springboot 整合 shardingsphere 实现数据加密

最新推荐文章于 2024-09-28 06:36:04 发布
最新推荐文章于 2024-09-28 06:36:04 发布
阅读量4.8k 收藏 3
点赞数 4
分类专栏: spring springboot sql 文章标签: java 分布式 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012954380/article/details/125066221
版权
springboot 同时被 3 个专栏收录
11 篇文章 0 订阅
订阅专栏
spring
6 篇文章 0 订阅
订阅专栏
sql
6 篇文章 1 订阅
订阅专栏

大家好呀,我是小羊,如果大家喜欢我的文章的话,就关注我一起学习进步吧~

最近 公司在做安全这块,准备把数据库中的敏感字段进行加密处理,防止数据被滥用。大家讨论了一下,最终确定使用shadingsphere 进行加密解密。这里和大家分享一下。

Apache ShardingSphere(Incubator) 是一套开源的分布式数据库中间件解决方案组成的生态圈。

说到 ShardingSphere 的起源,我们不得不提 Sharding-JDBC 框架,该框架是一款起源于当当网内部的应用框架,并于 2017 年初正式开源。从 Sharding-JDBC 到 Apache 顶级项目,目前社区也是非常活跃。ShardingSphere 的发展经历了不同的演进阶段。纵观整个 ShardingSphere 的发展历史,我们可以得到时间线与阶段性里程碑的演进过程图:

官方的代码贡献趋势图,可以看到是越来越活跃。

github 地址,目前16k的 star https://github.com/apache/shardingsphere

 

shardingsphere 包含很多组件,你可以用它来做分库分表、数据分片、分布式事务和数据库治理功能。

官方地址:https://shardingsphere.apache.org/document/5.0.0/cn/overview/

我们这次使用的是jdbc模块,shardingsphere 为了减少代码的侵入,使用了代理的方式,可以把它看成一个中间代理层,它的作用就是在我们修改数据时,它在数据库层把明文转成密文存储,在我们查询数据时,它读取密文将其解密成明文返回,这样开发者就不需要关心具体的细节了。

「主要优点有:」

  1. 较少的代码入侵

  2. 配置简单

  3. 性能损耗较小

  4. 轻量级

「主要缺点有:」

  1. 需要替换原来的数据源

  2. 不支持sql函数

1.maven 依赖

<dependencies>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-web</artifactId>
        </dependency>
        <dependency>
            <groupId>org.mybatis.spring.boot</groupId>
            <artifactId>mybatis-spring-boot-starter</artifactId>
            <version>2.2.2</version>
        </dependency>

        <dependency>
            <groupId>mysql</groupId>
            <artifactId>mysql-connector-java</artifactId>
            <scope>runtime</scope>
        </dependency>
        <dependency>
            <groupId>org.projectlombok</groupId>
            <artifactId>lombok</artifactId>
            <optional>true</optional>
        </dependency>
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-test</artifactId>
            <scope>test</scope>
        </dependency>

        <!-- druid -->
        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>druid-spring-boot-starter</artifactId>
            <version>1.2.6</version>
        </dependency>

        <dependency>
            <groupId>com.alibaba</groupId>
            <artifactId>fastjson</artifactId>
            <version>1.2.44</version>
        </dependency>


        <dependency>
            <groupId>org.apache.shardingsphere</groupId>
            <artifactId>shardingsphere-jdbc-core-spring-boot-starter</artifactId>
            <version>5.1.1-SNAPSHOT</version>
        </dependency>

    </dependencies>

我们目前用的 shardingsphere-jdbc-core-spring-boot-starter 是 5.1.1 版本的。

2.库表设计

/*
SQLyog Ultimate v12.09 (64 bit)
MySQL - 5.7.31-log : Database - test
*********************************************************************
*/


/*!40101 SET NAMES utf8 */;

/*!40101 SET SQL_MODE=''*/;

/*!40014 SET @OLD_UNIQUE_CHECKS=@@UNIQUE_CHECKS, UNIQUE_CHECKS=0 */;
/*!40014 SET @OLD_FOREIGN_KEY_CHECKS=@@FOREIGN_KEY_CHECKS, FOREIGN_KEY_CHECKS=0 */;
/*!40101 SET @OLD_SQL_MODE=@@SQL_MODE, SQL_MODE='NO_AUTO_VALUE_ON_ZERO' */;
/*!40111 SET @OLD_SQL_NOTES=@@SQL_NOTES, SQL_NOTES=0 */;
CREATE DATABASE /*!32312 IF NOT EXISTS*/`test` /*!40100 DEFAULT CHARACTER SET utf8mb4 */;

