mybatis+自定义注解实现对数据库敏感字段进行加密

最新推荐文章于 2024-03-15 15:57:26 发布
最新推荐文章于 2024-03-15 15:57:26 发布
阅读量1.3k 收藏 13
点赞数 2
分类专栏: spring 文章标签: mybatis 数据库 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gehanyang/article/details/128039850
版权

在实际生产项目中,经常需要对如身份证信息、手机号、银行卡号等的敏感数据进行加密数据库存储,但在业务代码中对敏感信息进行手动加解密则十分不优雅,甚至会存在错加密、漏加密、业务人员需要知道实际的加密规则等的情况。本文将介绍使mybatis拦截器+自定义注解的形式对敏感数据进行存储前拦截加密的详细过程。

1  Mybatis Plugin 介绍

MyBatis 允许你在已映射语句执行过程中的某一点进行拦截调用。默认情况下,MyBatis 允许使用插件来拦截的方法调用包括:
    //语句执行拦截
Executor (update, query, flushStatements, commit, rollback, getTransaction, close, isClosed)
   // 参数获取、设置时进行拦截
ParameterHandler (getParameterObject, setParameters)
   // 对返回结果进行拦截
ResultSetHandler (handleResultSets, handleOutputParameters)
    //sql语句拦截
StatementHandler (prepare, parameterize, batch, update, query)
 

 简而言之,即在执行sql的整个周期中,我们可以任意切入到某一点对sql的参数、sql执行结果集、sql语句本身等进行切面处理。基于这个特性,我们便可以使用其对我们需要进行加密的数据进行切面统一加密处理了(分页插件 pageHelper 就是这样实现数据库分页查询的)。

2 基于注解方式对敏感信息加解密拦截器

2.1 实现思路

对应数据的加密我们用ParameterHandler,解密用ResultSetHandler

目前字段需要灵活变更,所以需要用注解的方式判断哪些字段需要加密

mybatis的interceptor接口有以下方法需要实现

public interface Interceptor {
 
  //主要参数拦截方法
  Object intercept(Invocation invocation) throws Throwable;
 
  //mybatis插件链 必须实现加入到拦截中
  default Object plugin(Object target) {return Plugin.wrap(target, this);}
 
  //自定义插件配置文件方法 可为空
  default void setProperties(Properties properties) {}
 
}

 2.2 定义需要加解密的敏感字段注解

定义类的注解

/**
 * 注解敏感信息类的注解
 */
@Inherited
@Target({ ElementType.TYPE })
@Retention(RetentionPolicy.RUNTIME)
public @interface SensitiveData {
}

定义字段的注解

/**
 * 注解敏感信息类中敏感字段的注解
 */
@Inherited
@Target({ ElementType.Field })
@Retention(RetentionPolicy.RUNTIME)
public @interface SensitiveField {
}

2.3 定义加解密管理类


/**
 * 利用注解对字段进行加密管理类
 */
@Component
public class AESManager {

    @Value("${sensitive.data.encryption}")
    private String encryptionKey;

    /**
     * 解密
     * @param result
     * @param <T>
     * @return
     * @throws Exception
     */
    public <T> T decrypt(T result) throws Exception {
        //取出resultType的类
        Class<?> resultClass = result.getClass();
        Field[] declaredFields = resultClass.getDeclaredFields();
        for (Field field : declaredFields) {
            //取出所有被EncryptDecryptField注解的字段
            SensitiveField sensitiveField = field.getAnnotation(SensitiveField.class);
            if (!Objects.isNull(sensitiveField)) {
                field.setAccessible(true);
                Object object = field.get(result);
                //只支持String的解密
                if (object instanceof String) {
                    String value = (String) object;
                    //对注解的字段进行逐一解密
                    //对于纯数字字符不解密
                    if(!StringUtils.isNumeric(value)){
                        field.set(result, AESUtils.decryptAES(value,encryptionKey));
                    }
                }
            }
        }
        return result;
    }

