基于Mybatis层面对敏感字段的加密

已于 2023-01-05 14:06:11 修改
阅读量1.3k 收藏 15
点赞数 1
文章标签: mybatis
于 2021-04-15 17:09:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43207114/article/details/115729399
版权

在SpringBoot项目中,如何优雅的实现自定义注解+拦截器对敏感字段的加解密

 我们经常会面对对一些身份信息或是电话号码,以及真实姓名等敏感信息进行手动加密,那么这样不仅显得十分臃肿还很不优雅,甚至还会存在错加密、楼加密、开发人员需要知道实际的加密规则等情况。

本文就告诉大家如何使用SpringBoot + Mybatis拦截器 + 注解完成基于mapper层面的数据加密

一、什么是Mybatis Plugin

在mybatis官方文档中,对于Mybatis Plugin的介绍是这样的

  Mybatis允许你在已映射语句执行过程中的某一点进行拦截调用

//语句执行拦截
Executor (update, query, flushStatements, commit, rollback, getTransaction, close, isClosed)

// 参数获取、设置时进行拦截
ParameterHandler (getParameterObject, setParameters)

// 对返回结果进行拦截
ResultSetHandler (handleResultSets, handleOutputParameters)

//sql语句拦截
StatementHandler (prepare, parameterize, batch,update,query)

简单来说,就是执行整个sql的周期中,我们可以任意切入到某一点sql的参数、sql执行结果集、sql语句本身等进行切面处理。所以,基于这个特性我们可以使用使其对我们需要进行加密的数据进行切面统一加密处理

二、实现基于注解的敏感信息加密拦截器

2.1 实现思路

对于数据的加密与解密,应当存在两个拦截器对数据进行拦截操作

参照官方文档,因此此处我们应当使用ParameterHandler拦截器对入参进行加密
使用ResultSetHandler拦截器对出参进行解密操作。

加解密层面

目标需要解密、解密字段可能需要灵活变更,此时我们定义一个注解,对需要加密的字段进行注解,那么便可以配合拦截器对需要的数据惊醒加密与解密操作了,那么我们可以看到mybatis的拦截器需要实现以下方法

public interface Interceptor {
 
  //主要参数拦截方法
  Object intercept(Invocation invocation) throws Throwable;
 
  //mybatis插件链
  default Object plugin(Object target) {return Plugin.wrap(target, this);}
 
  //自定义插件配置文件方法
  default void setProperties(Properties properties) {}
 
}

2.1 定义需要加密解密的敏感信息注解

定义注解敏感信息类(如实体类POJO、PO)的注解

/**
 * @author kunBoy
 * @create 2021-04-13 10:23
 * 注解敏感信息类的注解
 */
@Inherited
@Target({ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface SensitiveData {
}

定义注解敏感字段的注解

/**
 * @author kunBoy
 * @create 2021-04-13 10:23
 * 注解敏感字段的注解
 */
@Inherited
@Target({ElementType.FIELD})
@Retention(RetentionPolicy.RUNTIME)
public @interface SensitiveFiled {
}

2.3 定义加密接口机器实现类

应以加密接口,方便以后拓展加密方法(如AES加密算法拓展支持PBE算法,只需要注入式指定一下即可)

/**
 * @author kunBoy
 * @create 2021-04-13 10:34
 */
public interface EncryptUtil {

    /**
     *
     * @param aesFields paramsObject所申明的字段
     * @param paramsObject mapper中paramsType的实例
     * @param <T>
     * @return
     * @throws IllegalAccessException 字段不可访问的异常
     * 这里为了写这个接口为了以后可以拓展掐他的加密类型
     */
    <T> T aesEncrypt(Field[] aesFields, T paramsObject) throws IllegalAccessException;
}

AESUtil工具类(也可自行封装)

/**
 * @version V1.0
 * @desc AES 加密工具类
 */
@Component
public class AESUtil {

    private static final String KEY_ALGORITHM = "AES";
    private static final String DEFAULT_CIPHER_ALGORITHM = "AES/ECB/PKCS5Padding";//默认的加密算法