USE `test`;

/*Table structure for table `test_encrypt` */

DROP TABLE IF EXISTS `test_encrypt`;

CREATE TABLE `test_encrypt` (
  `id` int(11) unsigned NOT NULL AUTO_INCREMENT,
  `name` varchar(255) DEFAULT NULL,
  `name_encrypt` varchar(255) DEFAULT NULL,
  PRIMARY KEY (`id`)
) ENGINE=InnoDB AUTO_INCREMENT=5 DEFAULT CHARSET=utf8mb4;

/*Data for the table `test_encrypt` */

insert  into `test_encrypt`(`id`,`name`,`name_encrypt`) values (1,'test',NULL),(2,'test1',NULL),(3,'test1',NULL),(4,'test1','Tqdxz02pk09zEDUpxbbSOA==');

/*!40101 SET SQL_MODE=@OLD_SQL_MODE */;
/*!40014 SET FOREIGN_KEY_CHECKS=@OLD_FOREIGN_KEY_CHECKS */;
/*!40014 SET UNIQUE_CHECKS=@OLD_UNIQUE_CHECKS */;
/*!40111 SET SQL_NOTES=@OLD_SQL_NOTES */;

这里创建了一个很简单的一张表: 一个 id, 一个明文字段 name,一个密文字段 name_encrypt 用于存储加密后的字段。

3.项目配置

spring.datasource.druid.url=jdbc:mysql://127.0.0.1:3306/test?useUnicode=true&characterEncoding=utf-8&useSSL=false
spring.datasource.druid.username=root
spring.datasource.druid.password=123456
spring.datasource.druid.max-active=20
spring.datasource.druid.initial-size=5
spring.datasource.druid.min-idle=5
spring.datasource.druid.min-evictable-idle-time-millis=300000
spring.datasource.druid.max-wait=60000
spring.datasource.druid.validation-query=select 1
spring.datasource.druid.test-on-borrow=false
spring.datasource.druid.test-on-return=false
spring.datasource.druid.test-while-idle=true
spring.datasource.druid.time-between-eviction-runs-millis=60000

mybatis.type-aliases-package=com.yangzheng.shardingsphere.entity
mybatis.mapper-locations = classpath:mapper/**/*.xml



#关闭原数据源配置,改用shardingsphere.datasource
spring.autoconfigure.exclude = com.alibaba.druid.spring.boot.autoconfigure.DruidDataSourceAutoConfigure

#数据源配置
spring.shardingsphere.datasource.names = ds
spring.shardingsphere.datasource.ds.type = com.alibaba.druid.pool.DruidDataSource
spring.shardingsphere.datasource.ds.driver-class-name = com.mysql.cj.jdbc.Driver
spring.shardingsphere.datasource.ds.url = jdbc:mysql://127.0.0.1:3306/test?useUnicode=true&characterEncoding=utf-8&useSSL=false
spring.shardingsphere.datasource.ds.username = root
spring.shardingsphere.datasource.ds.password = 123456
spring.shardingsphere.datasource.ds.max-active = 100
# 采用AES对称加密策略
spring.shardingsphere.rules.encrypt.encryptors.aesencrypt.type = AES
spring.shardingsphere.rules.encrypt.encryptors.aesencrypt.props.aes-key-value = 4ZRAr+
# 是否使用加密列进行查询。在有原文列的情况下,可以使用原文列进行查询
spring.shardingsphere.rules.encrypt.queryWithCipherColumn = true
#plainColumn为明文列,cipherColumn密文列
spring.shardingsphere.rules.encrypt.tables.test_encrypt.columns.name.cipherColumn = name_encrypt
spring.shardingsphere.rules.encrypt.tables.test_encrypt.columns.name.encryptorName = aesencrypt
spring.shardingsphere.rules.encrypt.tables.test_encrypt.columns.name.plainColumn = name
spring.shardingsphere.rules.encrypt.tables.test_encrypt.queryWithCipherColumn = true

需要关注的几点

  1. 要关闭原数据源 druid, 使用 shardingsphere数据源。

  2. 明文列密文列的表名字段名不用写错了

  3. 我们目前使用的是AES算法,大家也可以换成其他的,不过后续如果要刷历史数据时,加密算法和密钥一定要保持一致,否则会解析不了

4.测试

「查询接口测试」

如果发现 数据源换成了 shardingsphere 就可以了。shardingsphere 会读取密文列 name_encrypt的加密数据,并根据配置的密钥和算法,转换成明文返回。