    /**
     * 加密
     * @param declaredFields
     * @param paramsObject
     * @param <T>
     * @return
     * @throws Exception
     */
    public <T> T encrypt(Field[] declaredFields, T paramsObject) throws Exception {
        for (Field field : declaredFields) {
            //取出所有被EncryptDecryptField注解的字段
            SensitiveField sensitiveField = field.getAnnotation(SensitiveField.class);
            if (!Objects.isNull(sensitiveField)) {
                field.setAccessible(true);
                Object object = field.get(paramsObject);
                //暂时只实现String类型的加密
                if (object instanceof String) {
                    String value = (String) object;
                    //加密  这里我使用自定义的AES加密工具
                    field.set(paramsObject, AESUtils.encryptAES(value, encryptionKey));
                }
            }
        }
        return paramsObject;
    }

}




/**
 * AES加密解密工具类
 */
public class AESUtils {


    /**
     * 解密
     * @param content 加密内容
     * @param key
     * @return
     */
    public static String decryptAES(String content, String key) {
        if(StringUtils.isBlank(content)){
            return null;
        }
        byte[] byteRresult = new byte[content.length() / 2];
        for (int i = 0; i < content.length() / 2; i++) {
            int high = Integer.parseInt(content.substring(i * 2, i * 2 + 1), 16);
            int low = Integer.parseInt(content.substring(i * 2 + 1, i * 2 + 2), 16);
            byteRresult[i] = (byte) (high * 16 + low);
        }

        try {

            SecureRandom random = SecureRandom.getInstance("SHA1PRNG");//修改后
            random.setSeed(key.getBytes());

            KeyGenerator kgen = KeyGenerator.getInstance("AES");
            kgen.init(128, random);
            SecretKey secretKey = kgen.generateKey();
            byte[] enCodeFormat = secretKey.getEncoded();
            SecretKeySpec secretKeySpec = new SecretKeySpec(enCodeFormat, "AES");
            Cipher cipher = Cipher.getInstance("AES");
            cipher.init(Cipher.DECRYPT_MODE, secretKeySpec);
            byte[] result = cipher.doFinal(byteRresult);
            return new String(result);
        } catch (Exception e) {
            log.error("decrypt aes error key:{}",content);
            log.error("decrypt aes error message :{}",e.getMessage());
        }
        return null;
    }



    /**
     * 加密
     */
    public static String encryptAES(String content, String key) {
        try {
            if(StringUtils.isBlank(content)){
                return null;
            }
            KeyGenerator kgen = KeyGenerator.getInstance("AES");
            kgen.init(128, new SecureRandom(key.getBytes()));
            SecretKey secretKey = kgen.generateKey();
            SecretKeySpec secretKeySpec = getSecretKey(key);
            Cipher cipher = Cipher.getInstance("AES");
            byte[] byteContent = content.getBytes("utf-8");
            cipher.init(Cipher.ENCRYPT_MODE, secretKeySpec);
            byte[] byteRresult = cipher.doFinal(byteContent);
            StringBuffer sb = new StringBuffer();
            for (int i = 0; i < byteRresult.length; i++) {
                String hex = Integer.toHexString(byteRresult[i] & 0xFF);
                if (hex.length() == 1) {
                    hex = '0' + hex;
                }
                sb.append(hex.toUpperCase());
            }
            return sb.toString();
        } catch (Exception e) {
            log.error("encrypt aes error ",e);
        }
        return null;
    }

    private static SecretKeySpec getSecretKey(String password) {
        KeyGenerator kg = null;
        try {
            kg = KeyGenerator.getInstance("AES");

            SecureRandom secureRandom = SecureRandom.getInstance("SHA1PRNG");
            secureRandom.setSeed(password.getBytes());

            kg.init(128, secureRandom);


            SecretKey secretKey = kg.generateKey();

            return new SecretKeySpec(secretKey.getEncoded(), "AES");
        } catch (NoSuchAlgorithmException ex) {
            ex.printStackTrace();
        }
        return null;
    }



}

2.4 实现入参加密拦截器

@Component
@Intercepts({
        @Signature(type = ParameterHandler.class, method = "setParameters", args = PreparedStatement.class),
})
public class EncryptInterceptor implements Interceptor {


