Mybatis:一個簡單配置搞定數據加密解密
VSole2022-01-06 16:53:30
一、背景
在我們數據庫中有些時候會保存一些用戶的敏感信息,比如:手機號、銀行卡等信息,如果這些信息以明文的方式保存,那么是不安全的。假如:黑客黑進了數據庫,或者離職人員導出了數據,那么就可能導致這些敏感數據的泄漏。因此我們就需要找到一種方法來解決這個問題。
二、解決方案
由于我們系統中使用了Mybatis作為數據庫持久層,因此決定使用Mybatis的TypeHandler或Plugin來解決。
TypeHandler : 需要我們在某些列上手動指定 typeHandler 來選擇使用那個typeHandler或者根據@MappedJdbcTypes 和 @MappedTypes注解來自行推斷。
"phone" property="phone" typeHandler="com.huan.study.mybatis.typehandler.EncryptTypeHandler"/>
Plugin : 可以攔截系統中的 select、insert、update、delete等語句,也能獲取到sql執行前的參數和執行后的數據。
經過考慮,決定使用TypeHandler來加解密數據。
三、需求
我們有一張客戶表customer,里面有客戶手機號(phone)和客戶地址(address)等字段,其中客戶手機號(phone)是需要加密保存到數據庫中的。
1、在添加客戶信息時,自動將客戶手機號加密保存到數據中。
2、在查詢客戶信息時,自動解密客戶手機號。
四、實現思路
1、編寫一個實體類,凡是此實體類的數據都表示需要加解密的
public class Encrypt {
private String value;
public Encrypt() {
}
public Encrypt(String value) {
this.value = value;
}
public String getValue() {
return value;
}
public void setValue(String value) {
this.value = value;
}
}
2、編寫一個加解密的TypeHandler
- 設置參數時,加密數據。
- 從數據庫獲取記錄時,解密數據。
package com.huan.study.mybatis.typehandler;
import cn.hutool.crypto.SecureUtil;
import cn.hutool.crypto.symmetric.AES;
import org.apache.ibatis.type.BaseTypeHandler;
import org.apache.ibatis.type.JdbcType;
import org.apache.ibatis.type.MappedJdbcTypes;
import org.apache.ibatis.type.MappedTypes;
import java.nio.charset.StandardCharsets;
import java.sql.CallableStatement;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
/**
* 加解密TypeHandler
*
* @author huan.fu 2021/5/18 - 上午9:20
*/
@MappedJdbcTypes(JdbcType.VARCHAR)
@MappedTypes(Encrypt.class)
public class EncryptTypeHandler extends BaseTypeHandler {
private static final byte[] KEYS = "12345678abcdefgh".getBytes(StandardCharsets.UTF_8);
/**
* 設置參數
*/
@Override
public void setNonNullParameter(PreparedStatement ps, int i, Encrypt parameter, JdbcType jdbcType) throws SQLException {
if (parameter == null || parameter.getValue() == null) {
ps.setString(i, null);
return;
}
AES aes = SecureUtil.aes(KEYS);
String encrypt = aes.encryptHex(parameter.getValue());
ps.setString(i, encrypt);
}
/**
* 獲取值
*/
@Override
public Encrypt getNullableResult(ResultSet rs, String columnName) throws SQLException {
return decrypt(rs.getString(columnName));
}
/**
* 獲取值
*/
@Override
public Encrypt getNullableResult(ResultSet rs, int columnIndex) throws SQLException {
return decrypt(rs.getString(columnIndex));
}
/**
* 獲取值
*/
@Override
public Encrypt getNullableResult(CallableStatement cs, int columnIndex) throws SQLException {
return decrypt(cs.getString(columnIndex));
}
public Encrypt decrypt(String value) {
if (null == value) {
return null;
}
return new Encrypt(SecureUtil.aes(KEYS).decryptStr(value));
}
}
注意??:
@MappedTypes:表示該處理器處理的java類型是什么。@MappedJdbcTypes:表示處理器處理的Jdbc類型。
3、sql語句中寫法
"1.0" encoding="UTF-8"?>
"-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
"com.huan.study.mybatis.mappers.CustomerMapper">
"BaseResultMapper" type="com.huan.study.mybatis.entity.Customer">
"id" property="id"/>
"phone" property="phone"/>
"address" property="address"/>
"addCustomer">
insert into customer(phone,address) values (#{phone},#{address})
"findCustomer" resultMap="BaseResultMapper">
select * from customer where phone = #{phone}
SQL中沒有什么特殊的寫法。
4、配置文件中指定Typehandler的包路徑
mybatis.type-handlers-package=com.huan.study.mybatis.typehandler
5、編寫后臺代碼
- 提供一個添加方法
- 提供一個根據手機號查詢的方法
后臺代碼比較簡單,直接查看:
“
https://gitee.com/huan1993/spring-cloud-parent/tree/master/mybatis/mybatis-typehandler-encrypt
貼一個mapper層的截圖。
圖片
6、測試結果
圖片
從測試結果中可知,添加數據時,需要加密的數據(phone)在數據庫中已經加密了,在查詢的時候,加密的數據已經自動解密了。
五、實現代碼
“
https://gitee.com/huan1993/spring-cloud-parent/tree/master/mybatis/mybatis-typehandler-encrypt
VSole
網絡安全專家