id*/private String id;/*** 证件号*/@JsonIgnoreprivate String cardNo;/*** 手机号*/@JsonIgnoreprivate String phone;/*** 姓名*/@JsonIgnoreprivate String name;/*** 用户名*/private String username;/*** 密码*/@JsonIgnoreprivate String password;
}
总结
除了以上三种方式外,或许还有其他方法,比如加密输出,让显示在日志中的是密文,对于开发人员排查问题来说,这些敏感数据是无关紧要的,明文密文都差不多,如果想知道明文内容,可以在程序里写个main()方法转为明文,只麻烦了一点点。
