mybatis中数据加密与解密的实现
作者:我是属车的 发布时间:2022-04-21 22:49:16
标签:mybatis,加密,解密
数据加解密的实现方式多种多样,在
mybatis环境中数据加解密变得非常简单易用,本文旨在提供参考,在生产中应尽可能完成单元测试,开展足够的覆盖测试,以验证可靠性、可用性、安全性。
1、需求
**原始需求:**数据在保存时进行加密,取出时解密,避免被拖库时泄露敏感信息。
**初始分析:**数据从前端过来,到达后端,经过业务逻辑后存入数据库,其中经历三大环节:
1、前端与后端之间传输,是否加密,如果需要加密则前端传输前就需要加密,暂时可以用HTTPS代替;
2、到达后端,此时数据通常需要经过一些逻辑判断,所以加密没有意义,反而会带来不必要的麻烦;
3、入库,这个是最后环节,数据经过insert的sql或者update语句入库,在此前需要加密;
**核心需求:**入库前最后一步完成数据加密,达成的目的是如果数据库被暴露,一定程度上保障数据的安全,也可以防止有数据操作权限的人将数据泄露。
**加密算法:**对称和非对称算法均可,考虑加密和解密的效率以及场景,考虑选用对称算法AES加密。
**ORM环境:**mybatis
**加密字段:**加密字段不确定,应该在数据库表设计的时候确定敏感字段,即加密字段可定制。
应注意的细节:
1、某个字段被加密后,其字段的存取性能下降,加密字段越多性能下降就越多,无具体指标;
2、字段被加密后,该字段的索引没有太大意义,比如对手机号码字段mobile加密,原先可能设计为唯一索引以防止号码重复,加密后密文性能下降,比对结果不直观,没有大量数据验证,理论上密文也不会相同;
3、一些SQL的比对也无法直接实现,比如手机号码匹配查询,在开发和运维中,就需要考虑后续工作中敏感字段的可操作性;
4、原字段的长度需要扩充,密文肯定比原文长;
5、不要对主键加密(真的,有人会这么做的);
6、有时,为了减少关联查询,我们会对表做冗余字段,比如将name字段放入业务表,如果对name字段加密,则需同步对冗余表做加密处理,所以在进行数据加密需求时,应进行全局考虑。
最后:数据加密用来提高安全性的同时,必然会牺牲整个程序性能和易用性。
2、解决方案
在mybatis的依赖环境下,至少有两种自动加密的方式:
1、使用 * ,对insert和update语句拦截,获取需加密字段,加密后存入数据库。读取时拦截query,解密后存入result对象;
2、使用类型转换器TypeHandler来实现。
3、使用 * 方式
3.1 定义加密接口
因为mybatis * 会拦截所有符合签名的请求,为了提高效率定义一个标记接口非常重要,既然有接口不如就在接口里加入需要加密的字段信息,当然也可以不加,根据实际场景来设计。
/**
* @author: xu.dm
* @since: 2022/3/8 16:30
* 该接口用于标记实体类需要加密,具体的加密内容字段通过getEncryptFields返回.
