海绵宝宝的懊恼

海绵宝宝十分喜爱网上购物，这让他感觉到被资本腐烂的高兴。

然而有一件事他始终感觉很麻烦，疾速上的收件单写满了他的个人信息，撕起来还很麻烦。

快递单号：202202181111
收件人姓名：海绵宝宝
收件人手机：138 8888 8888
收件人地址：太平洋比基尼海滩比奇堡镇贝壳街 124 号的波萝屋
备注：暗号是天王盖地虎

你有没有遇到过和海绵宝宝一样的懊恼呢？又是怎么解决的呢？

用户信息隐衷平安

今天上线的需要

小明往年 26 岁，是一名普普通通的上班族。在某互联网公司做技术开发。

“小明啊，有一个简略的需要。”，产品经理笑着朝小明走来。

“哦，又是简略的需要？”小明看了一下产品，“需要文档写了吗？”

“简略的很，写啥文档呀。”，产品经理接着说，“和上次相似，加一个商品交易记录列表就行。这个需要很急哈，今天能上线吧？”

“相似个锤子，上次的需要不也是做了一周。你把文档写分明，过一下需要，排期另说。”，小明也不受骗。

在具体设计实现之后，小明开始进行开发阶段。

写的还算比较顺利：

public void doTransaction(TransactionDto dto) {
    // 输入日志
    log.info("进行交易：{}", JSON.toJSON(dto));

    // 执行业务解决

    // 执行落库
}

TransactionDto 中蕴含了商品购买者的姓名、手机号、寓居地址以及交易的相干信息。

数据库中间接把响应的明文存储，页面间接列表展示。

这个需要很简略，小明想着，就等着测试验证了。

用户信息安全

不过在代码评审的时候，项目经理却提出了一个问题，你的代码爱护用户的信息安全了吗？

（1）不应该日志中明文输入用户私人信息

（2）不应该页面中明文展现用户私人信息

（3）不应该在数据库中明文存储用户私人信息

并且以快递单号为例子，他应该如下：

快递单号：202202181111
收件人姓名：海 ** 宝
收件人手机：138 **** 8888
收件人地址：太平洋比基尼海滩比奇堡镇 ********
备注：暗号是天王盖地虎

这样的益处很显著，就算收件人不去撕掉这张单号，也不会裸露太多用户个人信息。

小明有些不了解，“不让日志输入，那怎么排查问题啊？”

“你能够输入脱敏信息。禁止日志输入，就是防止能够查看日志的人，透露用户个人信息。”

“那页面不让明文展现，经营怎么解决日常问题呢？”

“页面能够增加明文显示的按钮，限定对应的权限，并且记录操作日志。”

“数据库不让存储明文，那怎么玩啊？”

“你能够去理解下可逆加密。”，项目经理顿了顿，“重写吧，再给你 2 天工夫。”

“好吧”，小明有些失落。

技术实现的调整

日志脱敏脱敏

对于日志脱敏，小明能想到的最间接的办法，就是重载类的 toString() 方然，而后用工具类脱敏敏感信息。

不过他的共事老马给他举荐了一个基于注解的脱敏工具包，用起来还算不便：

https://github.com/houbb/sensitive

• 基于注解的日志脱敏。
• 能够自定义策略实现，策略失效条件。
• 常见的脱敏内置计划。
• java 深拷贝，且原始对象不必实现任何接口。
• 反对用户自定义注解。
• 反对基于 FastJSON 间接生成脱敏后的 json

数据库可逆加密

为了防止开发者、DBA、歹意攻击者等透露数据库信息，数据库中的敏感信息须要进行加密。

比方数据库中的手机号

phone 13066668888

须要调整为如下：

phone_chiper  BABABABABABABABBABABABA   # 加密之后的密文
phone_mask    130****8888               # 手机号掩码
phone_hash    FFFFFFFFFFFFFFFFFFFFFFFF  # 手机号哈希

加密算法要求是可逆加密，如 AES/3DES/SM4 等。

掩码能够和下面的脱敏保持一致，次要用户初步的信息确认等。

哈希个别用于精准查问，采纳 MD5/SHA 等常见单向哈希即可。

你是一名黑客，你看到了数据库中的掩码 + 哈希，且晓得他们哈希算法是 MD5 哈希，能够获取对应的手机号明文吗？

答案是能够的，所以咱们在 抉择哈希算法实现的时候要思考这些问题。

如何获取明文，又如何防止这个问题呢？

欢送小伙伴在评论区留言。

页面的功能设计

产品在敏感信息方面，如果是一个老手，可能会要求明文展现，或者明文导出。

如果你作为安全部门，或者项目经理，肯定要把相干的需要给间接的明文的需要砍掉。

产品经理：砍我能够，砍需要不行。

安全部门：数据必须保障平安。

项目经理：咱们加一个明文查看的按钮性能，增加权限管制，记录查看日志。不影响业务，又保障数据安全。

前后端开发：……

架构层面

当然，下面的状况，可能只是小明作为一名开发的日常。

那如果是一家公司呢？

如果你作为已加电商 / 金融公司的技术架构，你会如何爱护用户信息的平安隐衷呢？

加密机服务

当公司的业务规模达到肯定水平时，咱们的利用往往就不再是单体，目前支流的是微服务架构。

每一家金融公司，都会有一个加密机服务，用于对立提供下面小明遇到的业务问题。

为不同类型的敏感数据，提供相应的脱敏、可逆加密、哈希服务。

为什么须要

咱们把这些实现，写成一个工具类放在代码里不就行了吗？为什么还要搞一个加密机服务呢。

先说比拟常见的起因：

（1）进步工作效率

有对立的加密服务和对应的 SDK 之后，能够缩短迭代周期。

研发的技术水平参差不齐，节约了他们学习 + 编写的工夫。

测试的程度也是相似，同样也能够节约测试验证的工夫。

而这，也正是公共服务最大的魅力。

（2）架构之美

如果没有对立的加密服务，每个开发来一套，会导致每个零碎的差别比拟大。

整体的数据信息就会乌七八糟，当须要数据整合，或者对立的加密降级时，代价会十分高。

（3）家贼难防

现在的公司，都在一直的减弱研发的生产权限。

一家正规的公司，严格依照流程，是不会呈现删库跑路的事件的。

代码编写，须要功能测试 + 代码覆盖率 +code review，防止研发植入业务无关代码。

脚本执行，须要业务端发动 + 项目经理审核 +DBA 审核，防止歹意操作。

生产公布变更，须要上线打算 + 审核，防止歹意操作。

日志查看，支流的都是 ELK 平台，研发无登录生产机器的权限。

生产性能，研发没有应用权限。

这一套组合拳下来，就是让研发作为一个纯纯的工具人，只能做事，像防贼一样防着研发。

一名研发到职，齐全晓得零碎的秘钥 + 算法 + 零碎弱点，想获取用户隐衷信息也不是不可能。

然而如果引入加密机之后呢？

加密机会让公司的架构编写，技术水平没的说，技术平安有保障，绝对也比较稳定。

研发作为使用者，不晓得秘钥，不晓得算法，攻打也就无从谈起。

这又何尝不是一种技术者的悲痛。

小结

每一家公司都有爱护用户隐衷平安的任务，只惋惜事实中很多用户的隐衷平安仍然无奈保障。

对于一个国家，须要推广相应的法律合规。

对于一家公司，须要架构，安全部门，产研测的共同努力。

对于一位用户，咱们也要有爱护本人信息安全的意识。

心愿本文对你有所帮忙，如果喜爱，欢送点赞珍藏转发一波。

我是老马，期待与你的下次重逢。