    @Autowired
    private AESManager aesManager;

    public Object intercept(Invocation invocation) throws Throwable {
        //@Signature 指定了 type= parameterHandler 后,这里的 invocation.getTarget() 便是parameterHandler
        //若指定ResultSetHandler ,这里则能强转为ResultSetHandler
        ParameterHandler parameterHandler = (ParameterHandler) invocation.getTarget();
        // 获取参数对像,即 mapper 中 paramsType 的实例
        Field parameterField = parameterHandler.getClass().getDeclaredField("parameterObject");
        parameterField.setAccessible(true);
        //取出实例,当parameterObject 是单独一个对象时
        Object parameterObject = parameterField.get(parameterHandler);
        if (parameterObject != null) {
            Class<?> parameterObjectClass = parameterObject.getClass();
            //校验该实例的类是否被@SensitiveData所注解
            SensitiveData sensitiveData = AnnotationUtils.findAnnotation(parameterObjectClass, SensitiveData.class);
            if (Objects.nonNull(sensitiveData)) {
                //取出当前当前类所有字段,传入加密方法
                Field[] declaredFields = parameterObjectClass.getDeclaredFields();
                aesManager.encrypt(declaredFields, parameterObject);
            }
        }
        if (parameterObject != null) {
            try {
                Map<String,Object> jsonObject = (Map)parameterObject;
                Object param1 = jsonObject.get("param1");
                Class<?> parameterObjectClass = param1.getClass();
                //校验该实例的类是否被@SensitiveData所注解
                SensitiveData sensitiveData = AnnotationUtils.findAnnotation(parameterObjectClass, SensitiveData.class);
                if (Objects.nonNull(sensitiveData)) {
                    //取出当前当前类所有字段,传入加密方法
                    Field[] declaredFields = parameterObjectClass.getDeclaredFields();
                    aesManager.encrypt(declaredFields, param1);
                }
            }catch (Exception e){
            }
        }
        return invocation.proceed();
    }

    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    @Override
    public void setProperties(Properties properties) {

    }

}

2.5 实现出参解密拦截器

@Component
@Intercepts(
        @Signature(type = ResultSetHandler.class,method = "handleResultSets",args = {Statement.class})
)
public class DecryptInterceptor implements Interceptor {

    @Autowired
    private AESManager aesManager;


    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        //取出查询的结果
        Object resultObject = invocation.proceed();
        if (Objects.isNull(resultObject)) {
            return null;
        }
        //基于selectList
        if (resultObject instanceof ArrayList) {
            ArrayList resultList = (ArrayList) resultObject;
            if (!CollectionUtils.isEmpty(resultList) && needToDecrypt(resultList.get(0))) {
                for (Object result : resultList) {
                    //逐一解密
                    aesManager.decrypt(result);
                }
            }
            //基于selectOne
        } else {
            if (needToDecrypt(resultObject)) {
                aesManager.decrypt(resultObject);
            }
        }
        return resultObject;
    }

    private boolean needToDecrypt(Object object) {
        Class<?> objectClass = object.getClass();
        SensitiveData sensitiveData = AnnotationUtils.findAnnotation(objectClass, SensitiveData.class);
        return Objects.nonNull(sensitiveData);
    }
    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    @Override
    public void setProperties(Properties properties) {
    }
}

3 注解类中需要加的字段


@SensitiveData
public class UserDO  {
    /**
     * 账户名
     */
    private String username;
    /**
     * 手机号
     */
    @SensitiveField
    private String mobile;

