具体实施方式

下面将结合本申请实施例中的附图，对本申请实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例是本申请一部分实施例，而不是全部的实施例。基于本申请中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于本申请保护的范围。

附图中所示的流程图仅是示例说明，不是必须包括所有的内容和操作/步骤，也不是必须按所描述的顺序执行。例如，有的操作/步骤还可以分解、组合或部分合并，因此实际执行的顺序有可能根据实际情况改变。另外，虽然在装置示意图中进行了功能模块的划分，但是在某些情况下，可以以不同于装置示意图中的模块划分。

本申请的实施例提供了一种数据脱敏方法、装置、计算机设备及计算机可读存储介质。用于基于脱敏拦截器根据访问标识确定请求是否需要脱敏，以对需脱敏的请求对应的服务的数据进行脱敏处理。示例性的，在基于微服务实现的智慧农业平台的开发过程中，为对用户的身份证号、手机号、客户号等隐私数据进行可靠保护，需要对部分涉及隐私数据进行数据脱敏处理时，可以根据本申请实施例的数据脱敏方法，实现基于脱敏拦截器根据访问标识确定进行服务访问的请求是否需要脱敏，提升脱敏效率，降低代码侵入性；通过配置中心中获取的脱敏策略进行脱敏处理，实现脱敏策略与服务的业务代码的解耦，方便业务调整，便于脱敏策略的维护与更新。

其中，该数据脱敏方法可以用于服务器，当然也可以用于终端，其中，终端可以是手机、平板电脑、笔记本电脑、台式电脑等电子设备；服务器例如可以为单独的服务器或服务器集群。但为了便于理解，以下实施例将以应用于服务器的数据脱敏方法进行详细介绍。

下面结合附图，对本申请的一些实施方式作详细说明。在不冲突的情况下，下述的实施例及实施例中的特征可以相互组合。

请参阅图1，图1是本申请实施例提供的一种数据脱敏方法的示意流程图。

如图1所示，该数据脱敏方法可以包括以下步骤S110-步骤S130。

步骤S110、接收到服务访问请求时，基于预设的脱敏拦截器确定所述服务访问请求是否需要进行脱敏，所述脱敏拦截器中存储有需要进行脱敏的服务的第一访问标识和/或不需要进行脱敏的服务的第二访问标识。

示例性的，若所述服务访问请求有与其中一个所述第一访问标识相同的数据，和/或所述服务访问请求不存在与任何一个所述第二访问标识相同的数据，则判定服务访问请求需要进行脱敏。

示例性的，若所述服务访问请求需要进行脱敏，所述脱敏拦截器对所述服务访问请求进行拦截。

示例性的，一实施例中，所述脱敏拦截器基于spring框架提供的拦截器(HandlerInterceptorAdapter)实现。spring框架是Java平台上的一种开源应用框架，其中定义了拦截器，可以在spring框架的拦截器中配置相关参数，得到所述脱敏拦截器。可以理解的，其他实施例中，也可以通过自定义的方式得到所述脱敏拦截器。

示例性的，在每个有敏感数据的服务中至少设置两个不同的访问标示，将其中一个访问标识确定为所述第一访问标识，将另外一个访问标识确定为所述第二访问标识。

示例性的，所述访问标识包括服务的应用程序接口(API)的统一资源标识符(URI)。统一资源标识符，是一个用于标识某一网络资源名称的字符串，可以根据所述统一资源标识符对该网络资源进行访问，例如，通过所述应用程序接口的统一资源标识符，可以访问对应的应用程序接口，从而访问对应的服务。可以理解的，具体实施时，所述访问标识也可以是统一资源定位符(URL)、统一资源名称(URN)等其他标识。

