如何在 Go 專案中隱藏敏感資訊,比如避免暴露使用者密碼?

左诗右码發表於2024-11-23

在我們日常開發的 Go 專案中,使用者資訊管理是一個非常常見的場景。特別是當我們需要儲存和處理使用者密碼等敏感資訊時,如何確保這些資訊不暴露給客戶端就顯得尤為重要。

今天我們來討論一個簡單而實用的技巧——如何在返回使用者資料時,隱藏密碼欄位。

場景介紹

假設我們有一個 User 結構體,用於表示使用者資訊,結構體包含以下三個欄位:

type User struct {
    UserID   int64  // 使用者ID
    Name     string // 使用者名稱
    Password string // 使用者密碼(需要加密)
}

在這個例子中,Password 欄位儲存的是使用者密碼的加密結果。我們希望在返回使用者資料時,不要把這個 Password 欄位暴露給客戶端。

那麼,我們有什麼辦法呢?

這裡我提供了以下 3 種思路,供各位參考。如果你有更好的方式,也歡迎留言討論。

方法一:使用 JSON 標籤忽略欄位

Go 提供了一個非常便捷的方法來控制結構體欄位的 JSON 序列化行為,那就是透過結構體標籤(Tags)。我們可以在 Password 欄位上新增 json:"-" 標籤,表示在序列化成 JSON 時忽略這個欄位:

type User struct {
    UserID   int64  `json:"user_id"`
    Name     string `json:"name"`
    Password string `json:"-"` // 忽略該欄位
}

當我們將 User 結構體序列化為 JSON 時,Password 欄位將不會出現在結果中:

user := User{
    UserID:   1,
    Name:     "John",
    Password: "encrypted_password",
}

jsonData, err := json.Marshal(user)
if err != nil {
    log.Fatal(err)
}

fmt.Println(string(jsonData))
// 輸出: {"user_id":1,"name":"John"}

這樣做的好處是簡單直接,而且不需要更改其他程式碼,只需在定義結構體時新增一個標籤即可。

方法二:自定義序列化邏輯

如果專案需求較為複雜,或者您希望在序列化時根據不同的條件動態控制輸出內容,那麼可以考慮自定義序列化邏輯。具體做法是實現 json.Marshaler 介面:

type User struct {
    UserID   int64
    Name     string
    Password string
}

func (u User) MarshalJSON() ([]byte, error) {
    return json.Marshal(struct {
        UserID int64  `json:"user_id"`
        Name   string `json:"name"`
    }{
        UserID: u.UserID,
        Name:   u.Name,
    })
}

在這個例子中,我們手動控制了 JSON 的輸出內容,只包含 UserIDName 欄位,而 Password 欄位則被自動忽略。

方法三:使用資料傳輸物件(DTO)

另一種常見且推薦的做法是使用資料傳輸物件(DTO, Data Transfer Object)。

這種方法的核心思想是將內部資料和外部資料表示分離,透過專門的結構體來控制輸出內容。

首先,我們定義一個不包含 Password 欄位的結構體 UserDTO

type UserDTO struct {
    UserID int64  `json:"user_id"`
    Name   string `json:"name"`
}

然後,在需要返回使用者資料時,我們將 User 結構體轉換為 UserDTO

func NewUserDTO(user User) UserDTO {
    return UserDTO{
        UserID: user.UserID,
        Name:   user.Name,
    }
}

最後,在實際使用時,我們只返回 UserDTO 的 JSON 資料:

user := User{
    UserID:   1,
    Name:     "John",
    Password: "encrypted_password",
}

userDTO := NewUserDTO(user)

jsonData, err := json.Marshal(userDTO)
if err != nil {
    log.Fatal(err)
}

fmt.Println(string(jsonData))
// 輸出: {"user_id":1,"name":"John"}

這種方法不僅可以隱藏敏感資訊,還能增強程式碼的可讀性和維護性。透過這種分層設計,我們可以輕鬆地控制資料的輸入輸出,避免不必要的安全風險。

總結

在專案開發過程中,保護敏感資訊不被洩露是一項至關重要的工作。透過使用 JSON 標籤、自定義序列化邏輯,或者資料傳輸物件(DTO),我們都可以有效地控制資料的輸出內容,從而避免將敏感資訊暴露給客戶端。

根據您的實際需求,可以選擇合適的方式來實現這一功能。如果只是簡單地隱藏欄位,使用 json:"-" 標籤是最便捷的;如果需要更靈活的控制,推薦使用自定義序列化或 DTO 方式。

相關文章