【Mybatis】基于Mybatis拦截器+注解,实现敏感数据自动加解密

已于 2024-05-31 15:52:53 修改
阅读量3.3k 收藏 28
点赞数 20
文章标签: mybatis
于 2024-03-15 15:57:26 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ww130929/article/details/136734774
版权

一、背景

我司最近在做等保,要求数据库里面的手机号、微信号、身份证号等等这些在数据库中都不能是明文,所以需要把数据库中的涉及到这些的加密保存,但是查询和保存的接口传参不受影响,之前业务给前端返回是什么样子依然保持不变,这样前端不受影响。

二、实现方式的思考

1.可以直接代码修改,代码中涉及的敏感数据接口在查询和插入、更新时进行加解密。缺点是工作量大,代码侵入多。

2.在mybatis中进行统一拦截,上层业务调用不需要再考虑敏感数据的加解密问题,可以考虑配置文件中配置需要加解密的表和字段,或者注解的方式。

也看了一些博客,最终采用了第二种方式,通过拦截器+注解的方式,实现敏感数据自动加解密

三、mybatis插件的原理:


这里也可以自行查询,资料也很多。

Mybatis的插件,是采用责任链机制,通过JDK动态代理来实现的。默认情况下,Mybatis允许使用插件来拦截四个对象:

Executor:执行CURD操作;
StatementHandler:处理sql语句预编译,设置参数等相关工作;
ParameterHandler:设置预编译参数用的;
ResultSetHandler:处理结果集。

四、代码实现

设置参数时对参数中含有敏感字段的数据进行加密

对查询返回的结果进行解密处理

按照对Executor和ResultSetHandler进行切入,这里也参考了一些博主,大部分是按照对ParameterHandlerResultSetHandler进行切入,但在实践中发现ParameterHandler在某些场景支持(比如传参对象中有字段为list或者mapper中是list传入的)的不好,但我司项目中是有很多这种情况的。后面通过跟源码发现是在改值之前分页插件已经赋值了查询的参数,所以后面对list改值之后并未生效。

实体类中有加解密字段时使用@SensitiveData注解,单个需加解密的字段使用@SensitiveField注解

注解:

  1. SensitiveData注解:用在实体类上,表示此类有些字段需要加密,需要结合@SensitiveField一起使用
  2. SensitiveField注解:用在类的字段上或者方法的参数上,表示该字段或参数需要加密

1.SensitiveData注解

import java.lang.annotation.ElementType;
import java.lang.annotation.Inherited;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * Created on 2024/1/9
 * * 该注解定义在类上
 *  * 插件通过扫描类对象是否包含这个注解来决定是否继续扫描其中的字段注解
 *  * 这个注解要配合SensitiveField注解
 * @author www
 * @version V1.0
 * @apiNote
 */
@Inherited
@Target({ElementType.TYPE})
@Retention(RetentionPolicy.RUNTIME)
public @interface SensitiveData {

}

2.SensitiveField注解

import java.lang.annotation.Documented;
import java.lang.annotation.ElementType;
import java.lang.annotation.Inherited;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

/**
 * Created on 2024/1/9
 * 该注解有两种使用方式
 * ①:配合@SensitiveData加在类中的字段上
 * ②:直接在Mapper中的方法参数上使用
 * @author www
 * @version V1.0
 * @apiNote
 */
@Documented
@Inherited
@Target({ElementType.FIELD, ElementType.PARAMETER})
@Retention(RetentionPolicy.RUNTIME)
public @interface SensitiveField {
}

插件实现代码:

1.入参处理


import org.apache.ibatis.annotations.Param;
import org.apache.ibatis.cache.CacheKey;
import org.apache.ibatis.executor.Executor;
import org.apache.ibatis.mapping.BoundSql;
import org.apache.ibatis.mapping.MappedStatement;
import org.apache.ibatis.plugin.Interceptor;
import org.apache.ibatis.plugin.Intercepts;
import org.apache.ibatis.plugin.Invocation;
import org.apache.ibatis.plugin.Plugin;
import org.apache.ibatis.plugin.Signature;
import org.apache.ibatis.session.ResultHandler;
import org.apache.ibatis.session.RowBounds;
import org.slf4j.Logger;
import org.slf4j.LoggerFactory;
import org.springframework.core.annotation.AnnotationUtils;

import java.lang.annotation.Annotation;
import java.lang.reflect.Field;
import java.lang.reflect.Method;
import java.lang.reflect.Parameter;
import java.util.ArrayList;
import java.util.List;
import java.util.Map;
import java.util.Objects;
import java.util.Properties;