 
}

4 注意实现

1 、添加注解的类一定是和数据库直接打交道的类,也就是mapping文件中映射的类

2、在同一个方法中,同一个对象不能连续更新和保存两次以上,因为更新和保存会对敏感字段进行加密,会导致加密两次。

该方法要实现,否则拦截器不生效 

gehanyang
关注
  • 2
    点赞
  • 13
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
springmvc+mybatis+bootstrap框架+oracle数据库
05-11
springmvc+mybatis+bootstrap框架+oracle数据库 1、兼容BootStrap,兼容Jquery UI。所以可以用bootstrap和jqueryui的功能。当然还有jquery了。 2、图标使用font awesome 3.2,可以使用字体图标 3、表格可以用bootstrap的表格,也可以用jqueryui的表格,也可以用jqgrid的表格 4、图表的话,我看ace里有jquery.flot 和?jquery.easy-pie-chart。 5、bootbox.js 6、日历插件,有daterangepicker.min.js等
自定义TypeHandler,解决在springboot+mybatis+postgresql时,数据库字段类型为json时,如何与mybatis进行映射
06-07
解决在springboot+mybatis+postgresql时,数据库字段类型为json时,如何与mybatis进行映射
Mybatis】基于Mybatis拦截器+注解,实现敏感数据自动加解密
最新发布
颗粒归仓
03-15 995
我司最近在做等保,要求数据库里面的手机号、微信号、身份证号等等这些在数据库中都不能是明文,所以需要把数据库中的涉及到这些的加密保存,但是查询和保存的接口传参不受影响,之前业务给前端返回是什么样子依然保持不变,这样前端不受影响。
Mybatis+注解轻松实现脱敏
01-05
Mybatis+注解轻松实现脱敏,如果后端技术使用java遇到需要脱敏的场景,可以使用本文档的技术实现,可以轻轻松松的完成数据的脱敏及加解密,轻松便捷,代码简单
SpringBoot+MyBatis+Druid+MySQL实现数据库操作.pdf
03-22
SpringBoot+MyBatis+Druid+MySQL实现数据库操作 SpringBoot+MyBatis+Druid+MySQL实现数据库操作 SpringBoot+MyBatis+Druid+MySQL实现数据库操作
Hibernate拦截器应用:字段加密
weixin_41817688的博客
03-05 969
1、自定义拦截器,将自己的加密业务写入拦截器; public class EncryptInterceptor extends EmptyInterceptor { private static final Logger logger = LoggerFactory .getLogger(EncryptInterceptor.class); private static fina...
mybatis-encrypt-plugin:mybatis数据脱敏和字段加解密插件
05-14
敏感数据加解密以及数据脱敏mybatis插件 介绍 本工具是基于mybatis的插件机制编写的一套敏感数据加解密以及数据脱敏工具。 在使用时通过注解指定一个字段是需要加密字段,该插件会在存储时自动加密存储。 而查询时会自动解密出明文在程序内部使用。 在使用时也可以通过注解指定一个字段是需要脱敏的字段,该插件会在入库时将字段脱敏存储。 内置了一些常用数据的脱敏处理方式。 设计目标 对应用和使用者透明,业务逻辑无感知,通过配置集成,改动代码量小。 加密算法可扩展。 实现原理 1,拦截mybatis的StatementHandler 对读写请求进行脱敏和字段加密。 2,拦截mybatis的ResultSetHandler,对读请求的响应进行加密字段的解密赋值。 使用方式 0,导入依赖 <!-- mybatis数据脱敏插件 --> <dependency> <g
Mybatis】基于Mybatis插件+注解,实现敏感数据自动加解密
小星星专栏
10-12 2747
*** 该注解定义在类上* 插件通过扫描类对象是否包含这个注解来决定是否继续扫描其中的字段注解* 这个注解要配合EncryptTransaction注解/*** 该注解定义在类上* 插件通过扫描类对象是否包含这个注解来决定是否继续扫描其中的字段注解* 这个注解要配合EncryptTransaction注解/*** 该注解定义在类上* 插件通过扫描类对象是否包含这个注解来决定是否继续扫描其中的字段注解* 这个注解要配合EncryptTransaction注解**/
Mybatis 拦截进行安全加密方式 Mybatis Plugin 插件
风兮雨露的博客
03-28 1363
目录 一、背景 二、 引入MybatisPlugin 插件 三、注解的敏感信息加解密拦截器 1、interceptor接口 解释 2.2 定义需要加密解密的敏感信息注解 2.3 实现入参加密拦截器 2.4 定义出参解密拦截器 2.5、注解实体类中需要加解密的字段 一、背景 其实在项目中,经常会有对某些敏感数据进行加密。如身份证信息、手机号、真实姓名等的敏感数据进行加密数据库存储,但是获取数据时又要解密出来。业务代码中对敏感信息进行手动加解密会存在错加密、漏加密、业务...