例如，对于一个web服务，配置两个不同的统一资源定位符，将其中一个统一资源定位符确定为所述第一访问标识，将另一个统一资源定位符确定为非所述第二访问标识；公共用户通过所述第一访问标识对该web服务进行访问时，请求被拦截器拦截以进行数据脱敏处理，最终展示给公共用户的数据是脱敏处理后的数据，内部用户通过所述第一访问标识对该web服务进行访问时，最终展示给内部用户的数据是未经脱敏处理的原始数据。

S120、若所述服务访问请求需要进行脱敏，从微服务的配置中心获取所述服务访问请求对应的脱敏策略。

示例性的，所述脱敏策略用于确定对应的所述请求的脱敏字段及脱敏处理规则，所述脱敏字段用于根据所述请求对应的服务在所述脱敏字段上的数据确定待脱敏数据，所述脱敏处理规则用于确定所述待脱敏数据的脱敏处理方式。

示例性的，所述脱敏策略中设有所述脱敏字段。例如，在一条脱敏策略中设置所述脱敏字段为“mobile”，则可以根据所述策略确定对应的请求，根据对应的请求确定对应的服务，根据对应的服务在“mobile”字段上的数据确定待脱敏数据。

示例性的，所述脱敏策略中设有脱敏模式标识，根据当前请求对应的所述脱敏策略中的脱敏模式标识确定当前脱敏模式。其中，标准模式的脱敏策略对应的所述脱敏处理规则为微服务预设的标准脱敏处理规则；自定义模式的脱敏策略对应的所述脱敏处理规则为除所述标准脱敏处理规则以外的脱敏处理规则。

在微服务系统中，提供了一组基于正则表达式的所述标准脱敏处理规则，可以对用户姓名、身份证号、手机号、电话号、电子邮件、银行卡号等敏感数据进行脱敏处理。

示例性的，所述标准模式的脱敏策略还包括对应的规则模板ID，以根据所述规则模板ID确定需脱敏的请求对应的所述标准脱敏处理规则。例如,规则模板ID为3(rule_module＝3)对应微服务系统预设的对应电子邮件的标准脱敏处理规则。

示例性的，所述自定义模式的脱敏策略中设有对应的自定义脱敏处理规则。例如，当所述标准模式的脱敏规则不能满足数据脱敏需要时，则可以根据需要在所述自定义模式的脱敏策略中设置所述自定义脱敏规则，以根据自定义的脱敏处理方式对待脱敏的数据进行脱敏处理。

示例性的，可以在一条脱敏策略中同时设置所述规则模板ID及所述自定义脱敏处理规则，若所述脱敏模式为标准模式，则所述脱敏策略为标准模式的脱敏策略，采用所述规则模板ID对应的标准脱敏处理规则对所待脱敏数据进行脱敏处理，所述自定义脱敏处理规则失效；若所述脱敏模式为自定义模式，则所述脱敏策略为自定义模式的脱敏策略，采用所述自定义脱敏处理规则对待脱敏数据进行脱敏处理，所述规则模板对应的标准脱敏处理规则失效。

示例性的，每条所述脱敏策略设有一个对应的策略ID，所有所述脱敏策略的策略ID之间不重复。策略ID，相当于所述脱敏策略的代号，可方便所述脱敏映射策略的管理和使用。

示例性的，步骤S120具体包括步骤S123-步骤S125。

S123、从微服务的配置中心获取预设的脱敏策略；

配置中心是微服务架构中用来统一管理项目中所有配置的模块，是微服务架构的一个重要模块。将所述脱敏策略配置在所述配置中心中，具有配置集中管理、配置与服务的业务代码解耦、实时更新、可读性高、可维护性强等优点。

S124、确定所述脱敏策略对应的第一访问标识是否与所述请求匹配；

示例性的，所述脱敏策略对应的第一访问标识可以直接设置在所述脱敏策略中，也可以设置在所述脱敏策略的映射子策略中，例如，在所述映射子策略中设置具有对应关系的所述策略ID及所述脱敏策略对应的第一访问标识，根据所述映射子策略中的策略ID确定所述第一访问标识对应的所述脱敏策略。