@Intercepts(
        {
                @Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class}),
                @Signature(type = Executor.class, method = "update", args = {MappedStatement.class, Object.class}),
                @Signature(type = Executor.class, method = "query", args = {MappedStatement.class, Object.class, RowBounds.class, ResultHandler.class, CacheKey.class, BoundSql.class}),
        }
)
@Component
public class BarExecuteInterceptor implements Interceptor {
    private static final Logger log = LoggerFactory.getLogger(BarExecuteInterceptor.class);
    @Override
    public Object intercept(Invocation invocation) throws Throwable {
    
        try {
            if (invocation.getTarget() instanceof Executor) {
                MappedStatement mappedStatement = (MappedStatement) invocation.getArgs()[0];
                Object parameterObject = invocation.getArgs()[1];
                if (parameterObject != null) {
                    //批量保存
                    if (parameterObject instanceof Map) {
                        Map map = (Map) parameterObject;
                        for (Object key : map.keySet()) {
                            Object value = map.get(key);
                            if (value != null){
                                if (value instanceof List) {
                                    List list = (List) value;
                                    for (Object item : list) {
                                        //list<phone>
                                        if (item instanceof String) {
                                            if (isMethodParameterAnnotated(mappedStatement, (String) key)) {
                                                String encryptedItem = EncryptUtil.encryptValue((String) item);
                                                //当list中只有一个值时可能是singletonList,
                                                if (list != null && list.size() == 1){
                                                    list = new ArrayList<>(list);
                                                }
                                                // 替换原有值
                                                list.set(list.indexOf(item), encryptedItem);
                                            }
                                        } else {
                                            //OBJECT 类型 走这个方法
                                            // 递归处理其他类型的对象
                                            processSensitiveFields(mappedStatement, item);
                                        }
                                    }
                                    map.put(key,list);
                                } else if (value instanceof String) {
                                    if (isMethodParameterAnnotated(mappedStatement, (String) key)) {
                                        String encryptedItem = EncryptUtil.encryptValue((String) value);
                                        map.put(key, encryptedItem);
                                    }
                                } else if (value instanceof Map) {
