>>号外:关注“Java精选”公众号,回复“面试题”关键词,领取全套500多份Java面试题文件。
在实际生产项目中,经常需要对如身份证信息、手机号、真实姓名等的敏感数据进行加密数据库存储,但在业务代码中对敏感信息进行手动加解密则十分不优雅,甚至会存在错加密、漏加密、业务人员需要知道实际的加密规则等的情况。
本文将介绍使用springboot+mybatis拦截器+自定义注解的形式对敏感数据进行存储前拦截加密的详细过程。
一、什么是Mybatis Plugin
在mybatis官方文档中,对于Mybatis plugin的的介绍是这样的:
MyBatis 允许你在已映射语句执行过程中的某一点进行拦截调用。默认情况下,MyBatis 允许使用插件来拦截的方法调用包括:
//语句执行拦截Executor(update,query,flushStatements,commit,rollback,getTransaction,close,isClosed)//参数获取、设置时进行拦截ParameterHandler(getParameterObject,setParameters)//对返回结果进行拦截ResultSetHandler(handleResultSets,handleOutputParameters)//sql语句拦截StatementHandler(prepare,parameterize,batch,update,query)
简而言之,即在执行sql的整个周期中,我们可以任意切入到某一点对sql的参数、sql执行结果集、sql语句本身等进行切面处理。基于这个特性,我们便可以使用其对我们需要进行加密的数据进行切面统一加密处理了(分页插件 pageHelper 就是这样实现数据库分页查询的)。
二、实现基于注解的敏感信息加解密拦截器
2.1 实现思路
对于数据的加密与解密,应当存在两个拦截器对数据进行拦截操作
参照官方文档,因此此处我们应当使用ParameterHandler拦截器对入参进行加密
使用ResultSetHandler拦截器对出参进行解密操作。
目标需要加密、解密的字段可能需要灵活变更,此时我们定义一个注解,对需要加密的字段进行注解,那么便可以配合拦截器对需要的数据进行加密与解密操作了。
mybatis的interceptor接口有以下方法需要实现。
publicinterfaceInterceptor{//主要参数拦截方法Objectintercept(Invocationinvocation)throwsThrowable;//mybatis插件链defaultObjectplugin(Objecttarget){returnPlugin.wrap(target,this);}//自定义插件配置文件方法defaultvoidsetProperties(Propertiesproperties){}}
2.2 定义需要加密解密的敏感信息注解
定义注解敏感信息类(如实体类POJO\PO)的注解
/***注解敏感信息类的注解*/@Inherited@Target({ElementType.TYPE})@Retention(RetentionPolicy.RUNTIME)public@interfaceSensitiveData{}
定义注解敏感信息类中敏感字段的注解
/***注解敏感信息类中敏感字段的注解*/@Inherited@Target({ElementType.Field})@Retention(RetentionPolicy.RUNTIME)public@interfaceSensitiveField{}
2.3 定义加密接口及其实现类
定义加密接口,方便以后拓展加密方法(如AES加密算法拓展支持PBE算法,只需要注入时指定一下便可)
publicinterfaceEncryptUtil{/***加密**@paramdeclaredFieldsparamsObject所声明的字段*@paramparamsObjectmapper中paramsType的实例*@returnT*@throwsIllegalAccessException字段不可访问异常*/<T>Tencrypt(Field[]declaredFields,TparamsObject)throwsIllegalAccessException;}
EncryptUtil 的AES加密实现类,此处AESUtil为自封装的AES加密工具,需要的小伙伴可以自行封装,本文不提供。
@ComponentpublicclassAESEncryptimplementsEncryptUtil{@AutowiredAESUtilaesUtil;/***加密**@paramdeclaredFieldsparamsObject所声明的字段*@paramparamsObjectmapper中paramsType的实例*@returnT*@throwsIllegalAccessException字段不可访问异常*/@Overridepublic<T>Tencrypt(Field[]declaredFields,TparamsObject)throwsIllegalAccessException{for(Fieldfield:declaredFields){//取出所有被EncryptDecryptField注解的字段SensitiveFieldsensitiveField=field.getAnnotation(SensitiveField.class);if(!Objects.isNull(sensitiveField)){field.setAccessible(true);Objectobject=field.get(paramsObject);//暂时只实现String类型的加密if(objectinstanceofString){Stringvalue=(String)object;//加密这里我使用自定义的AES加密工具field.set(paramsObject,aesUtil.encrypt(value));}}}returnparamsObject;}}
2.4 实现入参加密拦截器
Myabtis包中的org.apache.ibatis.plugin.Interceptor拦截器接口要求我们实现以下三个方法
publicinterfaceInterceptor{//核心拦截逻辑Objectintercept(Invocationinvocation)throwsThrowable;//拦截器链defaultObjectplugin(Objecttarget){returnPlugin.wrap(target,this);}//自定义配置文件操作defaultvoidsetProperties(Propertiesproperties){}}
因此,参考官方文档的示例,我们自定义一个入参加密拦截器。
@Intercepts 注解开启拦截器,@Signature 注解定义拦截器的实际类型。
@Signature中
type 属性指定当前拦截器使用StatementHandler 、ResultSetHandler、ParameterHandler,Executor的一种
method 属性指定使用以上四种类型的具体方法(可进入class内部查看其方法)。
args 属性指定预编译语句
此处我们使用了ParameterHandler.setParamters()方法,拦截mapper.xml中paramsType的实例(即在每个含有paramsType属性mapper语句中,都执行该拦截器,对paramsType的实例进行拦截处理)
