mybatis-使用拦截器实现审计功能

最新推荐文章于 2024-07-11 15:55:43 发布
最新推荐文章于 2024-07-11 15:55:43 发布
阅读量2.2k 收藏
点赞数 1
分类专栏: 服务器 文章标签: mybatis
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ssehs/article/details/111825707
版权
本文介绍了如何利用MyBatis拦截器自动赋值业务表中的创建人、创建时间、修改人和修改时间等审计字段,避免在主业务逻辑中手动设置,简化代码。通过使用SpringData的审计注解和自定义拦截器,可以在插入和更新操作时自动填充这些信息,减少编码工作量。
摘要由CSDN通过智能技术生成

前言

后台开发中,一般的业务表都有创建人创建时间修改人修改时间等业务字段,这些业务字段的值没有特别的逻辑,只是对当时的操作人和操作时间的一个记录。如果每个表格的增删改查,都去修改的这些值的话,难免会影响主业务逻辑的阅读。那么有没有一个统计的方法,自动地去赋予这些值,而不用在业务代码上进行干预呢?

JPA也提供了类似的审计功能。

拦截器

思路就是使用mybatis拦截器,每次和数据库通信前,在拦截器中自动赋予这些值。

使用注解标记字段

spring data中定义几个注解,来表明一个字段是需要审计的,它们是:

  • @CreatedDate:创建时间
  • @LastModifiedDate:最后更新时间
  • @CreatedBy:创建人信息
  • @LastModifiedBy:最后更新人信息

拦截器的逻辑

@Slf4j
@Component
@Intercepts({@Signature(type = Executor.class, method = "update", args = {MappedStatement.class, Object.class})})
public class AuditingInterceptor implements Interceptor {
    private final String param1 = "param1";	//参数为map时,有param1这个键,具体原因不知道。

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        MappedStatement mappedStatement = (MappedStatement) invocation.getArgs()[0];
        SqlCommandType sqlCommandType = mappedStatement.getSqlCommandType();

		//找到数据表对应的PO
        Object parameter = invocation.getArgs()[1];
        Object po = null;
        if (parameter instanceof Map) {
            Map map = (Map) parameter;
            if (map.containsKey(param1)) {
                po = map.get(param1);
            }
        } else {
            po = parameter;
        }

        if (po == null) {
            return invocation.proceed();
        }

		//当前时间和操作人
        LocalDateTime currentDate = LocalDateTime.now();
        String currentUser = Optional.ofNullable(ShiroUtils.getSecurityUser()).map(SecurityUserPo::getUserName).orElse(null);

		//遍历PO的字段,查找并修改其中被审计字段的值
        Field[] fields = po.getClass().getDeclaredFields();
        if (SqlCommandType.INSERT == sqlCommandType || SqlCommandType.UPDATE == sqlCommandType) {
            for (Field field : fields) {
                boolean accessible = field.isAccessible();
                field.setAccessible(true);
                if (AnnotationUtils.getAnnotation(field, CreatedBy.class) != null && SqlCommandType.INSERT == sqlCommandType && currentUser != null) {
                    field.set(po, currentUser);
                }
                if (AnnotationUtils.getAnnotation(field, CreatedDate.class) != null && SqlCommandType.INSERT == sqlCommandType) {
                    field.set(po, currentDate);
                }
                if (AnnotationUtils.getAnnotation(field, LastModifiedBy.class) != null && currentUser != null) {
                    field.set(po, currentUser);
                }
                if (AnnotationUtils.getAnnotation(field, LastModifiedDate.class) != null) {
                    field.set(po, currentDate);
                }
                field.setAccessible(accessible);
            }
        }

        return invocation.proceed();
    }

    @Override
    public Object plugin(Object target) {
        if (target instanceof Executor) {
            return Plugin.wrap(target, this);
        } else {
            return target;
        }
    }

