使用mybatis的拦截器对实体类上的敏感字段进行加密解密

最新推荐文章于 2024-06-07 12:24:24 发布
最新推荐文章于 2024-06-07 12:24:24 发布
阅读量5k 收藏 22
点赞数 1
分类专栏: 工作
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_41605123/article/details/97028210
版权

 

目的:

对信息进行加密保存到数据库中,在读取数据库时能够看到解密后的数据。

关键点:

  1. 敏感实体类:比如要对User对象的密码字段进行加密解密,这个User类就是敏感实体类
  2. 敏感实体类注解:标明目标对象,为了过滤掉其他无关对象
  3. 敏感实体类的加密解密的字段:标明目标字段,在这个字段对其进行加密解密
  4. 拦截器上的参数method = "update" :代表着update和insert还有delete操作

步骤:

  1. 使用mybatis对数据进行增删改查
  2. 自定义两种注解:
    第一种是作用于实体类上的注解,用于拦截器扫描,以找出目标实体类。
    第二种是作用于实体类中的字段上的,用于拦截器扫描,以找出需要目标实体类中的目标字段进行加密解密。 
    @Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
public @interface DecryptField {
    String value() default "";
}

@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
public @interface EncryptField {
    String value() default "";
}

@Target({ElementType.TYPE})//该参数代表是作用在类、方法上的
@Retention(RetentionPolicy.RUNTIME)
public @interface SensitiveBean {
    String value() default "";
}

     

  3. 添加mybatis的拦截器(org.apache.ibatis.plugin.Interceptor),并在xml中注册该拦截器,实现Interceptor这个接口,并添加注解,拦截增删改查 
    <plugins>
    <!-- 加密解密的拦截器 -->
	<plugin interceptor="com.wisdom.scm.common.persistence.interceptor.AESInterceptor" />
</plugins>
      
    @Intercepts({
    @Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class}),
    @Signature(type = Executor.class, method = "update", args = {MappedStatement.class, Object.class})
})

    这个注解代表着拦截执行器Executor的所有查询操作和所有更新操作(insert,update,delete)

  4. 在这个接口中需要做许多业务的操作
    首先需要明白拦截器拦截的参数 invocation
    这个参数可以获取到这条sql语句的所有信息,包括传入参数和sql语句,甚至语句的返回值。
    所以,接下来的业务步骤就是判断该sql对象是否存在返回值,如果有,返回值的对象是否是敏感实体类。
    以及该sql是不是更新操作,如果是,对该对象上的敏感字段进行加密


    ①首先需要对该sql语句进行判断,是否查询操作,这里是获取它的返回值,如果不存在就代表着是非查询操作,存在就对这个对象获取敏感实体类注解,如果不存在敏感实体类注解,就直接pass不操作。
    这么做的目的是为了节省性能,如果是对非敏感实体类进行查询操作,这样就能直接在开头就过滤掉了

    ②到了这一步就是非查询操作了,只需要判断传入参数是否存在敏感实体类的注解,如果是,则代表该传入参数需要进行加密

    ③调用invocation.proceed()方法进行执行sql语句,该方法可以直接操作sql,并获取返回值

    ④判断返回值是否为空,为空就直接返回

    ⑤到了这一步,就代表着对查询操作的返回值进行解密了,以上的操作都已经决定了这里是敏感实体类的结果集。所以就直接对逐条数据进行判断,使用for循环判断对象上的每一个对象是否带有解密的注解,如果有,就对这个字段进行解密。

     
//以下是拦截器需要实现的方法
@Override
public Object intercept(Invocation invocation) throws Throwable {
    MappedStatement statement = (MappedStatement) invocation.getArgs()[0];
    // 获取该sql语句的类型,例如update,insert
    String methodName = invocation.getMethod().getName();
    // 获取该sql语句放入的参数
    Object parameter = invocation.getArgs()[1];
    // 如果是查询操作,并且返回值不是敏感实体类对象,并且传入参数不为空,就直接调用执行方法,返回这个方法的返回值
    // 方法中可以判断这个返回值是否是多条数据,如果有数据,就代表着是select 操作,没有就代表是update insert delete,
    // 因为mybatis的dao层不能为非select操作设置返回值
    if (statement.getResultMaps().size() > 0) {
        // 获取到这个返回值的类属性
        Class<?> type = statement.getResultMaps().get(0).getType();
        // 返回值没有带敏感实体类对象注解
        if (!type.isAnnotationPresent(SensitiveBean.class)) {
            // 直接执行语句并返回
            return invocation.proceed();
        }
    }
    // 如果该参数为空,就不进行判断敏感实体类,直接执行sql
    // 并且
    // 如果判断该参数带有敏感实体类的注解,才对这个实体类进行扫描查看是否有加密解密的注解
    if (parameter != null && sensitiveBean(parameter)) {
        // 如果有就扫描是否是更新操作和是否有加密注解
        // 如果是更新或者插入时,就对数据进行加密后保存在数据库
        if (StringUtils.equalsIgnoreCase("update", methodName) || 
            StringUtils.equalsIgnoreCase("insert", methodName)) {
        // 对参数内含注解的字段进行加密
        encryptField(parameter);
        }
     }