「插入接口测试」

shardingsphere 会根据明文列的数据,并根据配置的算法和密钥,加密成密文并插入数据表密文列。可以看到数据插入成功之后,加密字段和明文字段都是有数据的。这个是一种双写策略。

因为我们生产环境有历史数据并没有加密,并且我们刚上线时也不确定有没有问题,所以采用了这种双写策略。

具体配置如下,cipherColumn表示加密字段,plainColumn 是明文字段。

spring.shardingsphere.rules.encrypt.tables.test_encrypt.columns.name.cipherColumn = name_encrypt
spring.shardingsphere.rules.encrypt.tables.test_encrypt.columns.name.plainColumn = name

等到运行一段时间没有问题之后,我们就把明文字段删除了,然后把密文字段名 name_encrypt 改成了明文字段名 name,并且改了shardingsphere 的配置,关闭双写。

spring.shardingsphere.rules.encrypt.tables.test_encrypt.columns.name.cipherColumn = name
#spring.shardingsphere.rules.encrypt.tables.test_encrypt.columns.name.plainColumn = name

5.加密工具类

并且,我们写了一个工具类来处理历史数据,其实原理也比较简单,就是调用了它自身的aes加密方法,把mysql 中所有缺失的密文数据补上。具体工具类如下:

package com.yangzheng.shardingsphere.utils;

import org.apache.commons.codec.binary.Base64;
import org.apache.commons.codec.binary.StringUtils;
import org.apache.commons.codec.digest.DigestUtils;

import javax.crypto.BadPaddingException;
import javax.crypto.Cipher;
import javax.crypto.IllegalBlockSizeException;
import javax.crypto.NoSuchPaddingException;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.security.GeneralSecurityException;
import java.security.InvalidKeyException;
import java.security.NoSuchAlgorithmException;
import java.util.Arrays;

/**
 * AES 加解密
 *
 * @author xiaohezi
 * @since 2021-09-23 15:49
 */
public class AesUtils {

    private static byte[] createSecretKey(String aesKey) {
        return Arrays.copyOf(DigestUtils.sha1(aesKey), 16);
    }
    private static byte[] createMysqlSecretKey(String aesKey) {
        return Arrays.copyOf(aesKey.getBytes(StandardCharsets.UTF_8), 16);
    }

    /**
     * AES 加密方法
     *
     * @param plaintext 加密文本
     * @param aesKey    加密 key
     * @return
     * @throws NoSuchAlgorithmException
     * @throws InvalidKeyException
     * @throws BadPaddingException
     * @throws NoSuchPaddingException
     * @throws IllegalBlockSizeException
     */
    public static Object encrypt(String plaintext, String aesKey) throws NoSuchAlgorithmException, InvalidKeyException, BadPaddingException, NoSuchPaddingException, IllegalBlockSizeException {
        try {
            if (null == plaintext) {
                return null;
            } else {
                byte[] result = getCipher(1, aesKey).doFinal(StringUtils.getBytesUtf8(plaintext));
                return Base64.encodeBase64String(result);
            }
        } catch (GeneralSecurityException var3) {
            throw var3;
        }
    }

    /**
     * AES 加密方法
     *
     * @param plaintext 加密文本
     * @param aesKey    加密 key
     * @return
     * @throws NoSuchAlgorithmException
     * @throws InvalidKeyException
     * @throws BadPaddingException
     * @throws NoSuchPaddingException
     * @throws IllegalBlockSizeException
     */
    public static Object mySqlEncrypt(String plaintext, String aesKey) throws NoSuchAlgorithmException, InvalidKeyException, BadPaddingException, NoSuchPaddingException, IllegalBlockSizeException {
        try {
            if (null == plaintext) {
                return null;
            } else {
                byte[] result = getMysqlCipher(1, aesKey).doFinal(StringUtils.getBytesUtf8(plaintext));
                return Base64.encodeBase64String(result);
            }
        } catch (GeneralSecurityException var3) {
            throw var3;
        }
    }

    /**
     * AES 解密方法
     *
     * @param ciphertext 密码
     * @param aesKey     加密 Key
     * @return
     * @throws NoSuchAlgorithmException
     * @throws InvalidKeyException
     * @throws BadPaddingException
     * @throws NoSuchPaddingException
     * @throws IllegalBlockSizeException
     */

    public static Object decrypt(String ciphertext, String aesKey) throws NoSuchAlgorithmException, InvalidKeyException, BadPaddingException, NoSuchPaddingException, IllegalBlockSizeException {
        try {
            if (null == ciphertext) {
                return null;
            } else {
                byte[] result = getCipher(2, aesKey).doFinal(Base64.decodeBase64(ciphertext));
                return new String(result, StandardCharsets.UTF_8);
            }
        } catch (GeneralSecurityException var3) {
            throw var3;
        }
    }