S125、若匹配，确定所述脱敏策略为所述请求对应的脱敏策略。

示例性的，服务器加载所有所述脱敏策略到服务器内存，若服务访问请求被所述拦截器拦截，扫描所有所述脱敏策略，读取服务访问请求对应的所有所述脱敏策略。

示例性的，步骤S120具体还包括步骤S121-S122。

S121、获取配置文件。

示例性的，步骤S101具体包括S121a-S121b。

S121a、所述配置中心中创建独立的脱敏命名空间；

例如，新建一个命名空间(Namespace),将其命名为custom-prop，以得到所述脱敏命名空间。

S121b、在所述脱敏命名空间中添加所述配置文件。

例如，根据用户的配置操作生成所述配置文件，将所述配置文件添加到所述脱敏命名空间中。

S122、根据所述配置文件在微服务架构的配置中心中配置所述脱敏策略。

示例性的，一条所述脱敏策略的配置如下所示：

在一些实施方式中，脱敏策略也可以预储存在区块链节点中。其中，区块链是分布式数据存储、点对点传输、共识机制、加密算法等计算机技术的新型应用模式。区块链(Blockchain)，本质上是一个去中心化的数据库，是一串使用密码学方法相关联产生的数据块，每一个数据块中包含了一批次网络交易的信息，用于验证其信息的有效性(防伪)和生成下一个区块。区块链可以包括区块链底层平台、平台产品服务层以及应用服务层等。

S130、在响应所述服务访问请求时，根据所述服务访问请求对应的敏策略，对所述服务访问请求对应的数据进行脱敏处理。

示例性的，一实施例中，步骤S130具体包括步骤S131-步骤S134。

S131、根据所述服务访问请求对应的脱敏策略，获取所述服务访问请求对应的脱敏字段及脱敏处理规则；

示例性的，步骤S131具体包括步骤S131a-S131b。

S131a、获取当前脱敏模式；

示例性的，根据所述脱敏策略中的脱敏模式标识，确定当前脱敏模式为标准脱敏模式或自定义脱敏模式。

S131b、若所述当前脱敏模式为标准模式，所述脱敏处理规则为微服务预设的标准脱敏处理规则；若所述当前脱敏模式为自定义模式，所述脱敏处理规则为除所述标准脱敏处理规则以外的脱敏处理规则。

例如，服务访问请求对应策略ID为1的脱敏策略，获取服务访问请求对应的脱敏字段为“com.paic.Order.mobile”，根据规则模式为标准模式(standard)及规则模板ID为3确定对应邮件加密的标准脱敏处理规则为服务访问请求对应的所述脱敏处理规则。

S132、获取服务访问请求对应的服务在所述脱敏字段上的数据，以确定所述待脱敏数据；

示例性的，通过用于根据反射机制获取反射对象的返回体，获取所述脱敏字段在所述服务访问请求对应的服务中的反射对象，将所述脱敏字段的反射对象确定为所述待脱敏数据；

反射机制是一种动态语言的技术，它可以动态的获取类的对象以及类的对象中的成员，并可以调用该类的对象的成员，在JAVA、.NET等编程语言中均有反射机制。

示例性的，通过用于根据反射机制获取反射对象的返回体，获取在服务访问请求对应的服务的数据中的反射对象，如果该反射对象是对象类型，则继续获取反射对象，直至获取的反射对象为基本数据类型，在基本数据类型的反射对象中查找所述脱敏字段的反反射对象，将所述脱敏字段的反射对象确定为待脱敏数据。

S133、通过所述脱敏处理规则，将所述待脱敏数据转换成脱敏形式的数据；

示例性的，将服务访问请求对应的所述脱敏处理规则应用在所述待脱敏数据上，以将所述待脱敏数据转换成脱敏形式的数据。例如，将所述脱敏数据的全部数据或部分数据转换成“*”形式。