* 注意:getEncryptFields与@Encrypt注解可配合使用也可以互斥使用,根据具体的需求实现。
**/
public interface Encrypted {
/**
* 实现该接口,返回需要加密的字段名数组,需与类中字段完全一致,区分大小写
* @return 返回需要加密的字段
*/
default String[] getEncryptFields() {
return new String[0];
}
}
3.2 定义加密注解
主要为了某些场景,直接在实体类的字段打标记,直观的说明该字段是加密字段,某些业务逻辑也可以依赖此标记做进一步操作,一句话,根据场景来适配和设计。
/**
* @author : xu.dm
* @since : 2022/3/8
* 标识加密的注解,value值暂时没用,根据需要可以考虑采用的加密方式与算法等
* 注意:Encrypted接口的getEncryptFields与@Encrypt注解可配合使用也可以互斥使用,根据具体的需求实现。
*/
@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Encrypt {
String value() default "";
}
3.3 * 加密数据
初始 * 定义是相对单一的场景,利用反射遍历需加密的字段,对字段的字符加密,也就是待加密字段最好是字符串类型,并且,没有对父类反射遍历,如果有继承情况,并且父类也有需要加密的字段,需根据场景调整代码,对父类递归,直到根父类。在当前设计中Encrypted接口和@Encrypt只会生效一种,并且以接口优先。
/**
* @author: xu.dm
* @since: 2022/3/8
* 拦截所有实现Encrypted接口的实体类insert和update操作
* 如果接口的getEncryptFields返回数组长度大于0,则使用该参数进行加密,
* 否则检查实体类中带@Encrypt注解,对该标识字段加密,
* 注意:待加密的字段最好是字符串,加密调用的是标识对象的ToString()结果进行加密,
*
**/
@Component
@Slf4j
@Intercepts({
@Signature(method = "update", type = Executor.class, args = {MappedStatement.class, Object.class})
})
public class EncryptionInterceptor implements Interceptor {
public EncryptionInterceptor() {
}
@Override
public Object intercept(Invocation invocation) throws Throwable {
Object[] args = invocation.getArgs();
SqlCommandType sqlCommandType = null;
for (Object object : args) {
// 从MappedStatement参数中获取到操作类型
if (object instanceof MappedStatement) {
MappedStatement ms = (MappedStatement) object;
sqlCommandType = ms.getSqlCommandType();
log.debug("Encryption interceptor 操作类型: {}", sqlCommandType);
continue;
}
log.debug("Encryption interceptor 操作参数:{}",object);
// 判断参数
if (object instanceof Encrypted) {
if (SqlCommandType.INSERT == sqlCommandType) {
encryptField((Encrypted)object);
continue;
}
if (SqlCommandType.UPDATE == sqlCommandType) {
encryptField((Encrypted)object);
log.debug("Encryption interceptor update operation,encrypt field: {}",object.toString());
}
}
}
return invocation.proceed();
}
/**
* @param object 待检查的对象
* @throws IllegalAccessException
* 通过查询注解@Encrypt或者Encrypted返回的字段,进行动态加密
* 两种方式互斥
*/
private void encryptField(Encrypted object) throws IllegalAccessException, NoSuchFieldException {
String[] encryptFields = object.getEncryptFields();
String factor = "xu.dm118dAADF!@$";
Class<?> clazz = object.getClass();
if(encryptFields.length==0){
Field[] fields = clazz.getDeclaredFields();
for (Field field : fields) {
field.setAccessible(true);
Encrypt encrypt = field.getAnnotation(Encrypt.class);
if(encrypt!=null) {
String encryptString = AesUtils.encrypt(field.get(object).toString(), factor);
field.set(object,encryptString);
log.debug("Encryption interceptor,encrypt field: {}",field.getName());
}
}
}else {
for (String fieldName : encryptFields) {
Field field = clazz.getDeclaredField(fieldName);
field.setAccessible(true);
String encryptString = AesUtils.encrypt(field.get(object).toString(), factor);
field.set(object,encryptString);
log.debug("Encryption interceptor,encrypt field: {}",field.getName());
}
}
}
@Override
public Object plugin(Object target) {
return Plugin.wrap(target, this);
}
@Override
public void setProperties(Properties properties) {
}
}
3.4 * 解密数据
解密时拦截query方法,只对结果集判断,结果属于Encrypted接口或者结果结果集第一条数据属于Encrypted接口则进入解密流程。
解密失败或者解密方法返回空串后,不会修改原本字段数据。
/**
* @author: xu.dm
* @since: 2022/3/9 11:39
* 解密数据,返回结果为list集合时,应保证集合里都是同一类型的元素。
* 解密失败时返回为null,或者返回为空串时,不对原数据操作。
**/
@Component
@Slf4j
@Intercepts({
@Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class}),
@Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class, CacheKey.class, BoundSql.class}),
})
public class DecryptionInterceptor implements Interceptor {
@Override
public Object intercept(Invocation invocation) throws Throwable {