     // 继续执行sql语句,调用当前拦截的执行方法
     Object returnValue = invocation.proceed();
     try {
         // 当返回值类型为数组集合时,就判断是否需要进行数据解密
         if (returnValue instanceof ArrayList<?>) {
            List<?> list = (List<?>) returnValue;
            // 判断结果集的数据是否为空
            if (list == null || list.size() < 1) {
                return returnValue;
            }
            Object object = list.get(0);
            // 为空值就返回数据
            if (object == null) {
                return returnValue;
            }
            // 判断第一个对象是否有解密注解
            Field[] fields = object.getClass().getDeclaredFields();
            // 定义一个临时变量
            int len;
            if (fields != null && 0 < (len = fields.length)) {
                for (Object o : list) {
                    //调用解密,在这个方法中针对某个带有解密注解的字段进行解密
                    decryptField(o);
                }
            }
        }
   } catch (Exception e) {
       e.printStackTrace();
       return returnValue;
   }
   return returnValue;
}
/**
     * <p>声明这是一个泛型方法,让所有参数都能够调用这个方法扫描带有解密注解的字段,
     * 进行解密,然后显示在前端页面中</p>
     *
     * @param <T>
     */
    public <T> void decryptField(T t) {
        // 获取对象的域
        Field[] declaredFields = t.getClass().getDeclaredFields();
        if (declaredFields != null && declaredFields.length > 0) {
            // 遍历这些字段
            for (Field field : declaredFields) {
                // 如果这个字段存在解密注解就进行解密
                if (field.isAnnotationPresent(DecryptField.class) && field.getType().toString().endsWith("String")) {
                    field.setAccessible(true);
                    try {
                        // 获取这个字段的值
                        String fieldValue = (String) field.get(t);
                        // 判断这个字段的数值是否不为空
                        if (StringUtils.isNotEmpty(fieldValue)) {
                            // 首先调用一个方法判断这个数据是否是未经过加密的,如果可以解密就进行解密,解密失败就返回元数据
                            boolean canDecrypt;
                            canDecrypt = UpdateUtils.judgeDataForView(fieldValue);
                            if (canDecrypt) {
                                // 进行解密
                                String encryptData = Cryptos.aesDecrypt(fieldValue);
                                if (encryptData.equals("解密失败")) {
                                    logger.error("该字段不是被加密的字段,需要联系管理员进行修改数据");
                                }
                                // 将值反射到对象中
                                field.set(t, encryptData);
                            } else {
                                // 不能解密的情况下,就不对这个对象做任何操作,即默认显示元数据
                            }
                        }
                    } catch (IllegalAccessException e) {
                        e.printStackTrace();
                    }
                }
            }
        }
    }
/**
     * 查看这个类是否带有敏感实体类注解,有就返回true,否则返回false
     *
     * @param t
     * @param <T>
     * @return
     */
    public <T> boolean sensitiveBean(T t) {
        // 判断是否带有敏感实体类的注解
        if (t.getClass().isAnnotationPresent(SensitiveBean.class)) {
            logger.info("带有敏感实体类的注解");
            return true;
        } else {
            return false;
        }
    }
/**
     * <p>声明这是一个泛型方法,让所有参数都能够调用这个方法扫描带有加密注解的字段,
     * 进行加密,然后存在数据库中</p>
     *
     * @param <T>
     */
    public <T> void encryptField(T t) {
        Field[] declaredFields = t.getClass().getDeclaredFields();
        if (declaredFields != null && declaredFields.length > 0) {
            for (Field field : declaredFields) {
                // 查找当字段带有加密注解,并且字段类型为字符串类型
                if (field.isAnnotationPresent(EncryptField.class) && field.getType().toString().endsWith("String")) {
                    field.setAccessible(true);
                    String fieldValue = null;
                    try {
                        // 获取这个值
                        fieldValue = (String) field.get(t);
                    } catch (IllegalAccessException e) {
                        e.printStackTrace();
                    }
                    // 判断这个值是否为空
                    if (StringUtils.isNotEmpty(fieldValue)) {
                        try {
                            // 不为空时,就进行加密
                            field.set(t, Cryptos.aesEncrypt(fieldValue));
                        } catch (IllegalAccessException e) {
                            e.printStackTrace();
                        }
                    }
                }
            }
        }
    }