示例性的，在服务器内存中执行步骤S131-S133，并将得到的所述脱敏形式的数据缓存在服务器内存中，以提升服务的相应速度。

134、输出所述脱敏形式的数据。

示例性的，若所述服务访问请求需要进行脱敏，在服务器内存中读取所述脱敏形式的数据，在通过服务访问请求得到的呈现给用户的数据中，将敏感数据替换成所述脱敏形式的数据。

传统方法基于JSON实现脱敏形式的数据的转换，这种方式不能支持灵活的脱敏处理规则，通常不支持自定义脱敏处理规则，应用范围有限。

本申请中，通过反射机制，在所述脱敏字段的反射对象中进行脱敏形式的数据转换，不会改动服务的原始数据，实现了动态脱敏，使得应用开发者无须关心脱敏处理的具体过程，只需专注于业务开发即可，减少了开发工作量，提高了应用开发的交付效率；相比于基于JSON实现的传统方法，可支持自定义脱敏处理规则，应用范围更广，且具有更高的执行性能。

请参阅图2，图2是本申请一实施例提供的一种数据脱敏装置的示意图，该数据脱敏装置可以配置于服务器或终端中，用于执行前述的数据脱敏的方法。

如图2所示，该数据脱敏装置，包括：请求拦截模块110、策略确定模块120、脱敏处理模块130。

请求拦截模块110，用于请求服务访问时，基于接收到服务访问请求时，基于预设的脱敏拦截器确定所述服务访问请求是否需要进行脱敏，所述脱敏拦截器中存储有需要进行脱敏的服务的第一访问标识和/或不需要进行脱敏的服务的第二访问标识。

策略确定模块120，用于若所述服务访问请求需要进行脱敏，从微服务的配置中心获取所述服务访问请求对应的脱敏策略。

脱敏处理模块130，用于在响应所述服务访问请求时，根据所述服务访问请求对应的敏策略，对所述服务访问请求对应的数据进行脱敏处理。

示例性的，请求拦截模块具体用于若所述服务访问请求有与其中一个所述第一访问标识相同的数据，和/或所述服务访问请求不存在与任何一个所述第二访问标识相同的数据，则判定服务访问请求需要进行脱敏。

示例性的，策略确定模块包括策略获取子模块、策略匹配子模块及策略确定子模块：

示例性的，策略获取子模块用于从微服务的配置中心获取预设的脱敏策略；

示例性的，策略匹配子模块用于确定所述脱敏策略对应的第一访问标识是否与所述请求匹配；

示例性的，策略确定子模块用于若匹配，确定所述脱敏策略为所述请求对应的脱敏策略。

示例性的，所述策略确定模块还包括策略配置子模块，所述策略配置子模块用于获取配置文件；根据所述配置文件在微服务架构的配置中心中配置所述脱敏策略。

示例性的，脱敏处理模块包括规则获取单元、待脱敏数据确定单元，脱敏数据转换单元，脱敏数据输出单元：

示例性的，规则获取单元用于根据所述服务访问请求对应的脱敏策略，获取所述服务访问请求对应的脱敏字段及脱敏处理规则；

示例性的，所述规则获取单元还包括脱敏模式获取子单元，所述脱敏模式获取子单元用于获取当前脱敏模式；若所述当前脱敏模式为标准模式，所述脱敏策略对应的所述脱敏处理规则为微服务预设的标准脱敏处理规则；若所述当前脱敏模式为自定义模式，所述脱敏策略对应的所述脱敏处理规则为除所述标准脱敏处理规则以外的脱敏处理规则。

示例性的，待脱敏数据确定单元用于获取所述服务访问请求对应的服务在所述脱敏字段上的数据，以确定待脱敏数据；

示例性的，待脱敏数据确定单元具体用于通过用于根据反射机制获取反射对象的返回体，获取所述脱敏字段在所述服务访问请求对应的服务中的反射对象，将所述脱敏字段的反射对象确定为所述待脱敏数据；