}

更多信息请参考mybatis插件

总结

mybatis插件是个好用的功能,用得好的话可以达到意想不到的效果,大大减少编码量。

ssehs
关注
专栏目录
Java代码审计前置知识——MyBatis
m0_61506558的博客
10-23 614
MyBatis 是支持定制化SQL、存储过程以及高级映射的优秀的持久层框架。MyBatis 避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以对配置和原生 Map使用简单的XML或注解,将接口和Java的POJO(Plain Old Java Object,普通的Java对象)映射成数据库中的记录(一)简介1.1 什么是Mybatis1.2 持久化1.3 持久层1.4 为什么需要MyBatis(二)搭建Mybatis程序。
MyBatis数据审计——跟踪数据的变动记录
程序员光剑
07-28 2016
数据审计(Data Audit)是指对信息系统中各种数据的完整性、真实性和准确性进行定期检查、评估、分析并向授权用户反馈,以发现、预防或解决信息系统中的数据问题。通过对数据的存储和流转过程进行审计,可以帮助企业更好地保障数据安全,提高数据质量和效益。在大型互联网公司,对数据库的数据访问及处理过程进行全面监控、控制和记录,不仅能够提供数据安全保障,还能够辅助管理人员追踪数据变化、分析数据趋势,改善业务流程和产品质量。
mybatis拦截器
最新发布
weixin_55639995的博客
07-11 1003
mybatis的四种拦截器第二个是语句拦截器– 用途:拦截SQL语句的执行。
mybatis 审计功能数据自动填充)
weixin_45848110的博客
06-27 2308
1.实现MetaObjectHandler @Component public class MyMetaObjectHandler implements MetaObjectHandler { private final String id = "id"; private final String createdBy = "createdBy"; private final String createdTime = "createdTime"; private final
Mybatis Plus轻松实现数据库变更全局审计日志
编程小蜜蜂
01-30 1883
在日常的业务开发中,监控与记录数据库的变化是非常必要的操作,特别是当出现数据异常时,我们可以通过审计日志追溯数据变化的具体情况。Mybatis Plus作为一款优秀的持久层框架,其强大的功能可以轻松帮助我们实现全局审计日志。
跟easy-cloud一起写mybatis审计组件
我的漫漫编码路
05-22 1887
mybatis审计模块使用教程项目说明​ 原因:开发人员手动设置实体的创建者、更新者、创建时间、更新时间产生了大量的重复代码​ 目的:减少重复代码、减少开发者设置公共字段的时间,从而优化代码结构、提高开发效率​ 环境:mybatis、springboot、jdk1.8极其以上版本等等、数据数据类需要放在dao或者repository或者 mapper包或者子包下使用须知引入组件使用该组件需要导入e...
Mybatis 拦截器自动增加审计信息
qq_22783587的博客
10-26 665
参考 https://www.cnblogs.com/qingshan-tang/p/13299701.html 1. 继承 BaseAudit 基类 2. 编写 BaseAuditIntercepter 3. 测试
Java代码审计&Mybatis注入&文件上传&下载&读取
qq_46081990的博客
12-22 2055
本文以 Ruoyi、Inxedu、Oasys、Tmall 等项目案例介绍了Mybatis注入、文件上传&下载&读取的代码审计,介绍了审计思路:1、寻找并测试文件上传功能点,抓包得到对应路由等信息,从而定位到功能实现的具体代码(代码溯源),然后审计其是否存在漏洞;2、通过搜索 Java 文件操作常用函数,定位到功能点对应代码段,审计其是否存在漏洞(常规审计思路)。此外,详细介绍了审计流程,如何跟进等等。
Mybatis-Flex快速入门教程
猿小白的博客
04-28 5828
与此同时,Mybatis-Flex 内置的 QueryWrapper^灵活 可以轻易的帮助我们实现 多表查询、链接查询、子查询 等等常见的 SQL 场景。这带来了几个好处:1、极高的性能;我们可以轻松的使用 Mybaits-Flex 链接任何数据库,其内置的 QueryWrapper^亮点 帮助我们极大的减少了 SQL 编写的工作的同时,减少出错的可能性。:支持任意关系型数据库,还可以通过方言持续扩展,同时支持 多(复合)主键、逻辑删除、乐观锁配置、数据脱敏、数据审计数据填充 等等功能
mybatis-plus团队新作:mybatis-mate 轻松解决数据权限
m0_64821673的博客
01-14 925
简介 mybatis-mate 为 mp 企业级模块,支持分库分表,数据审计数据敏感词过滤(AC算法),字段加密,字典回写(数据绑定),数据权限,表结构自动生成 SQL 维护等,旨在更敏捷优雅处理数据。 1、主要功能 字典绑定 字段加密 数据脱敏 表结构动态维护 数据审计记录 数据范围(数据权限) 数据库分库分表、动态数据源、读写分离、数据库健康检查自动切换。 2、使用 2.1 依赖导入 Spring Boot 引入自动依赖注解包 <dependency> &lt
sqlserver-demo:Spring Boot + Mybatis-Plus + SQLServer
03-04
3. **Mybatis-Plus的插件机制**:如自定义拦截器,可以全局修改SQL行为。 4. **分页查询**:Mybatis-Plus内置了分页插件,可以便捷地实现分页功能。 5. **数据库设计与优化**:理解SQLServer的索引、存储过程、...