    /**
     * AES 加密操作
     *
     * @param content  待加密内容
     * @return 返回Base64转码后的加密数据
     */
    public static String encrypt(String content, String key) {
        try {
            Cipher cipher = Cipher.getInstance(DEFAULT_CIPHER_ALGORITHM);// 创建密码器

            byte[] byteContent = content.getBytes(StandardCharsets.UTF_8);

            cipher.init(Cipher.ENCRYPT_MODE, getSecretKey(key));// 初始化为加密模式的密码器

            byte[] result = cipher.doFinal(byteContent);// 加密

            //Base64是一种基于64个可打印字符来表示二进制数据的表示方法。
            return Base64Utils.encodeToString(result);//通过Base64转码返回
        } catch (Exception ex) {
            Logger.getLogger(AESUtil.class.getName()).log(Level.SEVERE, null, ex);
        }

        return null;
    }

    /**
     * AES 解密操作
     *
     * @param content
     * @return
     */
    public static String decrypt(String content, String key) {

        try {
            //实例化
            Cipher cipher = Cipher.getInstance(DEFAULT_CIPHER_ALGORITHM);

            //使用密钥初始化,设置为解密模式
            cipher.init(Cipher.DECRYPT_MODE, getSecretKey(key));

            //执行操作
            //Base64是一种基于64个可打印字符来表示二进制数据的表示方法。
            byte[] result = cipher.doFinal(Base64Utils.decodeFromString(content));

            return new String(result, StandardCharsets.UTF_8);
        } catch (Exception ex) {
            Logger.getLogger(AESUtil.class.getName()).log(Level.SEVERE, null, ex);
        }
        return null;
    }

    /**
     * 生成加密秘钥
     *
     * @return
     */
    private static SecretKeySpec getSecretKey(String key) {
        //返回生成指定算法密钥生成器的 KeyGenerator 对象
        KeyGenerator kg = null;
        try {
            kg = KeyGenerator.getInstance(KEY_ALGORITHM);
            //AES 要求密钥长度为 128
            kg.init(128, new SecureRandom(key.getBytes()));
            //生成一个密钥
            SecretKey secretKey = kg.generateKey();
            return new SecretKeySpec(secretKey.getEncoded(), KEY_ALGORITHM);// 转换为AES专用密钥
        } catch (NoSuchAlgorithmException ex) {
            Logger.getLogger(AESUtil.class.getName()).log(Level.SEVERE, null, ex);
        }
        return null;
    }
}

实现类

/**
 * 加密工具类
 * @author kunBoy
 * @create 2021-04-13 10:39
 */
@Component
public class AESEncrypt implements EncryptUtil {

    @Value("${aes.key}")
    private String key;

    /**
     *
     * @param aesFields paramsObject所申明的字段
     * @param paramsObject mapper中paramsType的实例
     * @param <T>
     * @return
     * @throws IllegalAccessException 字段不可访问的异常
     */
    @Override
    public <T> T aesEncrypt(Field[] aesFields, T paramsObject) throws IllegalAccessException {
        for (Field aesField : aesFields) {
            //取出所有被EncryptDecryptFiled注解的字段
            SensitiveFiled filed = aesField.getAnnotation(SensitiveFiled.class);
            if (!Objects.isNull(filed)) {
                //将此对象的 accessible 标志设置为指示的布尔值。值为 true 则指示反射的对象在使用时应该取消 Java 语言访问检查。
                aesField.setAccessible(true);
                Object object = aesField.get(paramsObject);
                //这里暂时只对String类型来加密
                if (object instanceof String) {
                    String value = (String) object;
                    //开始对字段加密使用自定义的AES加密工具
                    aesField.set(paramsObject, AESUtil.encrypt(value, key));
                }
            }
        }
        return paramsObject;
    }
}