Object result = invocation.proceed();
if(result instanceof ArrayList) {
@SuppressWarnings("rawtypes")
ArrayList list = (ArrayList) result;
if(list.size() == 0) {
return result;
}
if(list.get(0) instanceof Encrypted) {
for (Object item : list) {
decryptField((Encrypted) item);
}
}
return result;
}
if(result instanceof Encrypted) {
decryptField((Encrypted) result);
}
return result;
}
@Override
public Object plugin(Object target) {
return Plugin.wrap(target, this);
}
@Override
public void setProperties(Properties properties) {
}
/**
* @param object 待检查的对象
* @throws IllegalAccessException
* 通过查询注解@Encrypt或者Encrypted返回的字段,进行解密
* 两种方式互斥
*/
private void decryptField(Encrypted object) throws IllegalAccessException, NoSuchFieldException {
String[] encryptFields = object.getEncryptFields();
String factor = "xu.dm118dAADF!@$";
Class<?> clazz = object.getClass();
if(encryptFields.length==0){
Field[] fields = clazz.getDeclaredFields();
for (Field field : fields) {
field.setAccessible(true);
Encrypt encrypt = field.getAnnotation(Encrypt.class);
if(encrypt!=null) {
String encryptString = AesUtils.decrypt(field.get(object).toString(), factor);
if(encryptString!=null){
field.set(object,encryptString);
log.debug("Encryption interceptor,encrypt field: {}",field.getName());
}
}
}
}else {
for (String fieldName : encryptFields) {
Field field = clazz.getDeclaredField(fieldName);
field.setAccessible(true);
String encryptString = AesUtils.decrypt(field.get(object).toString(), factor);
if(encryptString!=null && encryptString.length() > 0){
field.set(object,encryptString);
log.debug("Encryption interceptor,encrypt field: {}",field.getName());
}
}
}
}
}
3.5 解密工具类
解密工具类可根据场景进一步优化,例如:可考虑解密类实例化后常驻内存,以减少CPU负载。
/**
* @author: xu.dm
* @since: 2018/11/24 22:26
*
*/
public class AesUtils {
private static final String ALGORITHM = "AES/ECB/PKCS5Padding";
public static String encrypt(String content, String key) {
try {
//获得密码的字节数组
byte[] raw = key.getBytes();
//根据密码生成AES密钥
SecretKeySpec keySpec = new SecretKeySpec(raw, "AES");
//根据指定算法ALGORITHM自成密码器
Cipher cipher = Cipher.getInstance(ALGORITHM);
//初始化密码器,第一个参数为加密(ENCRYPT_MODE)或者解密(DECRYPT_MODE)操作,第二个参数为生成的AES密钥
cipher.init(Cipher.ENCRYPT_MODE, keySpec);
//获取加密内容的字节数组(设置为utf-8)不然内容中如果有中文和英文混合中文就会解密为乱码
byte [] contentBytes = content.getBytes(StandardCharsets.UTF_8);
//密码器加密数据
byte [] encodeContent = cipher.doFinal(contentBytes);
//将加密后的数据转换为字符串返回
return Base64.encodeBase64String(encodeContent);
} catch (Exception e) {
e.printStackTrace();
throw new RuntimeException("AesUtils加密失败");
}
}
public static String decrypt(String encryptStr, String decryptKey) {
try {
//获得密码的字节数组
byte[] raw = decryptKey.getBytes();
//根据密码生成AES密钥
SecretKeySpec keySpec = new SecretKeySpec(raw, "AES");
//根据指定算法ALGORITHM自成密码器
Cipher cipher = Cipher.getInstance(ALGORITHM);
//初始化密码器,第一个参数为加密(ENCRYPT_MODE)或者解密(DECRYPT_MODE)操作,第二个参数为生成的AES密钥
cipher.init(Cipher.DECRYPT_MODE, keySpec);
//把密文字符串转回密文字节数组
byte [] encodeContent = Base64.decodeBase64(encryptStr);
//密码器解密数据
byte [] byteContent = cipher.doFinal(encodeContent);
//将解密后的数据转换为字符串返回
return new String(byteContent, StandardCharsets.UTF_8);
} catch (Exception e) {
// e.printStackTrace();
// 解密失败暂时返回null,可以抛出runtime异常
return null;
}
}
}
3.6 实体类样例
/**
* (SysUser)实体类
*
* @author xu.dm
* @since 2020-05-02 09:34:53
*/
@EqualsAndHashCode(callSuper = true)
@Data
@NoArgsConstructor
@AllArgsConstructor
@ToString(exclude = {"password","username"},callSuper = true)
public class SysUser extends BaseDO implements Serializable, Encrypted {
private static final long serialVersionUID = 100317866935565576L;
/**
* ID 转换成字符串给前端,否则js会出现精度问题
* 对于前后台传参Long类型64位而言,当前端超过53位后会丢失精度,超过的部分会以00的形式展示.