Mybatis拦截器记录数据更新历史记录到MongoDB
08-15
Mybatis拦截器记录数据更新历史记录到MongoDB的源码,另外需要配置拦截器mybatis配置文件中。
Spring Boot 3.1.0,mybatis-plus 3.5.3.1安装包
04-08
- 了解并合理利用MyBatis-Plus的拦截器和全局配置,以优化性能和防止潜在问题。 - 注意事务管理,Spring Boot会自动配置事务管理器,但需要在Service层正确地使用`@Transactional`注解。 通过Spring Boot和...
MyBatis拦截器:给参数对象属性赋值的实例
08-30
MyBatis拦截器MyBatis框架中的一种插件机制,允许用户自定义代码来扩展MyBatis功能。在这个特定的实例中,我们讨论的是一个用于给参数对象属性赋值的拦截器。这个拦截器的主要目标是在执行增删改操作时,自动为...
Mybatis在Java代码审计中的审计方法及修复方法
liguangyao213的博客
02-27 620
Java代码审计系列课程【共58课时】_Web安全课程-51CTO学堂Java代码审计系列课程,Web安全,学会改课程将更深刻的了解常见漏洞原理,审计发现代码中漏洞,开发人员不再编写“漏洞”,51CTO学堂为您提供全面的视频课程和专项解答,it人充电,就上51CTO学堂https://edu.51cto.com/course/27875.html 前置知识:了解Mybatis框架映射关系 mapper定位java代码 id定位方法 List<User> findByUserName
要注意了!这样使用MyBatis框架,被攻击了!
emprere的博客
08-18 201
作者:ofei@Freebuf来源:https://www.freebuf.com/vuls/240578.html前言SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预...
Mybatis拦截器插入和修改时自动填充注入审计字段(无侵入性)
YMY_666的博客
05-11 1552
@Data public class BaseEntity { @JsonSerialize(using = ToStringSerializer.class) private Long id; private Long createBy; @JsonFormat( pattern = "yyyy年MM月dd日 HH时mm分ss秒") private LocalDateTime createTime; private Long updateBy;
java mybatis狂神说sql_Mybatis 框架下 SQL 注入攻击的 3 种方式,真是防不胜防!
weixin_39653078的博客
11-20 91
前言SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预编译与各种ORM框架的使用,注入问题也越来越少。新手代码审计者往往对Java Web应用的多个框架组合而心生畏惧,不知如何下手,希望通过Mybatis框架使用不当导致的SQL注入问题为例,能够抛砖引玉给新手一些思路。一、Mybatis的SQL注入Mybatis的SQL语句可以基于注解的方式写在类方法上面,更多的是以xml的方式写...
mybatis自动注入审计,读jeecgboot
08-18 256
核心使用mybatis 的interceptor 实现。优点是实现更优雅,零侵入性。比MetaObjectHandler实现更优雅,无需配置注解TableFiled。
mybatis-plus拦截器
07-28
Mybatis-Plus中的拦截器用于在执行SQL语句前后进行一些额外的操作,比如分页、加密等。在Mybatis-Plus中,可以通过MybatisPlusInterceptor来管理和配置拦截器链。通过addInnerInterceptor方法,可以向MybatisPlusInterceptor中添加自定义的拦截器。\[1\]\[2\]\[3\]这些拦截器可以在配置文件中进行添加,并且可以按照添加的顺序执行。在配置文件中,可以使用@Configuration注解来标识配置类,使用@Bean注解来创建MybatisPlusInterceptor实例,并通过addInnerInterceptor方法添加自定义拦截器。同时,可以使用MybatisPlusInterceptor的addInnerInterceptor方法添加内置的拦截器,比如分页拦截器。\[2\]\[3\]这样,就可以实现Mybatis-Plus的拦截器进行配置和使用。 #### 引用[.reference_title] - *1* [关于MyBatisPlus中分页查询为什么要使用拦截器的解释](https://blog.csdn.net/m0_73700925/article/details/131022879)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [MyBatis-plus拦截器](https://blog.csdn.net/winerpro/article/details/126053599)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [Mybatis Plus拦截器](https://blog.csdn.net/weixin_42502300/article/details/125607529)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值