示例性的，脱敏数据转换单元用于通过所述脱敏处理规则，将所述待脱敏数据转换成脱敏形式的数据。

示例性的，脱敏数据输出单元，用于输出所述脱敏形式的数据。

需要说明的是，所属领域的技术人员可以清楚地了解到，为了描述的方便和简洁，上述描述的装置和各模块、单元的具体工作过程，可以参考前述方法实施例中的对应过程，在此不再赘述。

本申请的方法、装置可用于众多通用或专用的计算系统环境或配置中。例如：个人计算机、服务器计算机、手持设备或便携式设备、平板型设备、多处理器系统、基于微处理器的系统、机顶盒、可编程的消费电子设备、网络PC、小型计算机、大型计算机、包括以上任何系统或设备的分布式计算环境等等。

示例性地，上述的方法、装置可以实现为一种计算机程序的形式，该计算机程序可以在如图3所示的计算机设备上运行。

请参阅图3，图3是本申请实施例提供的一种计算机设备的示意图。该计算机设备可以是服务器或终端。

如图3所示，该计算机设备包括通过系统总线连接的处理器、存储器和网络接口，其中，存储器可以包括非易失性存储介质和内存储器。

非易失性存储介质可存储操作系统和计算机程序。该计算机程序包括程序指令，该程序指令被执行时，可使得处理器执行任意一种数据脱敏方法。

处理器用于提供计算和控制能力，支撑整个计算机设备的运行。

内存储器为非易失性存储介质中的计算机程序的运行提供环境，该计算机程序被处理器执行时，可使得处理器执行任意一种数据脱敏方法。

该网络接口用于进行网络通信，如发送分配的任务等。本领域技术人员可以理解，该计算机设备的结构，仅仅是与本申请方案相关的部分结构的框图，并不构成对本申请方案所应用于其上的计算机设备的限定，具体的计算机设备可以包括比图中所示更多或更少的部件，或者组合某些部件，或者具有不同的部件布置。

应当理解的是，处理器可以是中央处理单元(Central Processing Unit，CPU)，该处理器还可以是其他通用处理器、数字信号处理器(Digital Signal Processor，DSP)、专用集成电路(Application Specific Integrated Circuit，ASIC)、现场可编程门阵列(Field-Programmable Gate Array，FPGA)或者其他可编程逻辑器件、分立门或者晶体管逻辑器件、分立硬件组件等。其中，通用处理器可以是微处理器或者该处理器也可以是任何常规的处理器等。

其中，在一些实施方式中，所述处理器用于运行存储在存储器中的计算机程序，以实现如下步骤：接收到服务访问请求时，基于预设的脱敏拦截器确定所述服务访问请求是否需要进行脱敏，所述脱敏拦截器中存储有需要进行脱敏的服务的第一访问标识和/或不需要进行脱敏的服务的第二访问标识；若所述服务访问请求需要进行脱敏，从微服务的配置中心获取所述服务访问请求对应的脱敏策略；在响应所述服务访问请求时，根据所述服务访问请求对应的敏策略，对所述服务访问请求对应的数据进行脱敏处理。

示例性的，处理器用于实现所述进行服务访问请求时，基于预设的脱敏拦截器确定所述服务访问请求是否需要进行脱敏时，实现：若所述服务访问请求有与其中一个所述第一访问标识相同的数据，和/或所述服务访问请求不存在与任何一个所述第二访问标识相同的数据，则判定服务访问请求需要进行脱敏。

示例性的，处理器用于实现若所述服务访问请求需要进行脱敏，从微服务的配置中心获取所述服务访问请求对应的脱敏策略时，实现：从微服务的配置中心获取预设的脱敏策略；确定所述脱敏策略对应的所述第一访问标识是否与所述请求匹配；若匹配，确定所述脱敏策略为所述请求对应的脱敏策略。

示例性的，所述处理器用于实现若所述服务访问请求需要进行脱敏，从微服务的配置中心获取所述服务访问请求对应的脱敏策略时，所述处理器还用于实现：获取配置文件；根据所述配置文件在微服务架构的配置中心中配置所述脱敏策略。

示例性的，处理器用于实现在响应所述服务访问请求时，根据所述服务访问请求对应的敏策略，对所述服务访问请求对应的数据进行脱敏处理时，实现：根据所述服务访问请求对应的脱敏策略，获取所述服务访问请求对应的脱敏字段及脱敏处理规则；获取所述服务访问请求对应的服务在所述脱敏字段上的数据，以确定待脱敏数据；通过所述脱敏处理规则，将所述待脱敏数据转换成脱敏形式的数据；输出所述脱敏形式的数据。

示例性的，处理器用于实现根据所述服务访问请求对应的脱敏策略，获取所述服务访问请求对应的脱敏字段及脱敏处理规则是，具体实现：获取当前脱敏模式；若所述当前脱敏模式为标准模式，所述脱敏策略对应的所述脱敏处理规则为微服务预设的标准脱敏处理规则；若所述当前脱敏模式为自定义模式，所述脱敏策略对应的所述脱敏处理规则为除所述标准脱敏处理规则以外的脱敏处理规则。

示例性的，处理器用于实现获取所述服务访问请求对应的服务在所述脱敏字段上的数据，以确定待脱敏数据时，实现：通过用于根据反射机制获取反射对象的返回体，获取所述脱敏字段在所述服务访问请求对应的服务中的反射对象，将所述脱敏字段的反射对象确定为所述待脱敏数据。

在另一个实施例中，所述处理器用于运行存储在存储器中的计算机程序，以实现数据脱敏方法的步骤。

在一些实施方式中，处理器运行存储在存储器中的计算机程序时，实现以下步骤：接收到服务访问请求时，基于预设的脱敏拦截器确定所述服务访问请求是否需要进行脱敏，所述脱敏拦截器中存储有需要进行脱敏的服务的第一访问标识和/或不需要进行脱敏的服务的第二访问标识；若所述服务访问请求需要进行脱敏，从微服务的配置中心获取所述服务访问请求对应的脱敏策略；在响应所述服务访问请求时，根据所述服务访问请求对应的敏策略，对所述服务访问请求对应的数据进行脱敏处理。

通过以上的实施方式的描述可知，本领域的技术人员可以清楚地了解到本申请可借助软件加必需的通用硬件平台的方式来实现。基于这样的理解，本申请的技术方案本质上或者说对现有技术做出贡献的部分可以以软件产品的形式体现出来，该计算机软件产品可以存储在存储介质中，如ROM/RAM、磁碟、光盘等，包括若干指令用以使得一台计算机设备(可以是个人计算机，服务器，或者网络设备等)执行本申请各个实施例或者实施例的某些部分所述的方法，如：

一种计算机可读存储介质，所述计算机可读存储介质存储有计算机程序，所述计算机程序中包括程序指令，所述处理器执行所述程序指令，实现本申请实施例提供的任一项数据脱敏方法。

其中，所述计算机可读存储介质可以是前述实施例所述的计算机设备的内部存储单元，例如所述计算机设备的硬盘或内存。所述计算机可读存储介质也可以是所述计算机设备的外部存储设备，例如所述计算机设备上配备的插接式硬盘，智能存储卡(SmartMedia Card，SMC)，安全数字(Secure Digital，SD)卡，闪存卡(Flash Card)等。

以上所述，仅为本申请的具体实施方式，但本申请的保护范围并不局限于此，任何熟悉本技术领域的技术人员在本申请揭露的技术范围内，可轻易想到各种等效的修改或替换，这些修改或替换都应涵盖在本申请的保护范围之内。因此，本申请的保护范围应以权利要求的保护范围为准。