在Java系统中进行日志脱敏是一个非常重要且常见的需求，旨在保护用户隐私和敏感信息（如身份证、手机号、银行卡号、密码等），同时保留日志的诊断价值。

下面我将全面介绍几种在Java中实现日志脱敏的主流方法，从易到难，涵盖不同场景。

核心思想

日志脱敏的核心思想是在日志最终被写入文件或发送到日志系统之前，通过某种机制拦截日志内容，识别并替换其中的敏感信息。

方法一：利用日志框架自带的特性 (推荐)

现代的日志框架如 Log4j2 和 Logback 通常提供了强大的扩展机制，允许你自定义日志格式化和过滤的逻辑。这是最优雅、最推荐的实现方式。

1. Log4j2 - 使用正则表达式替换 (Regex Replacement)

Log4j2 的 PatternLayout 支持在格式化时通过正则表达式直接进行替换，非常方便。

步骤：

1. 引入 Log4j2 依赖。
2. 修改 log4j2.xml 配置文件：
   在 <PatternLayout> 中，使用 %replace 关键字。

示例 log4j2.xml 配置：

<?xml version="1.0" encoding="UTF-8"?>
<Configuration status="WARN">
    <Appenders>
        <Console name="Console" target="SYSTEM_OUT">
            <PatternLayout>
                <Pattern>%d{yyyy-MM-dd HH:mm:ss.SSS} [%t] %-5level %logger{36} - %replace{%msg}{'("password"\s*:\s*")[^"]*(")'}{'$1****$2'} %n</Pattern>
                <Pattern>%d %p %c{1.} [%t] %replace{%replace{%replace{%m}{([1-9]\d{5}(18|19|([23]\d))\d{2}((0[1-9])|(10|11|12))(([0-2][1-9])|10|20|30|31)\d{3}[0-9Xx])}{\$1...}{"phone":"(\d{3})\d{4}(\d{4})"}{"phone":"$1****$2"}}{"idCard":"(\d{6})\d{8}(\w{4})"}{"idCard":"$1********$2"}%n</Pattern>
            </PatternLayout>
        </Console>
    </Appenders>
    <Loggers>
        <Root level="info">
            <AppenderRef ref="Console"/>
        </Root>
    </Loggers>
</Configuration>

解释:

• %replace{...} 是核心。
• 第一个参数 %msg 或 %m 指的是要处理的原始日志消息。
• 第二个参数是用于匹配敏感信息的正则表达式。
• 第三个参数是替换后的内容。$1, $2 等表示正则表达式中的捕获组。

优点：

• 配置简单，无需编写Java代码。
• 性能较好，是 Log4j2 的内置功能。
• 规则集中在配置文件中，方便管理。

缺点：

• 复杂的脱敏规则可能导致正则表达式非常臃肿。
• 对于非结构化日志，正则表达式可能不够灵活。

2. Logback - 自定义转换器 (Custom Converter)

Logback 允许你创建自己的转换器（Converter），可以像 %d, %p 一样在 pattern 中使用。

步骤：

1. 创建一个继承自 MessageConverter 的类。
   在这个类里，你可以编写Java代码来实现复杂的脱敏逻辑。

   import ch.qos.logback.classic.pattern.MessageConverter;
   import ch.qos.logback.classic.spi.ILoggingEvent;
   
   public class SensitiveDataConverter extends MessageConverter {
   
       @Override
       public String convert(ILoggingEvent event) {
           // 获取原始日志消息
           String message = event.getFormattedMessage();
           // 在这里实现你的脱敏逻辑
           return desensitize(message);
       }
   
       private String desensitize(String message) {
           if (message == null || message.isEmpty()) {
               return message;
           }
           // 示例：替换手机号: 13812345678 -> 138****5678
           message = message.replaceAll("(\\d{3})\\d{4}(\\d{4})", "$1****$2");
           // 示例：替换身份证号
           message = message.replaceAll("(\\d{6})\\d{8}(\\w{4})", "$1********$2");
           return message;
       }
   }
   

2. 在 logback.xml 中注册并使用你的转换器。

   <configuration>
       <conversionRule conversionWord="mask" converterClass="com.yourcompany.SensitiveDataConverter" />
   
       <appender name="STDOUT" class="ch.qos.logback.core.ConsoleAppender">
           <encoder>
               <pattern>%d{yyyy-MM-dd HH:mm:ss} [%thread] %-5level %logger{36} - %mask%n</pattern>
           </encoder>
       </appender>
   