 

执行方案的充分必要条件

  1. 保证密钥不进行修改,如果需求更改为需要动态修改密钥,就需要进行二次开发
  2. 注册拦截器

影响:

  1. 数据库中的敏感数据得到加密,提高安全性
  2. 每次执行sql语句时都会触发到拦截器,给后台服务器增加压力
  3. 在解密数据和加密数据时,会导致用户等待时间增加

针对对象:

所有经由mybatis层执行的sql语句(不包括hibernate和jdbc)

触发的条件:

  1. 更新、插入、查询、删除等操作
  2. 目标实体上带有敏感实体类的注解
  3. 目标字段上带有加密解密的注解

使用的工具:

mybatis拦截器(插件)

使用拦截器+反射+泛型的好处

  1. 只需要在目标实体类上添加敏感实体类的注解,就能定位这个实体类
  2. 只需要在对象中的字段上添加加密解密的注解,就能实现数据的加密解密

具体代码(在其他人的博客中有提到):

https://blog.csdn.net/wizard_rp/article/details/79821671

nkc777
关注
  • 1
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Mybatis基于自定义拦截器+实体类注解实现数据加/解密(附源码)
qq_30255701的博客
07-12 1542
最近接到一个需求,需要针对某些敏感数据入库时加密,出库时解密,避免出现被拖库后敏感信息暴露。根据面向搜索引擎编程原理,在经过一天一夜的深入调研 后,初步确立方案: 4. 其余细节有时间了再补充。。。可以先跑下demo 5. demo源码 https://gitee.com/Wananme/mybatis-interceptor-demo...
通过自定义reflector实现对mybatis实体类带有自定义注解的属性进行加解密
uso的博客
03-23 386
自定义 Reflector 实现可以通过扩展 MyBatis 的 Reflector 实现类来实现对实体类带有自定义注解的属性进行加解密处理。
【JAVA技术】mybatis 数据库敏感字段加解密方案
最新发布
月晓风清
06-07 579
3、mybatis-plus项目, 之前mybatis版本之前用的低版本3.1,为了用上mybatis-plus 3.4的JsqlParserSupport等,把springboot1.5.x 升级到了springboot2.x, 这个过程走了一些弯路,所幸成功了。现在公司项目基本用mybatis实现,但由于项目跨度年份比较久, 技术实现分为2种,早期项目是用mybatis-generator实现, 新项目是用mybatis-plus实现, 这里讲一下分别用不同的方式实现数据库敏感字段加解密
Mybatis】基于Mybatis插件+注解,实现敏感数据自动加解密
小星星专栏
10-12 3252
*** 该注解定义在类上* 插件通过扫描类对象是否包含这个注解来决定是否继续扫描其中的字段注解* 这个注解要配合EncryptTransaction注解/*** 该注解定义在类上* 插件通过扫描类对象是否包含这个注解来决定是否继续扫描其中的字段注解* 这个注解要配合EncryptTransaction注解/*** 该注解定义在类上* 插件通过扫描类对象是否包含这个注解来决定是否继续扫描其中的字段注解* 这个注解要配合EncryptTransaction注解**/
mybatis数据加密脱敏
xyw10000
05-18 1036
在研发过程中某些业务场景是不允许存储明文的,例银行卡 身份证类。怎么实现自动加密解密呢?可以利用mybatis Interceptor 做处理,输入明文参数通过拦截器自动加密。查询出结果集自动解密。在web层展示可以对敏感字段加*处理。至此mybatis加密解密搞定,web层代码如下。本系统使用fastjson为序列化框架。
MyBatis拦截器原理探究
weixin_33701294的博客
07-25 359
为什么80%的码农都做不了架构师?>>> ...
【ibatis】实现传参数的查询示例
鲜衣怒马楼兰月
06-11 410
近期在“远古应用”上进行信息落库、查询等开发,总结如下: 1.根据时间范围,查询记录数count Map<String, Object> p = new HashMap<>(2); p.put("beginTime", beginTime); p.put("endTime", endTime); Integer xxxDO= xxxDAO.count("findxxxC...