* 可以使用 @JsonSerialize(using = ToStringSerializer.class)
*/
@JsonSerialize(using = ToStringSerializer.class)
private Long id;
/**
* 手机号码
*/
@Encrypt
private String mobile;
/**
* 用户登录名称
*/
private String username;
private String name;
/**
* 密码
*/
@JsonIgnore
private String password;
/**
*/
private String email;
@Override
public String[] getEncryptFields() {
return new String[]{"mobile","name"};
}
}
4、使用类型转换器
在mybatis中使用类型转换器,本质上就是就自定义一个类型(本质就是一个类),通过mybatis提供的TypeHandler接口扩展,对数据类型转换,在这个过程中加入加密和解密业务逻辑实现数据存储和查询的加解密功能。
4.1 定义加密类型
这个类型就直接理解成类似java.lang.String。如果对加密的方式有多种需求,可扩N种EncryptType类型。
/**
* @author: xu.dm
* @since: 2022/3/9 16:54
* 自定义类型,用于在mybatis中表示加密类型
* 需要加密的字段使用EncryptType声明
**/
public class EncryptType {
private String value;
public EncryptType() {
}
public EncryptType(String value) {
this.value = value;
}
public String getValue() {
return value;
}
public void setValue(String value) {
this.value = value;
}
@Override
public String toString() {
return value;
}
}
4.2 定义类型转换处理器
AesUtils工具类见上文描述。
转换器继承自mybatis的BaseTypeHandler,重写值设置和值获取的方法,在其过程中加入加密和解密逻辑。
/**
* @author: xu.dm
* @since: 2022/3/9 16:21
* 类型转换器,处理EncryptType类型,用于数据加解密
**/
@MappedJdbcTypes(JdbcType.VARCHAR)
@MappedTypes(EncryptType.class)
public class EncryptTypeHandler extends BaseTypeHandler<EncryptType> {
private String factor = "xu.dm118dAADF!@$";
@Override
public void setNonNullParameter(PreparedStatement ps, int i, EncryptType parameter, JdbcType jdbcType) throws SQLException {
if (parameter == null || parameter.getValue() == null) {
ps.setString(i, null);
return;
}
String encrypt = AesUtils.encrypt(parameter.getValue(),factor);
ps.setString(i, encrypt);
}
@Override
public EncryptType getNullableResult(ResultSet rs, String columnName) throws SQLException {
String decrypt = AesUtils.decrypt(rs.getString(columnName), factor);
if(decrypt==null || decrypt.length()==0){
decrypt = rs.getString(columnName);
}
return new EncryptType(decrypt);
}
@Override
public EncryptType getNullableResult(ResultSet rs, int columnIndex) throws SQLException {
String decrypt = AesUtils.decrypt(rs.getString(columnIndex), factor);
if(decrypt==null || decrypt.length()==0){
decrypt = rs.getString(columnIndex);
}
return new EncryptType(decrypt);
}
@Override
public EncryptType getNullableResult(CallableStatement cs, int columnIndex) throws SQLException {
String decrypt = AesUtils.decrypt(cs.getString(columnIndex), factor);
if(decrypt==null || decrypt.length()==0){
decrypt = cs.getString(columnIndex);
}
return new EncryptType(decrypt);
}
}
4.3 配置类型转换器的包路径
这个配置是可选的,因为可以在mapper的映射xml文件中指定。
mybatis:
#xml映射版才需要配置,纯注解版本不需要
mapper-locations: classpath*:mapper/*.xml #多模块指定sql映射文件的位置,需要在classpath后面多加一个星号
type-handlers-package: com.wood.encryption.handler
4.4 测试用的实体类
截取了部分代码,关注代码中使用EncryptType类型的字段name和mobile。
/**
* (TestUser)实体类
*
* @author xu.dm
* @since 2022-03-10 11:31:54
*/
@Data
public class TestUser extends BaseDO implements Serializable {
private static final long serialVersionUID = -53491943096074862L;
/**
* ID
*/
private Long id;
/**
* 手机号码
*/
private EncryptType mobile;
/**
* 用户登录名称
*/
private String username;
/**
* 用户名或昵称
*/
private EncryptType name;
/**
* 密码
*/
private String password;
/**
*/
private String email;
... ...