       <root level="info">
           <appender-ref ref="STDOUT" />
       </root>
   </configuration>
   

优点：

• 灵活性极高，可以用Java代码实现任何复杂的脱敏逻辑。
• 脱敏逻辑与业务代码分离。
• 性能可控。

缺点：

• 需要编写额外的Java代码。

方法二：自定义 Appender 或 Layout

如果你需要更深层次的控制，或者使用的日志框架不支持便捷的扩展，可以考虑自定义整个Layout或Appender。这种方式侵入性更强，实现也更复杂。

思路：

1. 自定义Layout：创建一个类继承日志框架的 PatternLayout，重写其 doLayout 或类似方法。在该方法中，先调用父类方法生成格式化后的日志字符串，然后对该字符串进行脱敏处理，最后返回处理后的结果。
2. 自定义Appender：创建一个类包装（或继承）一个真实的Appender（如 ConsoleAppender）。在自定义Appender的 append 方法中，对传入的日志事件（ILoggingEvent）进行处理，修改其消息内容，然后再调用被包装的真实Appender的 append 方法。

这种方法更为复杂，通常在上述方法不满足需求时才考虑。

方法三：重写对象的 toString() 方法

这是一种简单粗暴但有效的方法，尤其适用于你希望在日志中打印的DTO或POJO对象。

思路：
在包含敏感信息的JavaBean中，重写其toString()方法，在方法内部直接返回脱敏后的字符串。

示例：

public class User {
    private String username;
    private String phone;
    private String password;

    // getters and setters...

    @Override
    public String toString() {
        return "User{" +
                "username='" + username + '\'' +
                ", phone='" + desensitizePhone(phone) + '\'' +
                ", password='****'" + // 密码绝不应该明文打印
                '}';
    }

    private String desensitizePhone(String phone) {
        if (phone == null || phone.length() != 11) {
            return phone;
        }
        return phone.substring(0, 3) + "****" + phone.substring(7);
    }
}

优点：

• 实现简单，不依赖任何日志框架。
• 能从源头上保证敏感信息不被泄露。

缺点：

• 代码侵入性强，需要在每个敏感信息类中都重写toString()。
• 维护成本高，容易遗漏。
• 只能对通过对象打印的日志生效，对直接打印字符串的日志无效（log.info("user phone is " + user.getPhone())）。

方法四：使用第三方脱敏工具库

社区已经有一些开源工具可以帮助你更系统地处理脱-敏问题，例如通过注解来标记敏感字段。

思路：

1. 引入依赖：例如 log-desensitization 等库。
2. 注解标记：在你的DTO或POJO的敏感字段上添加注解。

   public class User {
       @Sensitive(type = SensitiveType.CHINESE_NAME)
       private String name;
   
       @Sensitive(type = SensitiveType.ID_CARD)
       private String idCard;
   }
   

3. 序列化：当对象被序列化为JSON（通常是这样记录日志的）时，工具会拦截并根据注解的类型进行脱敏。这通常需要与JSON处理库（如Jackson）集成。

优点：

• 通过注解声明，意图清晰，代码优雅。
• 集中管理脱敏规则。

缺点：

• 需要引入新的依赖。
• 通常与JSON序列化绑定较深，对于非JSON格式的日志可能不适用。

最佳实践与建议

1. 首选日志框架扩展：对于大多数项目，方法一（利用Log4j2的Regex或Logback的Converter）是最佳选择。它在性能、灵活性和代码解耦之间取得了最好的平衡。
2. 结构化日志：尽量使用结构化日志（如JSON格式）。这样，敏感字段有明确的键（key），无论是用正则表达式还是其他工具都更容易定位和替换，避免误伤。
3. 性能考虑：日志脱敏，特别是复杂的正则匹配，会带来一定的性能开销。在高并发场景下，需要进行充分的性能测试。选择日志框架内置的、经过优化的功能通常比自己写实现要好。
4. 规则集中管理：将脱敏规则（如正则表达式）配置在外部文件（如log4j2.xml或application.properties）中，而不是硬编码在代码里，方便后续修改和审计。
5. 密码绝不打印：对于密码这类最高级别的敏感信息，原则是永远不要出现在日志中，即使是脱敏后的****也不建议。应该从根源上杜绝打印密码的行为。
6. 审计与测试：确保你的脱敏规则覆盖了所有需要保护的字段，并通过单元测试和集成测试来验证脱敏效果是否符合预期。