发表新帖
发表新帖

@Sensitive 脱敏注解

Blade 未结
关注 举报
1 23
56956808
56956808 剑圣 2小时前

一、该问题的重现步骤是什么?

通过feign调用服务返回的字段,如有@Sensitive,会被脱敏。导致业务层拿不到原始数据

至于说:feign会开放给第三方调用,因feign是不安全的,要考虑安全问题,就不应该提供feign接口给第三方。

如果要考虑,是否考虑@Sensitive 加个feignIgnore ,否认true,需要feign脱敏就设置false。

二、你期待的结果是什么?实际看到的又是什么?

fein应该返回原始内容,api接口才返回脱敏数据。@Sensitive 需要兼容这两种应用场景,否则业务系统就要写很多个vo,一个给普通接口,一个给内部服务。


三、你正在使用的是什么产品,什么版本?在什么操作系统上?

BladeX4.8

四、请提供详细的错误堆栈信息,这很重要。


五、若有更多详细信息,请在下面提供。



1条回答
  • admin - BladeX作者
    1小时前

    如果feign不生效脱敏,那么网信办就会说这是漏洞,要求整改,他们不会管这个场景是否能用到,只会管是否造成数据泄露。毕竟我们收到漏洞报告的时候,现在已经在假设拿到租户admin的token来证明系统有安全漏洞了。


    如果你们不要脱敏,就创建一套专门内部使用的feign,新建类覆盖掉注解,这样调用的时候就不会受影响。

    0 讨论(0)
 看不清?
提交回复
官方产品
BladeX 企业级开发平台 BladeX 可视化数据大屏
官方新品
BladeX 大模型开发平台 BladeX 物联网开发平台
热议问题
@Sensitive 脱敏注解 1
设备下线问题 1
报表设计器-查询表单设计器配置问题 1
使用大模型平台对接自己的App 1
API调用聊天流程有问题 1
子租户设备升级失败 1
设备编辑页面,不能显示所属产品 1
使用baldex_boot 3.4版本使用的达梦数据,打印出来的sql使用navicat执行正常,但是在服务上就报语法错误。 2
系统存在JWT认证绕过,攻击者可通过此漏洞获取系统管理员权限,从而为下一步攻击做准备 1
大模型API调用流式输出感觉有问题,不是流式输出 2
layui

扫一扫访问 Blade技术社区 移动端

Blade技术社区 2026 © 上海布雷德科技有限公司 沪ICP备2023009528号-1 苏公网安备 32041102000998号