}
4.5 mapper接口文件
这个类没有本质的变化,截取了部分代码,注意EncryptType类型的使用。
/**
* (TestUser)表数据库访问层
*
* @author xu.dm
* @since 2022-03-10 11:31:54
*/
public interface TestUserDao {
/**
* 查询手机号码,通过主键
*
* @param id 主键
* @return 手机号码
*/
EncryptType queryMobileById(Long id);
/**
* 通过手机号码查询单条数据
*
* @param mobile 手机号码
* @return 实例对象
*/
List<TestUser> queryByMobile(EncryptType mobile);
/**
* 通过ID查询单条数据
*
* @param id 主键
* @return 实例对象
*/
TestUser queryById(Long id);
/**
* 查询所有数据,根据入参,决定是否模糊查询
*
* @param testUser 查询条件
*
* @return 对象列表
*/
List<TestUser> queryByBlurry(TestUser testUser);
/**
* 统计总行数
*
* @param testUser 查询条件
* @return 总行数
*/
long count(TestUser testUser);
/**
* 新增数据
*
* @param testUser 实例对象
* @return 影响行数
*/
int insert(TestUser testUser);
/**
* 修改数据
*
* @param testUser 实例对象
* @return 影响行数
*/
int update(TestUser testUser);
}
4.6 mapper映射文件
没有本质变化,截取了部分代码,注意EncryptType类型的使用。
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.wood.system.dao.TestUserDao">
<resultMap type="com.wood.system.entity.TestUser" id="TestUserMap">
<result property="id" column="id" jdbcType="INTEGER"/>
<result property="mobile" column="mobile" jdbcType="VARCHAR"/>
<result property="username" column="username" jdbcType="VARCHAR"/>
<result property="name" column="name" jdbcType="VARCHAR"/>
<result property="password" column="password" jdbcType="VARCHAR"/>
<result property="email" column="email" jdbcType="VARCHAR"/>
<result property="state" column="state" jdbcType="VARCHAR"/>
<result property="level" column="level" jdbcType="VARCHAR"/>
<result property="companyId" column="company_id" jdbcType="INTEGER"/>
<result property="deptId" column="dept_id" jdbcType="INTEGER"/>
<result property="createTime" column="create_time" jdbcType="TIMESTAMP"/>
<result property="updateTime" column="update_time" jdbcType="TIMESTAMP"/>
</resultMap>
<!--查询单个-->
<select id="queryById" resultMap="TestUserMap">
select
id, mobile, username, name, password, email, state, level, company_id, dept_id, create_time, update_time
from test_user
where id = #{id}
</select>
<!--查询指定行数据-->
<select id="queryByBlurry" resultMap="TestUserMap">
select
id, mobile, username, name, password, email, state, level, company_id, dept_id, create_time, update_time
from test_user
<where>
<if test="id != null">
and id = #{id}
</if>
<if test="mobile != null and mobile != ''">
and mobile = #{mobile}
</if>
<if test="username != null and username != ''">
and username = #{username}
</if>
<if test="name != null and name != ''">
and name = #{name}
</if>
... ...