    private static Cipher getCipher(int decryptMode, String aesKey) throws NoSuchPaddingException, NoSuchAlgorithmException, InvalidKeyException {
        Cipher result = Cipher.getInstance(getType());
        result.init(decryptMode, new SecretKeySpec(createSecretKey(aesKey), getType()));
        return result;
    }
    private static Cipher getMysqlCipher(int decryptMode, String aesKey) throws NoSuchPaddingException, NoSuchAlgorithmException, InvalidKeyException {
        Cipher result = Cipher.getInstance(getType());
        result.init(decryptMode, new SecretKeySpec(createMysqlSecretKey(aesKey), getType()));
        return result;
    }

    public static String getType() {
        return "AES";
    }
}

一些问题

  1. 这种做法是不支持 函数的,如果有函数的sql 会失效。

  2. 如果自己配置了数据源,需要关掉。

源码

https://github.com/yangzheng0/springboot-shardingsphere-encrypt

好啦,今天的分享就到这里啦。

喜欢这篇文章就给点个赞吧。

Spring Boot集成ShardingSphere实现数据加密数据脱敏 | Spring Cloud 48
gmHappy
05-11 1万+
利用ShardingSphere实现: - 数据加密 - 数据脱敏
基于springbootShardingSphere5.2.1的分库分表的解决方案之数据加密之RSA的解决方案(九)
笨鸟不会飞
11-22 970
基于springbootShardingSphere5.2.1的分库分表的解决方案之数据加密之AES的解决方案(八)
SpringBoot整合分库分表利器ShardingSphere
星仔的博客
10-25 895
前言 ShardingSphere定位为关系型数据库中间件,ShardingSphere包含三个核心的模块Sharding-JDBC、Sharding-Proxy和Sharding-Sidecar。简单介绍一下Sharding-JDBC这个模块:Sharding-JDBC可以理解为可以实现分库分表功能的增强型JDBC,并且可以兼容任何基于Java的ORM框架,比如我们平时用到的mybatis,J...
SpringBoot+ShardingSphere分库分表
ICEHAND_1214的博客
09-19 1614
分库分表是为了解决由于数据量过大而导致数据库性能降低的问题,将原来独立的数据库拆分成若干数据库组成 ,将数据大表拆分成若干数据表组成,使得单一数据库、单一数据表的数据量变小,从而达到提升数据库性能的目的。● 水平分表将一个表的数据按一定规则拆分到多个表结构相同的表中。● 垂直分表将一个表按照字段拆分成多个表,每个表存储其中一部分字段。● 水平分库同一个表的数据按一定规则拆到不同的数据库中,每个库可以放在不同的服务器上。● 垂直分库按照业务将表分布到不同的数据库上,达到专库专用。
【Spring】SpringBoot整合ShardingSphere并实现多线程分批插入10000条数据(进行分库分表操作)。
qq_61024956的博客
04-03 3036
ShardingSphere是一套开源的分布式数据库中间件解决方案组成的生态圈,它由Sharding-JDBC、Sharding-Proxy和Sharding-Sidecar(计划中)这3款相互独立的产品组成。他们均提供标准化的数据分片、分布式事务和数据库治理功能,可适用于如Java同构、异构语言、容器、云原生等各种多样化的应用场景。ShardingSphere定位为关系型数据库中间件,旨在充分合理地在分布式的场景下利用关系型数据库的计算和存储能力,而并非实现一个全新的关系型数据库
记录springboot中配置druid数据源sql server的坑 附上配置图
一直梦见飞的路人涛
11-09 9777
spring: datasource: url: jdbc:sqlserver://192.168.0.189:1433;DatabaseName=test001 driver-class-name: com.microsoft.sqlserver.jdbc.SQLServerDriver username: ljt password: ljt123! ...
ShardingSphere专题】SpringBoot整合ShardingSphere(一、数据分片入门及实验)
qq_32681589的博客
11-28 4253
最近线上的项目部分数据表增量速度比较快,可以预见的是,个把月后数据量会急剧增长至千万级,所以只是简单的使用索引等已经无法满足业务需求了,分库分表势在必行!于是着手研究如何整合ShardingSphere到现有项目中,顺带记录一下实验过程吧。特别声明:这边是实验配置阶段,还没有完成整合到项目、以及测试联调阶段,所以不敢保证实验过程是否正确。而且,在我的业务中,还涉及到【普通单表】与【分片表】之间的联表查询,所以需要后期比较严谨的测试才能知道最终效果。不过我自己对比了站内其他大佬的教程,大体是没问题的。
