首页 > 文章 > python教程

PythonWeb开发数据脱敏与序列化技巧

时间：2026-04-14 19:02:36 193浏览收藏

本文深入探讨了Python Web开发中数据脱敏与序列化处理的核心实践与常见误区，聚焦Pydantic v2、Django REST Framework和FastAPI三大主流框架，分别详解如何通过Field(exclude=True)、SerializerMethodField和response_model_exclude等机制精准控制敏感字段的输出，并特别强调ORM层的defer/only绝不可替代序列化层脱敏——因为安全边界只存在于响应生成环节；更进一步，文章点破动态脱敏这一高阶难点：当租户、角色或上下文差异导致同一字段需差异化展示时，必须将脱敏逻辑前置到序列化器初始化阶段，依托context实现运行时策略决策，否则极易埋下越权泄露隐患。

Python Web开发如何进行数据脱敏_序列化层屏蔽敏感信息

用 Pydantic v2 的 `Field` + `exclude` 控制序列化字段

Pydantic 模型默认会把所有字段都序列化出来，哪怕你只在 API 响应里想返回用户昵称和头像，password_hash、email 这类字段也容易一并漏出去。最直接的办法是显式声明哪些字段不参与序列化。

实操建议：

Field 配合 exclude=True 只影响单个字段：比如 password_hash: str = Field(exclude=True)
整个模型序列化时统一排除：调用 model.model_dump(exclude={"email", "phone"})
注意 exclude 是字符串集合，不是正则；若字段嵌套在子模型里，得写成 {"profile": {"private_notes"}}
别混淆 exclude 和 default=None——后者只是设默认值，字段仍会出现在输出中

Django REST Framework 中用 `SerializerMethodField` 动态脱敏

DRF 的序列化器天然适合做字段级控制，尤其当你需要“对管理员返回完整数据、对普通用户屏蔽手机号”这类逻辑时，SerializerMethodField 比硬编码 exclude 更灵活。

实操建议：

定义方法名必须是 get_字段名，返回值就是该字段最终值；比如 def get_phone(self, obj): return "***-****-****" if not self.context.get("is_admin") else obj.phone
确保 context 传入了权限标识，通常在 ViewSet 的 get_serializer_context() 里塞 {"is_admin": request.user.is_staff}
别在 get_ 方法里做耗时操作（如查库），它会在每个对象上执行；敏感字段本身已加载到 obj，直接读取即可
如果字段是 None 或空字符串，记得在方法里显式处理，否则可能暴露原始值

FastAPI 路由返回前用 `response_model_exclude` 快速过滤

FastAPI 支持在路由装饰器里直接指定排除字段，适合简单场景——比如所有 /users/me 接口都不返回 api_key，不用每处都改模型。

实操建议：

在 @app.get(..., response_model=UserInfo, response_model_exclude={"api_key", "salt"}) 中声明
这个参数只影响该路由的响应体，不影响请求校验或内部逻辑
若同时用了 response_model_include，exclude 会被忽略；二者别混用
字段名必须和 Pydantic 模型定义一致，大小写敏感；嵌套字段不支持（如 {"profile": {"ssn"}} 无效）