</where>
</select>
<select id="queryMobileById" resultType="com.wood.encryption.type.EncryptType">
select mobile from test_user where id = #{id}
</select>
<select id="queryByMobile" resultType="com.wood.system.entity.TestUser">
select * from test_user where mobile = #{mobile}
</select>
<!--新增所有列-->
<insert id="insert" keyProperty="id" useGeneratedKeys="false">
insert into test_user(id, mobile, username, name, password, email, state, level, company_id, dept_id, create_time, update_time)
values (#{id}, #{mobile}, #{username}, #{name}, #{password}, #{email}, #{state}, #{level}, #{companyId}, #{deptId}, #{createTime}, #{updateTime})
</insert>
<!--通过主键修改数据-->
<update id="update">
update test_user
<set>
<if test="mobile != null and mobile != ''">
mobile = #{mobile},
</if>
<if test="username != null and username != ''">
username = #{username},
</if>
<if test="name != null and name != ''">
name = #{name},
</if>
<if test="email != null and email != ''">
email = #{email},
</if>
<if test="state != null and state != ''">
state = #{state},
</if>
<if test="level != null and level != ''">
level = #{level},
</if>
<if test="companyId != null">
company_id = #{companyId},
</if>
<if test="deptId != null">
dept_id = #{deptId},
</if>
<if test="updateTime != null">
update_time = #{updateTime},
</if>
</set>
where id = #{id}
</update>
</mapper>
来源:https://juejin.cn/post/7073366302869422111
0
投稿猜你喜欢
- Java8Stream流操作List去重根据属性去重整体去重使用distinctArrayList<LabelInfoDTO>
写在前面从Java 1.0开始,引入java.io包;到Java 1.4再扩展了java.nio包;再到java 1.7又添加了新的流类,使- 简介常见的4种使用线程的方法:1实现 Runnable 接口;2实现 Callable 接口;3继承 Thread 类。4匿名内部类的写法。
- 生产者消费者模式的几种实现方式拿我们生活中的例子来说,工厂生产出来的产品总是要输出到外面使用的,这就是生产与消费的概念。在我们实际的软件开发
- 工作中有做过手机App项目,前端和android或ios程序员配合完成整个项目的开发,开发过程中与ios程序配合基本没什么问题,而andro
- Web基础和HTTP协议┌─────────┐┌─────────┐
- 一个提交到服务器的处理通常可以分为两个阶段,第一个阶段查询服务器状态(查询或者更新数据库),第二个阶段选择一个合适的结果页面其返回给用户(这
- 现在就为大家介绍一种基于因子分解的RSA算法,这种加密算法有两种实现形式:1、公钥加密,私钥解密;2、私钥加密,公钥解密。下面就为大家分析一
- 双保险线程,每次启动2个相同的线程,互相检测,避免线程死锁造成影响。两个线程都运行,但只有一个线程执行业务,但都会检测对方的时间戳 如果时间
- foreach 循环 list(map)直接上代码:整体需求就是1.分页对象里面有map map里面又有数组对象2.分页对象里面有list
- 前言回调的核心就是回调方将本身即this传递给调用方,这样调用方就可以在调用完毕之后告诉回调方它想要知道的信息。1、什么是回调软件模块之间总
- AndroidStduio3.0使用gradle将module打包jar文件,首先需要安装gradle。打开控制台输入
- SimpleDateFormat进行日期格式化1.为啥要用SimpleDateFormat众所周知,Java中的日期类是Date,然后日期默
- 前言在上一篇文章中,我们分析了Spring中Bean的实例化过程,在结尾我们知道了虽然bean的实例化完成了,但是其中的属性还没有被注入,今
- 本文实例为大家分享了java实现微信扫码支付的具体代码,供大家参考,具体内容如下1、maven项目的pom.xml中添加如下jar包:<
- 为什么需要网关呢?我们知道我们要进入一个服务本身,很明显我们没有特别好的办法,直接输入IP地址+端口号,我们知道这样的做法很糟糕的,这样的做
- 目录环境准备1.数据库操作1.1获取所有数据库1.2获取指定库的所有集合名1.3.删除数据库2.文档操作2.1插入文档2.2查询文档2.3分
- 初次安装Android Studio,遇到了不少问题,这是其中的一个,分享如下,同时求各位dalao关注一下啦((*^__^*) )使用不同
- 一、遇到一个问题1、读取CSV文件package com.guor.demo.charset;import java.io.Buffered
- 一、IDEA自带打包插件内容:此种方式可以自己选择制作胖包或者瘦包,但推荐此种方式制作瘦包。输出:输出目录在out目录下流程步骤:第一步:
