利用Jackson的JsonFilter來實現動態過濾數據列（數據列權限控制）

利用Jackson的JsonFilter來實現動態過濾數據列。

也就是說，同一個實體，你配置了不一樣的@JsonFilter,經過Jackson展示的結果能夠是不同的。

舉個栗子：

@lombok.Data
public class User{
  String username;
  String password;
  Integer age;
  String gender;
  String blog;
}

默認不作任何配置的話，經過Jackson序列化出來的結果是：

{
  "username" : "tomcatandjerry",
  "password" : "123456",
  "age" : 36,
  "gender" : "男",
  "blog" : "http://www.cnblogs.com/tomcatandjerry/"
}

 

但是password不該該要展現，方法有多種：

方法1：在不想序列化的字段上加註解JsonProperty：

@JsonProperty(access = JsonProperty.Access.WRITE_ONLY)//Jackson
@JSONField(serialize = false)//fastjson
String password;

方法2：

 2.1在User類上面加註解JsonFilter:

@JsonFilter("non-password")
public class User {
  ...
}

 2.2 配置FilterProvider

測試方法&配置以下：

public class JsonFilterTest {

    private ObjectMapper setupJsonFilter(){
        ObjectMapper mapper = new ObjectMapper();
        String[] beanProperties = new String[]{"password"};
        String nonPasswordFilterName = "non-password";//須要跟User類上的註解@JsonFilter("non-password")裏面的一致
        FilterProvider filterProvider = new SimpleFilterProvider()
                .addFilter(nonPasswordFilterName, SimpleBeanPropertyFilter.serializeAllExcept(beanProperties));
                //serializeAllExcept 表示序列化所有，除了指定字段
                //filterOutAllExcept 表示過濾掉所有，除了指定的字段
        mapper.setFilterProvider(filterProvider);
        return mapper;
    }

    @Test
    public void testJsonFilter() throws JsonProcessingException {
        User user = new User();
        user.setUsername("tomcatandjerry");
        user.setPassword("123456");
        user.setAge(36);
        user.setGender("男");    
        System.out.println(setupJsonFilter().writeValueAsString(user));
    }
}

打印測試結果：

{
  "username" : "tomcatandjerry",
  "age" : 36,
  "gender" : "男",
  "blog" : "http://www.cnblogs.com/tomcatandjerry/"
}

小結：

看上去彷佛使用@JsonProperty更簡單。
可是當有一堆字段須要配置，並且整個項目都須要統一處理的時候，後者@JsonFilter是一個不錯的選擇。

 

擴展：

同一個API，若是我想不一樣的人看到不同的結果呢？
好比同一個用戶API，有的展現username+age, 有的展現username+gender等

這個時候JsonFilter就很是適合了。

有人可能會問：不對啊？一個對象只能配置一個JsonFilter，怎麼動態切換不一樣的Filter？
對的，一個對象只能配置一個JsonFilter，但只要稍加修改，就能實現？？

思路：
既然一個對象只能配置一個JsonFilter，那麼靠一個對象來動態展現不一樣的屬性是不可能的。
咱們能夠多寫幾個對象，都繼承User對象，不一樣的子類裏面使用不一樣的JsonFilter

@JsonFilter("normal-user")
public class UserNormal extends User{
 //空class，裏面沒有任何屬性
}

@JsonFilter("admin")
public class UserAdmin extends User{
 //空class，裏面沒有任何屬性
}

利用Spring的切點，根據當前用戶的角色，替換返回值爲不一樣的子類

本來：
public class UserService{
  
  public User get(String id){
    
  }
}

利用切點(能夠自定義註解，加到方法上，切在註解上面)，替換返回的對象爲子類：

具體須要用到的：
1) 掃描並緩存子類
2) @Aspect切點，@Around(value="好比：自定義註解")
3) 利用反射，建立出子類對象，BeanUtils.copyProperties

這樣看似調用userService.get("id")返回的是User對象，其實可能已經替換成某一個子類了。

在ObjectMapper配置多個Filter，就實現了動態展現不一樣屬性，且對開發人員透明。

小結：

優勢: 對開發透明
缺點：一個對象須要寫多個子類，雖然是空class

這也算是一種數據列權限控制的一種解決方案吧。

2018-6-5