2.4 实现入参加密拦截器

前面已提到了需要自定义拦截器的话需要实现Mybatis给我们的三个方法

ParameterHandler 是MyBatis四大核心对象之一,ParameterHandler 相比于其他的组件就简单很多了,ParameterHandler 译为参数处理器,负责为 PreparedStatement 的 sql 语句参数动态赋值,这个接口很简单只有两个方法:

public interface ParameterHandler {
  // 用于读取参数;
  Object getParameterObject();
  // 用于对 PreparedStatement 绑定实参。
  void setParameters(PreparedStatement ps)
      throws SQLException;
}

此处我们使用了ParameterHandler.setParameters()方法,拦截了mapper.xml中paramsType的实例(即在每个含有parameType属性mapper语句中,都执行该拦截器,对paramsType的实例进行拦截处理)

/**
 * 加密拦截器
 * @author kunBoy
 * @create 2021-04-13 11:06
 */
@Slf4j
@Component
/**
 * @Intercepts注解开启拦截器
 * type 属性指定当前拦截器使用StatementHandler 、ResultSetHandler、ParameterHandler,Executor的一种
 * method 属性指定使用以上四种类型的具体方法(可进入class内部查看其方法)。
 * args 属性指定预编译语句
 */
@Intercepts({
        //@Signature注解定义拦截器的实际类型
        @Signature(type = ParameterHandler.class, method = "setParameters", args = PreparedStatement.class),
})
public class EncryptInterceptor implements Interceptor {

    private final AESEncrypt encryptUtil;

    @Autowired
    public EncryptInterceptor(AESEncrypt encryptUtil) {
        this.encryptUtil = encryptUtil;
    }
    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        //@Signature 指定了 type= parameterHandler 后,这里的 invocation.getTarget() 便是parameterHandler
        //若指定ResultSetHandler ,这里则能强转为ResultSetHandler
        ParameterHandler parameterHandler = (ParameterHandler) invocation.getTarget();
        //获取参数对象,即mapper中paramsType的实例
        Field paramsFiled = parameterHandler.getClass().getDeclaredField("parameterObject");
        //将此对象的 accessible 标志设置为指示的布尔值。值为 true 则指示反射的对象在使用时应该取消 Java 语言访问检查。
        paramsFiled.setAccessible(true);
        //取出实例
        Object parameterObject = paramsFiled.get(parameterHandler);
        if (parameterObject != null) {
            Class<?> parameterObjectClass = parameterObject.getClass();
            //校验该实例的类是否被@SensitiveData所注解
            SensitiveData sensitiveData = AnnotationUtils.findAnnotation(parameterObjectClass, SensitiveData.class);
            if (Objects.nonNull(sensitiveData)) {
                //取出当前类的所有字段,传入加密方法
                Field[] declaredFields = parameterObjectClass.getDeclaredFields();
                encryptUtil.aesEncrypt(declaredFields, parameterObject);
            }
        }
        //获取原方法的返回值
        return invocation.proceed();
    }

    /**
     * 一定要配置,加入此拦截器到拦截器链
     * @param target
     * @return
     */
    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    @Override
    public void setProperties(Properties properties) {

    }
}

至此完成了自定义加密拦截器

2.5 定义解密接口及其实现类

解密接口,其中result为mapper.xml中resultType的实例

/**
 * @author kunBoy
 * @create 2021-04-13 11:44
 */

public interface DecryptUtil {

    /**
     * 解密
     *
     * @param result
     * @param <T>
     * @return
     * @throws IllegalAccessException
     */
    <T> T decrypt(T result) throws IllegalAccessException;
}

/**
 * @author kunBoy
 * @create 2021-04-13 11:45
 */
@Component
public class AESDecrypt implements DecryptUtil {

    @Value("${aes.key}")
    private String key;


    /**
     * 解密
     *
     * @param result
     * @param <T>
     * @return
     * @throws IllegalAccessException
     */
    @Override
    public <T> T decrypt(T result) throws IllegalAccessException {
        //取出resultType的类
        Class<?> resultClass = result.getClass();
        Field[] declaredFields = resultClass.getDeclaredFields();
        for (Field declaredField : declaredFields) {
            //去除所有被EncryptDecryptFiled注解的字段
            SensitiveFiled sensitiveFiled = declaredField.getAnnotation(SensitiveFiled.class);
            if (!Objects.isNull(sensitiveFiled)) {
                //将此对象的 accessible 标志设置为指示的布尔值。值为 true 则指示反射的对象在使用时应该取消 Java 语言访问检查。
                declaredField.setAccessible(true);
                //这里的result就相当于是字段的访问器
                Object object = declaredField.get(result);
                //只支持String解密
                if (object instanceof String) {
                    String value = (String) object;
                    //对注解在这段进行逐一解密
                    declaredField.set(result, AESUtil.decrypt(value, key));
                }
            }
        }
        return result;
    }
}

2.6 定义出参解密拦截器

/**
 * @author kunBoy
 * @create 2021-04-13 11:56
 */
@Slf4j
@Component
/**
 * 这里是对找出来的字符串结果集进行解密所以是ResultSetHandler
 * args是指定预编译语句
 */
@Intercepts({
        @Signature(type = ResultSetHandler.class, method = "handleResultSets", args = {Statement.class})
})
public class DecryptInterceptor implements Interceptor {

    @Autowired
    AESDecrypt aesDecrypt;

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        //取出查询的结果
        Object resultObject = invocation.proceed();
        if (Objects.isNull(resultObject)) {
            return null;
        }
        //基于selectList
        if (resultObject instanceof ArrayList) {
            ArrayList resultList = (ArrayList) resultObject;
            if (!CollectionUtils.isEmpty(resultList) && needToDecrypt(resultList.get(0))) {
                for (Object result : resultList) {
                    //逐一解密
                    aesDecrypt.decrypt(result);
                }
            }
            //基于selectOne
        }else {
            if (needToDecrypt(resultObject)) {
                aesDecrypt.decrypt(resultObject);
            }
        }
        return resultObject;
    }

    /**
     * 对单个结果集判空的一个方法
     * @param object
     * @return
     */
    private boolean needToDecrypt(Object object) {
        Class<?> objectClass = object.getClass();
        SensitiveData sensitiveData = AnnotationUtils.findAnnotation(objectClass, SensitiveData.class);
        return Objects.nonNull(sensitiveData);
    }

    /**
     * 将此过滤器加入到过滤器链当中
     * @param target
     * @return
     */
    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target, this);
    }

    @Override
    public void setProperties(Properties properties) {

    }
}

至此已经完成了所有的配置工作。

3、 注解实体类中需要加解密的字段

@ApiModel(value="")
@Data
@SensitiveData
@TableName("archive_archive")
public class Archive implements Serializable {

private static final long serialVersionUID = 1L;

    @SensitiveFiled
    @TableId(type = IdType.ASSIGN_ID)
    private String archiveId;

    private String archiveName;

    private String archiveVersion;

    private String archiveNum;

    @JsonFormat(pattern = "yyyy-MM-dd", timezone = "GMT+8", locale = "zh")
    private Date enterTime;

    private String enterPerson;

    @SensitiveFiled
    private String moduleId;

    @SensitiveFiled
    private String orgId;