Spring Boot集成ShardingSphere详解
德乐懿的博客
07-17 4248
Apache ShardingSphere是一套开源的分布式数据库中间件解决方案,由Sharding-JDBC、Sharding-Proxy和Sharding-Sidecar(规划中)三款相互独立但可混合部署的产品组成。ShardingSphere旨在充分利用关系型数据库的计算和存储能力,在分布式场景下提供标准化的数据分片、分布式事务和数据库治理功能。:作为JDBC驱动的增强版,在客户端完成数据库分库分表相关的路由和操作,以jar包形式提供服务,无需额外部署和依赖。
springboot整合ShardingSphere5.2.1(最新版)
09-14
SpringBoot整合ShardingSphere 5.2.1的教程旨在帮助开发者实现数据库的分表功能,而无需进行分库操作。ShardingSphere是一款开源的分布式数据管理中间件,它提供了数据库分布式事务、分片、读写分离以及数据加密等...
SpringBoot开发——整合ShardingSphere实现数据库字段加解密
最新发布
bjzhang75的博客
09-28 374
SpringBoot整合ShardingSphere实现数据库字段加解密
基于springbootShardingSphere5.2.1的分库分表的解决方案之数据加密之新上线业务的解决方案(六)
笨鸟不会飞
11-09 618
基于springbootShardingSphere5.2.1的分库分表的解决方案之数据加密之新上线业务的解决方案(六)
Spring Boot中整合Sharding-JDBC
05-03
NULL 博文链接:https://huangyongxing310.iteye.com/blog/2434356
spring-boot 整合 shardingsphere-jdbc、mybatis-plus 数据分片(文末有彩蛋)
qq_37220802的博客
04-02 2444
Apache ShardingSphere 是一款分布式数据库生态系统, 可以将任意数据库转换为分布式数据库,并通过数据分片、弹性伸缩、加密等能力对原有数据库进行增强。Apache ShardingSphere 设计哲学为 Database Plus,旨在构建异构数据库上层的标准和生态。它关注如何充分合理地利用数据库的计算和存储能力,而并非实现一个全新的数据库。它站在数据库的上层视角,关注它们之间的协作多于数据库自身。
SpringBoot整合ShardingSphere实现分表分库&读写分离&读写分离+数据库分表
weixin_39555954的博客
03-12 5754
​Apache ShardingSphere 是一套开源的分布式数据库解决方案组成的生态圈,旨在充分合理地在分布式的场景下利用关系型数据库的计算和存储能力。具体内容请看官方ShardingSphere。本文主要记录一下Springboot整合ShardingSphere,并实现精确分片算法、范围分片算法、复合分片算法、读写分离、读写分离+分表的配置记录。 ​
SpringBoot整合ShardingSphere
qq_44002865的博客
03-26 2816
文章目录SpringBoot整合ShardingSphere1、Sharding-JDBC(配置文件可参考官网)分表分库(包括分表)2、Sharding-Proxy SpringBoot整合ShardingSphere 官网:http://shardingsphere.apache.org/ 1、Sharding-JDBC(配置文件可参考官网) 分表 第一步:创建数据库和表 数据库:test 数据表:user_0, user_1 第二步:创建SpringBoot项目并导入依赖(pom.xml)
springboot使用shardingsphere
weixin_38977651的博客
05-06 1579
shardingjdbc是基于aop原理,在应用程序对本地执行的sql进行拦截,解析,改写,路由处理。使用方便,只需要在配置文件编写实现,支持java语言,性能较高。在 mybatis中对逻辑表名‘like_record和like_log’进行操作就可以了。
springboot集成shardingsphere
kwq_zjr
07-27 6523
第一步.引入依赖 <dependency> <groupId>org.apache.shardingsphere</groupId> <artifactId>sharding-jdbc-spring-boot-starter</artifactId> <version>4.0.1</version> &...
Springboot整合shardingsphere框架实现mysql分表(解决数据表存储压力)
qq_45752401的博客
12-23 7923
shardingsphere官网:https://shardingsphere.apache.org/ 场景:如果表的数据过大,我们可能需要把一张表拆分成多张表,这里就是通过ShardingSphere实现分表功能,但不分库。 shardingsphere快速使用shardingsphere进行分表1,数据库设计2,springboot项目整合shardingsphere3,请求测试4,获取刚才插入的所有数据 快速使用shardingsphere进行分表 1,数据库设计 我这里建了一个名为myqxin的
Spring Boot和ShardingSphere
heihei_100的博客
03-17 1200
Spring Boot和ShardingSphere
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值