mybatis数据库字段加密脱敏
可靠的烂笔头 人气:01 问题背景
在数据库存储人员的信息时,有一些信息是敏感数据,如SFZ号、出生地等。为了防止信息泄漏,这些信息不允许直接在数据库中查看,此时就需要对这些字段进行加密存储,但在页面查看的仍旧是解密后的数据。这里就涉及到加解密的问题,有两种解决方案。
2 解决方案
2.1 使用数据库加密算法
通过数据库自带的加密算法,在sql里直接使用算法加解密,这种有较多缺点,不推荐使用。
- 写法繁琐,不易开发维护
- 适配多种数据库时,算法难以统一,工作量也剧增
2.2 使用mybatis的自定义参数类型转换器
通过自定义Java类型和类型转换器,并在mapper.xml里标注类型,通过mybatis进行加解密。
- 加密算法可自由选择
- 开发维护比较简单方便
- 不存在适配多种数据库的问题
3 一般web项目使用
3.1 创建自定义Java类型
创建一个空白类,在mapper.xml文件查询和新增修改时标注说明,表示需要mybatis进行相关类型转换。
@Alias("SecretField")
public class SecretField {
}
3.2 自定义类的转换处理器
这里使用国密SM4进行加解密,当然算法可自由选择别的如AES等。
@MappedTypes注解映射刚才的自定义Java类
@MappedTypes(SecretField.class)
public class SecretFieldTypeHandler extends BaseTypeHandler<String> {
private static final Logger log = LoggerFactory.getLogger(SecretFieldTypeHandler.class);
@Override
public void setNonNullParameter(PreparedStatement ps, int i, String parameter, JdbcType jdbcType) throws SQLException {
try {
if (StringUtils.hasText(parameter)) {
String encryptStr = Sm4Util.encryptData_ECB(parameter);
ps.setString(i, encryptStr);
}
} catch (Exception e) {
ps.setString(i, parameter);
log.error("mybatis加密参数异常,i:{},parameter:{}", i, parameter);
}
}
@Override
public String getNullableResult(ResultSet rs, String columnName) throws SQLException {
String columnValue = rs.getString(columnName);
try {
if (StringUtils.hasText(columnValue)) {
columnValue = Sm4Util.decryptData_ECB(columnValue);
}
} catch (Exception e) {
log.error("mybatis解密参数异常,columnName:{}, columnValue:{}", columnName, columnValue);
}
return columnValue;
}
@Override
public String getNullableResult(ResultSet rs, int columnIndex) throws SQLException {
return null;
}
@Override
public String getNullableResult(CallableStatement cs, int columnIndex) throws SQLException {
return null;
}
}
3.3 配置自定义类型和类型转换器
这一步也可使用相关注解完成。
配置文件为mybatis的配置文件,如mybatis-config.xml。
<?xml version="1.0" encoding="UTF-8" standalone="no"?>
<!DOCTYPE configuration PUBLIC "-//mybaties.org//DTD Config 3.0//EN" "http://mybatis.org/dtd/mybatis-3-config.dtd">
<configuration>
<settings>
</settings>
<typeAliases>
<typeAlias type="com.banxian.mybatis.alias.SecretField" alias="SecretField"/>
</typeAliases>
<typeHandlers>
<typeHandler handler="com.banxian.mybatis.typehandler.SecretFieldTypeHandler" />
</typeHandlers>
</configuration>
3.4 查询使用
查询返回需通过resultMap映射,在加密字段进行javaType指明需要的类型转换器。
另外如果旧代码中结果集大量直接使用map返回,时间紧张的情况下,则可考虑写一个工具类,在service里调用进行手动解密,没得办法呀!。
<resultMap id="BaseResultMap" type="User">
<result column="sfz" property="sfz" javaType="SecretField"/>
</resultMap>
3.5 新增修改使用
在设置相关参数值时,也就是在#{}里,使用javaType指明需要的类型转换器。
insert into ... values(...
<if test="sfz!= null">
#{sfz,jdbcType=VARCHAR,javaType=SecretField},
</if>
)
4. springboot项目使用
- 自定义类型和类型转换器代码和上面一样,这里不在赘述。
- 项目使用了mybatis-plus插件。
4.1 配置自定义类型和类型转换器
在项目配置文件里application.yml里加上配置type-handlers-package 和 type-aliases-package:分别指出你的类型转换器所在包名和自定义类所在包名。
mybatis-plus:
global-config:
db-config:
logic-delete-field: deleted
logic-not-delete-value: "0"
logic-delete-value: "1"
mapper-locations: "classpath*:/mapper/**/*.xml"
configuration:
log-impl: org.apache.ibatis.logging.stdout.StdOutImpl
type-handlers-package: com.banxian.mybatis.typehandler
type-aliases-package: com.banxian.mybatis.alias
4.2 mybatis-plus的使用
当然上面web项目的查询、新增和修改使用方法这里也是可以正常使用的
1)在实体类上使用注解
@TableName(autoResultMap = true)
2)在加密字段上指明类型
@TableField(value = "sfz", typeHandler = SecretFieldTypeHandler.class)
@Data
@TableName(autoResultMap = true)
public class User implements Serializable {
private static final long serialVersionUID = 4344848828462926573L;
@TableId(value = "id", type = IdType.ASSIGN_ID)
private Integer id;
/**
* 名称
*/
private String userName;
/**
* 是否删除 1:是 0:否
*/
@TableLogic
private String deleted;
/**
* 是否有效 1:是 0:否
*/
private String valid;
/**
* 创建时间
*/
@TableField(value = "create_at", fill = FieldFill.INSERT)
private LocalDateTime createAt;
/**
* 更新时间
*/
@TableField(value = "update_at", fill = FieldFill.INSERT_UPDATE)
private LocalDateTime updateAt;
@TableField(value = "sfz", typeHandler = SecretFieldTypeHandler.class)
private String sfz;
}加载全部内容