mybatis拦截器实现通用权限字段添加的方法
08-25
本文将详细介绍如何使用MyBatis拦截器来实现通用权限字段添加,达到灵活、可靠、可维护的数据库操作。 MyBatis拦截器是什么 MyBatis拦截器是一个接口,用于拦截MyBatis的Executor对象,以便在执行SQL语句之前或...
MyBatis拦截器:给参数对象属性赋值的实例
08-30
MyBatis拦截器MyBatis框架中的一种插件机制,允许用户自定义代码来扩展MyBatis的功能。在这个特定的实例中,我们讨论的是一个用于给参数对象属性赋值的拦截器。这个拦截器的主要目标是在执行增删改操作时,自动为...
mybatis拦截器修改执行sql语句
01-04
1.网上搜索了很多,几乎都是能修改sql, 但是修改后的sql不生效,还是执行原来的sql. 2.这个版本亲测可以生效。 3.支持分页查询
Mybatis自定义拦截器,对模糊查询传值的特殊字符统一进行转义处理的代码
08-18
特殊字符(\,_,%)转义工具类 MyQueryInterceptor.java: Mybatis自定义拦截器 注意:该拦截器只支持QueryWrapper的like方法,serviceImpl层传全角模糊查询(%%) mapper或xml层的全角模糊查询(%*%)和半角模糊查询(%*或*%)
MyBatis拦截器分页与动态修改SQL及其参数值
10-09
在某些场景下,我们可能需要对SQL进行动态修改或者实现分页功能,这时MyBatis拦截器机制就显得尤为重要。拦截器允许我们在SQL执行前后插入自定义的行为,例如添加分页条件、修改SQL参数等。 在"MyBatis拦截器分页...
java-mybatis-自定义interceptor拦截器-获取原生sql补全公共参数
草青工作室 的专栏
11-17 3520
环境 pgsql + jdk1.8 + mybatis + springboot。
mybatis基于注解拦截器实现敏感信息加密和解密
qq_32424581的博客
01-17 296
定义注解敏感信息类(如实体类POJO\PO)的注解
通过Mybatis拦截器巧妙实现通用查询打破实体与字段对应关系
wyuxiao729的专栏
03-29 2738
最近两天项目需求研究了一下mybatis拦截器。对于Mybatis拦截器发现其功能强大,虽很灵活但是其内部对象转换太麻烦很多接口没有完全暴露出来。甚至不得不通过反射的方式去取其内部关联对象。可能Mybatis也不希望用户直接对其内部Statement,以及ResultSetHandler等进行操作。那这样与直接JDBC又有何区别呢? 通用查询其实也并非完全通用。只能是稍微的简化一下代码,减少程序
Mybatis使用拦截器实现数据的加解密
@龙猫的博客
07-30 7661
Mybatis使用拦截器实现数据的加解密实现思路实现代码mysql加解密函数 实现思路 mybatis配置类中加入自定义拦截器 自定义拦截器对指定mapper层指定方法(修改或新增相关业务表的方法)进行拦截,对指定属性或字段进行加解密操作 实现代码 // Copyright 2016-2101 Pica. package com.pica.cloud.patient.health.server...
mybatis拦截器进行数据加密解密
kobe8.cn
07-27 812
mybatis拦截器进行数据加密解密 package com.chashiyu.mybatisPlugin; import lombok.extern.slf4j.Slf4j; import org.apache.commons.lang.StringUtils; import org.apache.ibatis.cache.CacheKey; import org.apache.ibatis.executor.Executor; import org.apache.ibatis.mapping.Boun
MyBatis拦截器与分页插件详解
MyBatis拦截器及分页插件是Mybatis框架中一种强大的功能,它允许开发者在特定的业务场景下扩展或定制框架的行为。本篇文章将深入探讨Mybatis拦截器的工作原理、接口定义以及如何利用它们实现自定义逻辑,特别关注于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值