優雅!Spring Boot處理日志中的敏感數據
環境:Spring Boot3.2.5
1. 簡介
在當前的數據保護時代,我們必須高度重視個人敏感數據的處理與記錄。鑒于數據量龐大,我們在記錄這些信息時,必須格外小心,采取適當措施來屏蔽或保護用戶的敏感信息,以保障他們的隱私權不受侵犯。
本篇文章,我將詳細介紹如何使用 Logback 隱藏日志中的敏感數據。雖然這種方法是日志文件的最后一道防線,但它并不是解決問題的最終方案。敏感數據是指任何需要防止未經授權訪問的信息。這可能包括任何個人身份信息,如社會安全號碼、銀行信息、登錄憑據、地址、電子郵件等。
Logback 是 Java 社區使用最廣泛的日志框架之一。它取代了其前身 Log4j。Logback 的實現速度更快,配置選項更多,而且在歸檔舊日志文件方面更具靈活性。
接下來,我們將在登錄應用程序日志時屏蔽屬于用戶的敏感數據。
2. 實戰案例
2.1 環境準備
準備實體對象
public class User {
private Long id ;
private String name ;
private String address ;
private String phone ;
private String password ;
private String email ;
// getters, setters
}我們后續將對上面的name,phone,password,email進行脫敏處理。
接口定義
@GetMapping("/login")
public User login() throws Exception {
// TODO
User user = new User(1L, "張三", "新疆", "1399999999", "123456789", "xxxooo@qq.com") ;
logger.info("用戶信息: {}", new ObjectMapper().writeValueAsString(user)) ;
return user ;
}在正常情況下訪問上面的接口日志輸出如下:
圖片
接下來,我們將要處理這里的敏感字段。
2.2 自定義PatternLayout
PatternLayout類可以通過模式字符串配置的靈活布局。這個類的目標是格式化一個ILoggingEvent并以{#link String}的形式返回結果。結果的格式取決于轉換模式。
public class MaskingPatternLayout extends PatternLayout {
private Pattern multilinePattern;
private List<String> maskPatterns = new ArrayList<>();
public void addMaskPattern(String maskPattern) {
maskPatterns.add(maskPattern);
multilinePattern = Pattern.compile(maskPatterns.stream().collect(Collectors.joining("|")), Pattern.MULTILINE);
}
@Override
public String doLayout(ILoggingEvent event) {
return maskMessage(super.doLayout(event));
}
private String maskMessage(String content) {
if (multilinePattern == null) {
return content;
}
StringBuilder sb = new StringBuilder(content);
Matcher matcher = multilinePattern.matcher(sb);
while (matcher.find()) {
IntStream.rangeClosed(1, matcher.groupCount()).forEach(group -> {
if (matcher.group(group) != null) {
IntStream.range(matcher.start(group), matcher.end(group)).forEach(i -> sb.setCharAt(i, '*'));
}
});
}
return sb.toString();
}
}PatternLayout.doLayout()的實現負責在應用程序的每條日志信息中屏蔽匹配的數據,前提是這些數據與配置的模式之一相匹配。
接下來就可以在logback-spring.xml中配置;logback.xml 中的 maskPatterns 列表可構建多行模式。如果它以屬性列表的形式出現,那么每個配置項都會調用 addMaskPattern。
2.3 配置Appender
<appender name="mask" class="ch.qos.logback.core.ConsoleAppender">
<encoder class="ch.qos.logback.core.encoder.LayoutWrappingEncoder">
<layout class="com.pack.sensitive.log.MaskingPatternLayout">
<maskPattern>\"name\"\s*:\s*\"(.*?)\"</maskPattern>
<maskPattern>\"phone\"\s*:\s*\"(.*?)\"</maskPattern>
<maskPattern>\"password\"\s*:\s*\"(.*?)\"</maskPattern>
<maskPattern>([\w.-]+@[\w.-]+\.\w+)</maskPattern>
<pattern>%d{22:mm:ss} %-5level %logger Line:%-3L - %msg%n</pattern>
<charset>UTF-8</charset>
</layout>
</encoder>
</appender>這里我添加了4個模式用來匹配上面提到的4個字段。有個該配置后再次進行訪問上面的接口
圖片
控制臺日志輸出
正確的將我們需要處理的字段進行了脫敏。
如果我們是直接打印的對象呢?
User user = new User(1L, "張三", "新疆", "1399999999", "123456789", "xxxooo@qq.com") ;
logger.info("用戶信息: {}", new ObjectMapper().writeValueAsString(user)) ;
logger.info("直接打印對象: {}", user) ;日志輸出
圖片
對于這種情況,我們還需要定義更多的模式,如下:
<maskPattern>name\s*=\s*(.*?),</maskPattern>
<maskPattern>password\s*=\s*(.*?),</maskPattern>再次訪問接口
正確的脫敏了此種情況。