如何使用MyBatis进行数据存储的加密、解密
Tz.的博客
02-22 3614
背景:在大部分的系统中,出于用户的隐私安全考虑,都会对数据库内容进行加密,那么在编写业务代码逻辑时加密也不太现实。于是通用的加解密插件就应运而生,本文将采用mybatis拦截器作为基础进行实现。思路:我们可以通过mybatis拦截器进行参数的加密和解密解密。
Hibernate拦截器字段加密解密
C_tongxue的博客
05-06 2619
前段时间刚好在公司处理到这种需求,客户要求系统的敏感字段需要使用国密SM4算法进行加密,需要在数据库中看到加密的数据。因为公司的持久层使用的是Hibernate,因此利用hibernate拦截器在数据读取时进行解密,在数据进行持久化时进行加密实现
基于SpringBoot + mybatis + druid 连接国产达梦数据库实现简单的CURD项目源码
10-12
本项目通过 SpringBoot + Mybatis + druid 连接国产达梦数据库实现简单的CRUD。项目采用DMHR实例,所以未给出SQL,可以从达梦数据库配置助手中创建该数据库实例。 前端:Thymeleaf、Layui、JQuery、AJAX 后端:...
MyBatis-Plus 优雅实现数据加密存储
一碗清深的博客
02-22 1727
本文将基于Mybatis-Plus讲述如何在数据的源头存储层保障其安全。我们都知道一些核心私密字段,比如说密码,手机号等在数据库层存储就不能明文存储,必须加密存储保证即使数据库泄露了也不会轻易曝光数据。
使用mybatis拦截器对实体类上的敏感字段进行加密解密
nkc的博客
07-23 4975
目的: 对信息进行加密保存到数据库中,在读取数据库时能够看到解密后的数据。 关键点: 敏感实体类:比如要对User对象的密码字段进行加密解密,这个User类就是敏感实体类 敏感实体类注解:标明目标对象,为了过滤掉其他无关对象 敏感实体类的加密解密的字段:标明目标字段,在这个字段对其进行加密解密 拦截器上的参数method = "update" :代表着update和insert还...
mybatis拦截器实现字段加解密
Pluto372的博客
10-15 859
根据公司业务需要,灵活对客户敏感信息进行加解密,这里采用mybatis拦截器进行简单实现个demo。
数据库字段加解密插件,保障数据的安全,支持Mybatis框架与MybatisPlus框架,数据入库加密,出库解密
NameLoadingFailed的博客
12-03 3638
前言:   在很多的后台系统中,出于对用户隐私保护、数据安全、使开发和业务数据无感知、安全等级评审等需求中,都会对数据库部分内容进行加密,那么在书写逻辑时加密虽然简单粗暴,但有如下缺点: 代码量升高而加重业务代码复杂度 做法不够优雅 非业务代码与业务代码混杂,业务侵入性过强 研发人员的关注点变多,关注点过多那么也意味着后续可能维护困难 最好有一种声明式做法,比如注解,在最小影响代码的情况下,优雅的实现这个功能。复杂的实现也不考虑,本文将采用mybatis拦截器作为基础进行实现。(AOP思想) 一、
Mybatis(九)——Mybatis之插件编写与原理
weixin_42412601的博客
03-06 219
MyBatis 四大核心对象 ParameterHandler:处理SQL的参数对象 ResultSetHandler:处理SQL的返回结果集 StatementHandler:数据库的处理对象,用于执行SQL语句 Executor:MyBatis的执行器,用于执行增删改查操作 插件编写 写插件: //插件签名,告诉mybatis当前插件用来拦截那个对象的哪个方法 @Intercepts( ...
基于Mybatis-Plus拦截器实现MySQL数据加解密
tianmaxingkonger的专栏
06-01 7394
本文基于SpringBoot+MybatisPlus(3.5.X)+MySQL8架构,Dao层与DB中间使用MP的拦截器机制,对数据存取过程进行拦截,实现数据的加解密操作。实体类上使用自定义注解,来标记需要进行加解密// 必须使用@EncryptedTable注解// 使用@EncryptedColumn注解// 使用@EncryptedColumn注解通过MP自带API、Lambda、自定义mapper接口三种方式进行测试。
mybatis 敏感数据加密成熟解决方案 包含对旧数据的兼容处理.
qq_41917433的博客
08-27 126
使用MySQL + MyBatis + AES 数据库加密敏感信息(姓名、身份证)存入数据库时应当需要加密,防止被恶意访问数据库时暴露信息。
springboot+mybatis+MD5实现登录
07-29
可以使用MyBatis的注解或XML配置来实现这些操作,根据你的喜好选择合适的方式。 4. 在登录接口中,编写查询用户信息的方法。在查询之前,将用户输入的密码进行MD5加密,然后与数据库中存储的密码进行比对。 例如...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值