Golang结构体数组JSON序列化：安全过滤敏感字段的实践

本文旨在指导读者如何在go语言中对结构体数组进行json序列化时，选择性地排除敏感字段。我们将重点介绍如何利用go标准库`encoding/json`提供的结构体标签（struct tags）机制，通过`json:"-"`标签来标记不应被序列化的字段，从而安全、高效地生成符合需求且不泄露敏感信息的json响应。

在Go语言的Web服务开发中，将结构体数据序列化为JSON格式并发送给客户端是一种常见操作。然而，很多时候结构体中会包含一些不应暴露给外部的敏感信息，例如用户ID、哈希密码、内部配置等。直接将包含这些字段的结构体数组进行JSON序列化，可能会导致数据泄露或安全风险。

问题背景：序列化敏感字段的挑战

假设我们有一个User结构体，其中包含用户的唯一标识符Id和哈希密码HashedPassword，以及对外展示的Name字段：

type User struct {
    Id            int    // 内部ID，不应暴露
    Name          string // 用户名
    HashedPassword string // 哈希密码，绝不能暴露
    Email         string // 电子邮件
}

当我们从数据库或其他数据源获取到[]User类型的用户列表，并希望将其转换为JSON响应发送给前端时，如果直接使用json.Marshal，所有字段都会被序列化：

users := []User{
    {Id: 1, Name: "Alice", HashedPassword: "hashed_pass_1", Email: "alice@example.com"},
    {Id: 2, Name: "Bob", HashedPassword: "hashed_pass_2", Email: "bob@example.com"},
}

jsonData, err := json.Marshal(users)
if err != nil {
    // 处理错误
}
fmt.Println(string(jsonData))
// 输出可能包含 Id 和 HashedPassword

这显然不是我们期望的结果，因为Id和HashedPassword是敏感信息。

立即学习“go语言免费学习笔记（深入）”；

解决方案：利用json:"-"结构体标签

Go语言的encoding/json包提供了一种优雅且强大的机制来控制结构体字段的JSON序列化行为——结构体标签（struct tags）。通过在结构体字段声明后添加特定的标签，我们可以指示json.Marshal如何处理该字段。

要排除某个字段不被JSON序列化，最简单的方法是使用json:"-"标签。这个标签告诉encoding/json包在进行编码时完全忽略该字段。

即构数智人

即构数智人是由即构科技推出的AI虚拟数字人视频创作平台，支持数字人形象定制、短视频创作、数字人直播等。

36

查看详情

让我们修改User结构体，将Id和HashedPassword字段标记为不参与JSON序列化：

package main

import (
    "encoding/json"
    "fmt"
)

// User 结构体定义，使用json标签控制序列化行为
type User struct {
    Id             int    `json:"-"`          // 忽略此字段
    Name           string `json:"name"`       // 序列化为 "name"
    HashedPassword string `json:"-"`          // 忽略此字段
    Email          string `json:"email"`      // 序列化为 "email"
}

// Users 类型定义，方便处理结构体指针数组
type Users []*User

func main() {
    // 创建一个用户指针数组
    users := &Users{
        &User{Id: 1, Name: "Max", HashedPassword: "hashed_password_max", Email: "max@example.com"},
        &User{Id: 2, Name: "Alice", HashedPassword: "hashed_password_alice", Email: "alice@example.com"},
        &User{Id: 3, Name: "Dan", HashedPassword: "hashed_password_dan", Email: "dan@example.com"},
    }

    // 将用户数组序列化为JSON
    jsonData, err := json.Marshal(users)
    if err != nil {
        fmt.Printf("JSON序列化失败: %v\n", err)
        return
    }

    // 打印序列化后的JSON字符串
    fmt.Println(string(jsonData))
}

运行上述代码，输出结果将是：

[{"name":"Max","email":"max@example.com"},{"name":"Alice","email":"alice@example.com"},{"name":"Dan","email":"dan@example.com"}]

可以看到，Id和HashedPassword字段已成功被排除在JSON输出之外，而Name和Email字段则被正确序列化。

结构体标签的更多用法

除了json:"-"用于排除字段外，encoding/json包还支持其他有用的标签选项：

• json:"fieldName": 将字段序列化为指定的名称。例如，Name stringjson:"user_name"`会将Name字段序列化为user_name`。
• json:",omitempty": 如果字段为空值（例如，零值、空字符串、nil指针等），则在JSON输出中省略该字段。例如，Description stringjson:"description,omitempty"``。
• json:"-": 完全忽略该字段，不参与JSON序列化和反序列化。

注意事项与最佳实践

1. 数据安全优先：在设计API和数据结构时，始终优先考虑哪些数据是敏感的，并确保它们不会不经意地暴露。使用json:"-"是实现这一目标的重要手段。
2. 清晰命名：即使字段被忽略，其在结构体中的命名也应保持清晰和有意义，以便于代码的可读性和维护。
3. 避免过度依赖反射：虽然Go的reflect包可以实现更复杂的字段选择逻辑，但对于JSON序列化，结构体标签通常是更简洁、高效和类型安全的选择。过度使用反射可能会增加代码的复杂性和运行时开销。
4. 官方文档：encoding/json包的官方文档是学习其所有功能和最佳实践的最佳资源。建议查阅 Go官方文档 获取更详细的信息。

总结

通过在Go结构体字段上使用json:"-"标签，我们可以轻松地控制哪些字段应在JSON序列化过程中被排除。这不仅是生成干净、符合API规范的JSON响应的关键，更是保护敏感数据、确保应用程序安全的重要实践。掌握结构体标签的使用，将使Go语言开发者在处理JSON数据时更加灵活和高效。

以上就是Golang结构体数组JSON序列化：安全过滤敏感字段的实践的详细内容，更多请关注php中文网其它相关文章！