                                    // Map入参情况,这种不用处理,实际map的也没办法加加密的注解
                                    continue;
                                } else {
                                    processSensitiveFields(mappedStatement, value);
                                }
                            }
                        }
                    } else if (parameterObject instanceof List) {
                        // 检查是否为TestForm实例或者包含TestForm实例的列表
                        // 如果参数是列表,检查列表中的每个元素是否为TestForm实例
                        List<?> parameterList = (List<?>) parameterObject;
                        for (Object param : parameterList) {
                            processSensitiveFields(mappedStatement, param);
                        }
                    } else if (parameterObject instanceof String) {
                        if (isMethodSingleParameterAnnotated(mappedStatement)) {
                            String encryptedItem = EncryptUtil.encryptValue((String) parameterObject);
                            invocation.getArgs()[1] = encryptedItem;
                        }
                    } else {
                        //通用的保存单条数据时,对象查询
                        processSensitiveFields(mappedStatement, parameterObject);
                    }
                }
                // 继续执行原始方法
                return invocation.proceed();
            }
        } catch (Exception e) {
            log.error("加密参数处理发生异常:{}",e.getMessage(),e);
        }
        // 如果不是Executor&#x
最低0.47元/天 解锁文章
【D3S】数据权限 - 基于Mybatis数据权限拦截器实现
罗小爬的技术宝书
07-02 1956
目录一、背景二、动机三、实现思路3.1 权限类型、操作类型3.2 统一用户及数据权限集合模型3.3 定义数据权限拦截注解3.4 提取配置属性3.5 数据权限拦截器实现四、集成方式五、关于D3S 一、背景 最近一直在做RBAC相关的架构设计与实现,传统的RBAC的权限控制只是控制到REST接口(url)、具体方法(权限码)等,而通常实际业务场景还需要对数据权限进行控制,例如: 用户仅允许查询自己的用户信息,不允许查询其他人的用户信息 用户仅被允许查询 同部门 或 同部门及子部门 的用户信息 用户仅允许查询指
Mybatis拦截器Interceptor实现加解密
wind_chasing_boy的博客
06-13 7714
最近项目使用Mybatis拦截器数据进行加解密,以下记录如何将拦截器集成到项目中以及在使用过程中踩过的一些小坑,与君共勉Configuration:初始化基础配置,比如MyBatis的别名等,一些重要的类型对象,如插件,映射器,ObjectFactory和typeHandler对象,MyBatis所有的配置信息都维持在Configuration对象之中。SqlSessionFactory:SqlSession工厂。
MybatisMybatis拦截器+注解实现敏感数据自动加解密
weixin_43262384的博客
09-29 2309
1. 需要用到sql对数据库进行直接解密,同时又比较安全,第一个想到的是使用mysql自带的AES对数据进行加密。3. 数据只需要在入库层进行加解密,上层业务调用不需要再考虑敏感数据加解密问题。2. 可以通过sql查询对数据进行解密(通过密钥直接对数据库加密参数进行解密)3. 系统需要重新测试,防止人为因素导致sql修改错误(粗心导致的sql异常)1. 通过程序实现数据加密解密 (快速便捷,尽量减少对原先代码的修改)2. 对代码减少修改,想到使用mybatis拦截器实现,对。3. 数据库:mysql。
基于MyBatis自定义拦截器实现数据库字段加密脱敏
最新发布
weixin_40017062的博客
04-16 1012
基于MyBatis自定义拦截器实现数据库字段加密脱敏
mybatis实现数据加密,加密回显,加密模糊查询的最优解实现
许洪昌的博客
03-24 390
在开发中,我们经常会遇到需要对数据进行加密的场景。如果是少数字段,我们通常会单独对于这些字段进行加解密处理。但是对于很多字段都要进行加密的情况,前一种办法就无法灵活实现了。这时候我们可以通过使用mybatis插件来实现数据加解密。使用时只需要使用注解标记字段,该字段就可以被自动加密,同时在查询时还可以进行解密。需要注意:密码字段是不能够使用的,因为业务场景的不同,密码一般都是不可逆的,而且密码不需要查询。有人会疑问,加密的数据如何进行模糊查询呢?
mybatis项目低侵入历史代码实现加解密敏感数据
luxiangyan1923的博客
10-30 728
因现在信息保密化规范越来越严格,需对数据库中多项涉及个人信息的数据进行加密包含历史数据处理、对新数据插入、历史数据更新和查询解密显示等功能。但因各系统代码规范不同,本着增加适用性少修改原有代码的原则采用mybatis拦截器方式满足需求。此方案适用于mysql数据库,当然也可以简单修改适用其他类型数据库,适用于任何spring+mybatis项目,和多数据源的项目,单一数据源也适用。
Mybatis拦截器安全加解密MySQL数据实战
2401_85117983的博客
05-20 1355