}

一篇拙作,还希望能够帮助到有需要的家人们

叫我杨哥5240
关注
  • 1
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
mybatis基于注解和拦截器实现敏感信息加密和解密
qq_32424581的博客
01-17 294
定义注解敏感信息类(如实体类POJO\PO)的注解。
mybatis-encrypt-plugin:mybatis数据脱敏和字段加解密插件
05-14
敏感数据加解密以及数据脱敏mybatis插件 介绍 本工具是基于mybatis的插件机制编写的一套敏感数据加解密以及数据脱敏工具。 在使用时通过注解指定一个字段是需要加密字段,该插件会在存储时自动加密存储。 而查询时会自动解密出明文在程序内部使用。 在使用时也可以通过注解指定一个字段是需要脱敏的字段,该插件会在入库时将字段脱敏存储。 内置了一些常用数据的脱敏处理方式。 设计目标 对应用和使用者透明,业务逻辑无感知,通过配置集成,改动代码量小。 加密算法可扩展。 实现原理 1,拦截mybatis的StatementHandler 对读写请求进行脱敏和字段加密。 2,拦截mybatis的ResultSetHandler,对读请求的响应进行加密字段的解密赋值。 使用方式 0,导入依赖 <!-- mybatis数据脱敏插件 --> <dependency> <g
mybatis+自定义注解实现对数据库敏感字段进行加密
gehanyang的博客
12-08 1358
MyBatis 允许你在已映射语句执行过程中的某一点进行拦截调用。默认情况下,MyBatis 允许使用插件来拦截的方法调用包括://语句执行拦截// 参数获取、设置时进行拦截// 对返回结果进行拦截//sql语句拦截简而言之,即在执行sql的整个周期中,我们可以任意切入到某一点对sql的参数、sql执行结果集、sql语句本身等进行切面处理。
【JAVA技术】mybatis 数据库敏感字段加解密方案
月晓风清
06-07 518
3、mybatis-plus项目, 之前mybatis版本之前用的低版本3.1,为了用上mybatis-plus 3.4的JsqlParserSupport等,把springboot1.5.x 升级到了springboot2.x, 这个过程走了一些弯路,所幸成功了。现在公司项目基本用mybatis实现,但由于项目跨度年份比较久, 技术实现分为2种,早期项目是用mybatis-generator实现, 新项目是用mybatis-plus实现, 这里讲一下分别用不同的方式实现数据库敏感字段加解密。
springboot mybatis 数据库敏感字段加密
pan7329202的博客
02-17 931
springboot mybatis 数据库敏感字段加密
springboot+mybatis+自定义注解实现对数据库中的字段进行加解密
xiaohui151211的博客
09-27 2485
文章不足之处,请多谅解
Mybatis】基于Mybatis插件+注解,实现敏感数据自动加解密
小星星专栏
10-12 3144
*** 该注解定义在类上* 插件通过扫描类对象是否包含这个注解来决定是否继续扫描其中的字段注解* 这个注解要配合EncryptTransaction注解/*** 该注解定义在类上* 插件通过扫描类对象是否包含这个注解来决定是否继续扫描其中的字段注解* 这个注解要配合EncryptTransaction注解/*** 该注解定义在类上* 插件通过扫描类对象是否包含这个注解来决定是否继续扫描其中的字段注解* 这个注解要配合EncryptTransaction注解**/
mybatis逆向工程.zip
09-12
MyBatis中,逆向工程主要应用于数据库层面,通过配置文件定义,可以从数据库中的表结构生成对应的Java源代码。这样,开发者就可以专注于业务逻辑的实现,而无需关心基础的数据访问层代码。 在提供的压缩包...
基于ssm学生信息管理系统.zip
03-27
同时,对敏感数据如密码进行加密存储,确保信息安全。 总结来说,"基于SSM学生信息管理系统"是一个综合运用Java后端技术、数据库管理和前端展示的项目,旨在高效、安全地管理学生信息。其设计和实现涵盖了软件工程...
基于ssm网红酒店预定系统.zip
03-22
8. **数据库设计**:在数据库层面,可能有用户表、酒店信息表、房间信息表、订单表等,每个表都有其特定的字段和关联关系,用于存储和管理各类数据。 9. **安全性考虑**:系统开发时需要考虑安全问题,如用户密码的...
基于ssm+jsp学费管理系统.zip
04-05
8. **安全措施**:系统应实施必要的安全策略,例如使用HTTPS协议加密通信,防止SQL注入,对敏感信息如密码进行加密存储,以及使用权限控制机制限制不同用户访问特定功能。 9. **事务管理**:在学费支付等涉及资金的...
