前言

在我們書寫代碼的時候，會書寫許多日志代碼，但是有些敏感數據是需要進行安全脫敏處理的。

對于日志脫敏的方式有很多，常見的有①使用conversionRule標簽，繼承MessageConverter②書寫一個脫敏工具類，在打印日志的時候對特定特字段進行脫敏返回。

兩種方式各有優缺點：

第一種方式需要修改代碼，不符合開閉原則。

第二種方式，需要在日志方法的參數進行脫敏，對原生日志有入侵行為。

基于 Spring Boot + MyBatis Plus + Vue & Element 實現的后臺管理系統 + 用戶小程序，支持 RBAC 動態權限、多租戶、數據權限、工作流、三方登錄、支付、短信、商城等功能

自定義脫敏組件（slf4j+logback）

一個項目在書寫了很多打印日志的代碼，但是后面有了脫敏需求，如果我們去手動改動代碼，會花費大量時間。如果引入本組件，完成配置即可輕松完成脫敏。（僅需三步可輕松配置）

一、自定義脫敏組件 - 脫敏效果演示

二、自定義脫敏組件 - 使用方式

1、引入Jar包依賴

前提是你將Jar包打入本地倉庫，Jar包地址見后文。

pers.liuchengyin
logback-desensitization
1.0.0

2、替換日志文件配置類(logback.xml)

日志打印方式都只需要替換成脫敏的類即可，如果你的業務不需要，則無需替換。

①ConsoleAppender - 控制臺脫敏

//原類
ch.qos.logback.core.ConsoleAppender
//替換類
pers.liuchengyin.logbackadvice.LcyConsoleAppender

②RollingFileAppender - 滾動文件

//原類
ch.qos.logback.core.rolling.RollingFileAppender
//替換類
pers.liuchengyin.logbackadvice.LcyRollingFileAppender

③FileAppender - 文件

//原類
ch.qos.logback.core.FileAppender
//替換類
pers.liuchengyin.logbackadvice.LcyFileAppender

替換示例：

 



${CONSOLE_LOG_PATTERN}

3、添加脫敏配置文件(logback-desensitize.yml)

該配置文件應該放在resources文件下

三、自定義脫敏組件 - 脫敏規范

1、支持數據類型

八大基本類型及其包裝類型、Map、List、業務里的Pojo對象、List<業務里的Pojo對象>、JSON字符串。

注：在配置文件中配置的時候，只需要配置對象里的屬性值就行。

2、不支持的數據類型

List<八大基本類型及包裝類型>，因為不知道脫敏的數據源具體是哪一個。

3、匹配規則

key + 分割符 + value，目前僅支持冒號(:)和等號(=)，示例如下：

log.info("youremail:{},yourphone:{}","123456789@qq.com","15310763497");
log.info("youremail={},yourcellphone={}","123456789@qq.com","15310763497");

key：定義了對應需要脫敏的關鍵字，如上訴的email、phone等以及業務對象中的字段、Map中的Key、JSON中的Key

value：需要脫敏的值，如上訴的123456789@qq.com、15310763497。

4、日志規范

建議書寫日志的時候盡量規范，對于key為中文的是沒有辦法脫敏的，規范程度可以見脫敏效果演示里的代碼。

四、logback-desensitize.yml配置說明

>基于SpringCloudAlibaba+Gateway+Nacos+RocketMQ+Vue&Element實現的后臺管理系統+用戶小程序，支持RBAC動態權限、多租戶、數據權限、工作流、三方登錄、支付、短信、商城等功能
>
>*項目地址：
>*視頻教程：