这里其实想过不改动原对象,而是把原请求对象克隆一份,在克隆对象上进行加密,然后在去查询数据库。但在本次安全加解密需求中只针对指定字段(如手机号和真实姓名),现在这种全量字段加解密就不行,而且性能也低,毕竟加解密是很耗费服务器CPU运算资源的。注意:如果作用于字段,那当前类必须先标注该注解,因为会优先判断类是否需要加解密,然后在判断字段是否需要加解密,否则只作用于字段不会起效。这是因为对请求参数进行加密操作时改动的是原对象,如果不还原解密数据,这个对象如果在后续还有其他操作,那就会使用密文,导致数据紊乱。
mybatis拦截器 数据安全加解密 @上源码
qq_34253002的博客
06-08 1312
mybatis 拦截器与spring等拦截器类似,都可以拦截请求获取参数对请求参数做验证、转换、补充等,拦截响应对响应结果做转换、补充。又于AOP切面类似,都主要应用于对公共操作的抽取。
Mybatis数据加密解密
lvyuanj的专栏
06-01 2665
注解,将注解放在实体类上/*** 需要加解密的类注解*/@Inherited字段注解,将注解放在实体字段上/*** 加密字段注解*/@Inherited有了这两个注解,我们可以在我们可以标记我们要处理的实体和实体中的字段。
【JAVA技术】mybatis 数据库敏感字段加解密方案
子晓聊技术
06-07 1219
3、mybatis-plus项目, 之前mybatis版本之前用的低版本3.1,为了用上mybatis-plus 3.4的JsqlParserSupport等,把springboot1.5.x 升级到了springboot2.x, 这个过程走了一些弯路,所幸成功了。现在公司项目基本用mybatis实现,但由于项目跨度年份比较久, 技术实现分为2种,早期项目是用mybatis-generator实现, 新项目是用mybatis-plus实现, 这里讲一下分别用不同的方式实现数据库敏感字段加解密
Mybatis】基于Mybatis插件+注解实现敏感数据自动加解密
小星星专栏
10-12 6521
*** 该注解定义在类上* 插件通过扫描类对象是否包含这个注解来决定是否继续扫描其中的字段注解* 这个注解要配合EncryptTransaction注解/*** 该注解定义在类上* 插件通过扫描类对象是否包含这个注解来决定是否继续扫描其中的字段注解* 这个注解要配合EncryptTransaction注解/*** 该注解定义在类上* 插件通过扫描类对象是否包含这个注解来决定是否继续扫描其中的字段注解* 这个注解要配合EncryptTransaction注解**/
Mybatis+注解轻松实现脱敏
01-05
Mybatis+注解轻松实现脱敏】是一个针对Java开发工程师的实用技术,旨在帮助他们在处理敏感数据时,如身份证号、手机号等信息,进行数据脱敏和加密。这一技术结合了MyBatis插件和注解的方式,使得数据脱敏过程变得...
mybatis拦截器 + 注解对敏感字段进行加密解密
doordiey的博客
07-04 3139
mybatis拦截器 + 注解对敏感字段进行加密解密
Mybatismybatis拦截器+自定义注解完成简单的水平分表
weixin_38538285的博客
08-26 2374
文章目录一、背景1.1 环境信息1.2 场景1.3 表信息二、实现思路2.1 概述2.2 代码实现2.2.1 自定义mybatis拦截器2.2.2 自定义注解2.2.3 策略管理者2.2.4 分表策略抽象类2.2.5 产品表分表策略2.2.6 产品描述表分表策略2.3 使用2.3.1 产品信息表mapper接口2.3.2 产品信息表mapper.xml2.3.3 产品描述表mapper接口2.3.4 产品描述表mapper.xml三、个人总结 一、背景 1.1 环境信息 依赖 版本 wind
基于Mybatis-Plus拦截器实现MySQL数据加解密
热门推荐
tianmaxingkonger的专栏
06-01 1万+
本文基于SpringBoot+MybatisPlus(3.5.X)+MySQL8架构,Dao层与DB中间使用MP的拦截器机制,对数据存取过程进行拦截,实现数据加解密操作。实体类上使用自定义注解,来标记需要进行加解密// 必须使用@EncryptedTable注解// 使用@EncryptedColumn注解// 使用@EncryptedColumn注解通过MP自带API、Lambda、自定义mapper接口三种方式进行测试。
使用MyBatis数据库加密与解密
AI天才研究院
01-18 1989
1.背景介绍 在现代社会,数据安全和保护已经成为了我们生活和工作中不可或缺的一部分。随着数据库技术的不断发展,我们存储在数据库中的数据也越来越多,同时也越来越敏感。因此,保护数据库中的数据变得越来越重要。 数据库加密与解密是一种有效的数据保护方式,可以确保数据库中的数据不被未经授权的人访问和修改。在这篇文章中,我们将讨论如何使用MyBatis实现数据库加密与解密。 2.核心概念与联系 在了...
Mybatis配置拦截器实现参数加解密+注解
Caoshilong1的博客
08-14 1807
利用Mybatis拦截器+反射机制,设计加解密注解,可以对特定字段入库出库时,实现自动加解密。下面这文章为参数拦截加密和结果解密分开实现
Mybatis拦截器优雅的实现敏感数据加解密
qq_45454294的博客
12-18 5508
最近公司项目要过等保,需要对如身份证信息、手机号、真实姓名等的敏感数据进行加密数据库存储
mybatis 拦截器+自定义注解
08-17
MyBatis拦截器和自定义注解MyBatis框架中的两个重要特性。下面我会分别解释它们的作用和用法。 MyBatis拦截器是一种机制,可以在执行SQL语句的过程中对其进行拦截和修改。它提供了一种方便的方式来扩展和自定义MyBatis的功能。拦截器可以在SQL语句执行前后、参数设置前后、结果集处理前后等关键点进行拦截,并对其进行修改或增强。 要实现一个MyBatis拦截器,你需要实现`Interceptor`接口,并重写其中的方法。其中最重要的方法是`intercept`,它接收一个`Invocation`对象作为参数,通过该对象你可以获取到当前执行的SQL语句、参数等信息,并可以对其进行修改。另外还有`plugin`方法和`setProperties`方法用于对拦截器进行初始化。 自定义注解是一种用于标记和配置特定功能的注解。在MyBatis中,你可以使用自定义注解来配置一些特殊的功能,比如动态SQL的条件判断、结果集映射等。通过自定义注解,你可以将一些常用的功能封装成注解,并在需要时直接使用。 要使用自定义注解,你需要先定义一个注解,并在相应的地方使用该注解。然后通过MyBatis的配置文件或者Java代码进行配置,告诉MyBatis如何处理这些注解。在MyBatis的执行过程中,它会根据注解的配置来动态生成相应的SQL语句或者进行特定的处理。 总结一下,MyBatis拦截器和自定义注解MyBatis框架中的两个重要特性。拦截器可以对SQL语句进行拦截和修改,自定义注解可以用于配置一些特殊功能。它们都提供了一种扩展和自定义MyBatis功能的方式。如果你有具体的问题或者需要更详细的示例代码,欢迎继续提问!
评论 9
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值