Sptring Boot整合mybatis(连接数据库测试及md5加密)
11-08
SpringBoot简单项目开发,适应初学者,整合mybatis,页面简单测试,数据Md5加密
基于SSM框架的局域网多人在线聊天系统
最新发布
06-16
10. **安全性**:确保用户数据的安全,如密码加密存储,防止SQL注入,以及实施合适的权限控制,限制用户访问敏感信息。 综上所述,基于SSM框架的局域网多人在线聊天系统涉及到多个层面的技术,包括后端架构设计、...
使用Mybatis的TypeHandler处理数据的加解密
qq_39052947的博客
12-02 2785
使用Mybatis的TypeHandler处理数据的加解密
使用SSM 或者 springboot +mybatis时,对数据库的认证信息(用户名,密码)进行加密
ajklaclk的博客
06-19 4668
通常情况下,为了提高安全性,我们需要对数据库的认证信息进行加密操作,然后在启动项目的时候,会自动解密来核对信息是否正确。下面介绍在SSM和springboot项目中分别是怎样实现的。无论是使用SSM还是springboot,首先我们需要一个加密工具,这里我采用的是AES 高级加密算法。 import javax.crypto.Cipher; import javax.crypto.spec.I...
springboot中如何优雅的对接口数据进行加密解密
FighterLiu的专栏
11-08 4707
在系统开发的过程中我们经常需要对外提供相应的API接口,为了保证系统数据的安全性,我们常常需要对传输的数据进行对称的加密。防止数据在传输的过程中被抓包,造成信息的泄露。通常的做法是我们在每个接口方法的前面先对请求的数据进行解密,解密完成后处理相应的业务逻辑,然后在对返回数据进行加密。这样做的坏处是代码太过于冗余,每写一个接口都要处理加密和解密方法。有没有什么办法可以把加密和解密的逻辑提取出来,在接口的方法中我们只关注处理业务逻辑。答案肯定是有的,springboot中的RequestBodyAdvice 和
Mybatis-plus数据库表字段加解密存储
weixin_45906061的博客
08-05 6304
项目开发过程中,经常遇到敏感信息加密存储,如身份证号、手机号等,常规操作为存、取数据时对字段值进行单独加、解密处理,不利于维护且扩展性差,今天我们通过继承mybatis-plus(mybatis同样适用)提供的BaseTypeHandler类来统一解决此类问题。一、导入依赖(基于springboot),加密算法使用hutool包提供的AES,自行导入其他加密包也可。...
MyBatis自定义类型转换器实现加解密
nz360的专栏
12-29 4316
需求场景:当数据库中保存的部分数据需要加密,页面需要正常显示时。这是就需要我们自定义类型转换器,在Mybatis执行SQL得到结果时,通过自定义类型转换器将CHAR或者VARCHAR2进行加解密处理,Java代码如下: /**自定义typeHandler   * 1 插入数据库, 加密  * 2 查询,解密  * @author Administrator   *   */
通过MyBatis拦截器实现增删改查参数的加/解密(已上线项目)
热门推荐
seesun2012的专栏
08-07 3万+
项目背景:由于系统已成型,客户方要求对账号、手机号、身份证号、银行卡号进行加密才可以上线部署,并且只有拿到私钥的人才可以解开,这里只贴了关键性代码,后续贴出加密代码部分。 一、MyBatis拦截执行参数: package com.seesun2012.dao.interceptor; import java.lang.reflect.Field; import java.sql.Prep...
mybatis正则匹配对字段进行正则匹配查找
10-22
可以使用MyBatis的正则表达式函数来对字段进行正则匹配查找。具体步骤如下: 1. 在Mapper.xml文件中,使用SELECT语句查询需要匹配的字段。 2. 在WHERE子句中使用MyBatis的正则表达式函数进行匹配,例如:column REGEXP 'pattern'。 3. 在Java代码中调用Mapper接口中的方法执行查询操作。 需要注意的是,MyBatis的正则表达式函数的语法与MySQL的正则表达式语法相同,可以使用方括号表示字符集合,使用“-”表示字符范围,使用“^”表示取反,使用“*”表示重复零次或多次,使用“+”表示重复一次或多次,使用“?”表示重复零次或一次,使用“.”表示匹配任意单个字符,使用“|”表示或,使用“()”表示分组等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值