#日志脫敏
log-desensitize:
#是否忽略大小寫匹配，默認為true
ignore:true
#是否開啟脫敏，默認為false
open:true
#pattern下的key/value為固定脫敏規則
pattern:
#郵箱-@前第4-7位脫敏
email:"@>(4,7)"
#qq郵箱-@后1-3位脫敏
qqemail:"@<(1,3)"
????#?姓名?-?姓脫敏，如*杰倫
????name:?1,1
????#?密碼?-?所有需要完全脫敏的都可以使用內置的password
????password:?password
??patterns:
????#?身份證號，key后面的字段都可以匹配以下規則(用逗號分隔)
????-?key:?identity,idcard
??????#?定義規則的標識
??????custom:
????????# defaultRegex表示使用組件內置的規則：identity表示身份證號?-?內置的18/15位
????????-?defaultRegex:?identity
??????????position:?9,13
????????#?內置的other表示如果其他規則都無法匹配到，則按該規則處理
????????-?defaultRegex:?other
??????????position:?9,10
????#?電話號碼，key后面的字段都可以匹配以下規則(用逗號分隔)
????-?key:?phone,cellphone,mobile
??????custom:
????????#?手機號?-?內置的11位手機匹配規則
????????-?defaultRegex:?phone
??????????position:?4,7
????????#?自定義正則匹配表達式：座機號(帶區號，號碼七位|八位)
????????-?customRegex:?"^0[0-9]{2,3}-[0-9]{7,8}"
????????#?-后面的1-4位脫敏
??????????position:?"-<(1,4)"
????????#?自定義正則匹配表達式：座機號(不帶區號)
????????-?customRegex:?"^[0-9]{7,8}"
??????????position:?3,5
????????#?內置的other表示如果其他規則都無法匹配到，則按該規則處理
????????-?defaultRegex:?other
??????????position:?1,3
????#?這種方式不太推薦?-?一旦匹配不上，就不會脫敏
????-?key:?localMobile
??????custom:
??????????customRegex:?"^0[0-9]{2,3}-[0-9]{7,8}"
??????????position:?1,3

上面這個配置是相對完整的，一定要嚴格遵守層級配置格式。

自定義脫敏支持的方式

1、key:value的方式

phone：4,7，表示phone屬性的4-7位進行脫敏

原始數據：13610357861

脫敏后：136**** 7861

2、以符號作為起始、結束節點作為脫敏標志

emai:"@>(4,7)"，@為脫敏標志，>表示其為結束節點，<表示其為開始節點。即@>表示對@之前的進行脫敏，@<表示對@之后的進行脫敏。這個示例就是@前的數據的第4-7位進行脫敏。

注意：這種規則里的雙引號、括號不能省略，其次:和=不能作為標志符號，因為和匹配規則有沖突

原始數據：123456789@qq.com

"@>(4,7)"脫敏后：123**** 89@qq.com

"@<(1,3)"脫敏后：123456789@***com

3、自定義正則脫敏

patterns:
#手機號
-key:phone,mobile
custom:
#手機號的正則
-customRegex:"^1[0-9]{10}"
#脫敏范圍
position:4,7

customRegex：正則表達式，如果符合該表達式，則使用其對應的脫敏規則(position)

4、一個字段，根據多種值含義進行自定義脫敏

比如說，username字段的值可以是手機號、也可以是郵箱，這個值動態改變的，前面幾種方式都沒辦法解決，可以使用該方式。

patterns:
-key:username
custom:
#手機號-11位
-defaultRegex:phone
position:4,7
#郵箱-@
-defaultRegex:email
position:"@>(3,12)"
#身份證-15/18位
-defaultRegex:identity
position:1,3
#自定義正則
-customRegex:"^1[0-9]{10}"
position:1,3
#都匹配不到時，按照這種規則來
-defaultRegex:other
position:1,3

注意：上面示例中匹配規則里的 雙引號和括號 都不能省略

該組件內置四種匹配規則：手機號、身份證號、郵箱、other(其他匹配不到時用的)，內置一種脫敏方式：password，表示完全脫敏，可用于pattren下的。

注：當pattern和patterns下的key有重復的時候，只會使用pattern下指定的方式進行脫敏。

Jar包打入Maven本地倉庫的方式

1、下載Jar包，放在一個文件夾里

2、在這個文件夾里打開cmd(打開cmd，進入到這個文件夾)

3、執行命令(前提保證maven配置正常，使用mvn -v命令查看是否正常，如果顯示版本號表示正常)

mvninstall:install-file-DgroupId=pers.liuchengyin-DartifactId=logback-desensitization-Dversion=1.0.0-Dpackaging=jar-Dfile=logback-desensitization-1.0.0.jar

命令說明：

-DgroupId
表示jar對應的groupId
pers.liuchengyin
-DartifactId:
表示jar對應的artifactId
logback-desensitization
-Dversion
表示jar對應的version
1.0.0

審核編輯：劉清