/***加密拦截器*注意@Component注解一定要加上**@author:tanzj*@date:/1/19.*/@Slf4j@Component@Intercepts({@Signature(type=ParameterHandler.class,method="setParameters",args=PreparedStatement.class),})publicclassEncryptInterceptorimplementsInterceptor{privatefinalEncryptDecryptUtilencryptUtil;@AutowiredpublicEncryptInterceptor(EncryptDecryptUtilencryptUtil){this.encryptUtil=encryptUtil;}@Override@OverridepublicObjectintercept(Invocationinvocation)throwsThrowable{//@Signature指定了type=parameterHandler后,这里的invocation.getTarget()便是parameterHandler//若指定ResultSetHandler,这里则能强转为ResultSetHandlerParameterHandlerparameterHandler=(ParameterHandler)invocation.getTarget();//获取参数对像,即mapper中paramsType的实例FieldparameterField=parameterHandler.getClass().getDeclaredField("parameterObject");parameterField.setAccessible(true);//取出实例ObjectparameterObject=parameterField.get(parameterHandler);if(parameterObject!=null){Class<?>parameterObjectClass=parameterObject.getClass();//校验该实例的类是否被@SensitiveData所注解SensitiveDatasensitiveData=AnnotationUtils.findAnnotation(parameterObjectClass,SensitiveData.class);if(Objects.nonNull(sensitiveData)){//取出当前当前类所有字段,传入加密方法Field[]declaredFields=parameterObjectClass.getDeclaredFields();encryptUtil.encrypt(declaredFields,parameterObject);}}returninvocation.proceed();}/***切记配置,否则当前拦截器不会加入拦截器链*/@OverridepublicObjectplugin(Objecto){returnPlugin.wrap(o,this);}//自定义配置写入,没有自定义配置的可以直接置空此方法@OverridepublicvoidsetProperties(Propertiesproperties){}}
至此完成自定义加密拦截加密。
2.5 定义解密接口及其实现类
解密接口,其中result为mapper.xml中resultType的实例。
publicinterfaceDecryptUtil{/***解密**@paramresultresultType的实例*@returnT*@throwsIllegalAccessException字段不可访问异常*/<T>Tdecrypt(Tresult)throwsIllegalAccessException;}
解密接口AES工具解密实现类
publicclassAESDecryptimplementsDecryptUtil{@AutowiredAESUtilaesUtil;/***解密**@paramresultresultType的实例*@returnT*@throwsIllegalAccessException字段不可访问异常*/@Overridepublic<T>Tdecrypt(Tresult)throwsIllegalAccessException{//取出resultType的类Class<?>resultClass=result.getClass();Field[]declaredFields=resultClass.getDeclaredFields();for(Fieldfield:declaredFields){//取出所有被EncryptDecryptField注解的字段SensitiveFieldsensitiveField=field.getAnnotation(SensitiveField.class);if(!Objects.isNull(sensitiveField)){field.setAccessible(true);Objectobject=field.get(result);//只支持String的解密if(objectinstanceofString){Stringvalue=(String)object;//对注解的字段进行逐一解密field.set(result,aesUtil.decrypt(value));}}}returnresult;}}
2.6 定义出参解密拦截器
@Slf4j@Component@Intercepts({@Signature(type=ResultSetHandler.class,method="handleResultSets",args={Statement.class})})publicclassDecryptInterceptorimplementsInterceptor{@AutowiredDecryptUtilaesDecrypt;@OverridepublicObjectintercept(Invocationinvocation)throwsThrowable{//取出查询的结果ObjectresultObject=invocation.proceed();if(Objects.isNull(resultObject)){returnnull;}//基于selectListif(resultObjectinstanceofArrayList){ArrayListresultList=(ArrayList)resultObject;if(!CollectionUtils.isEmpty(resultList)&&needToDecrypt(resultList.get(0))){for(Objectresult:resultList){//逐一解密aesDecrypt.decrypt(result);}}//基于selectOne}else{if(needToDecrypt(resultObject)){aesDecrypt.decrypt(resultObject);}}returnresultObject;}privatebooleanneedToDecrypt(Objectobject){Class<?>objectClass=object.getClass();SensitiveDatasensitiveData=AnnotationUtils.findAnnotation(objectClass,SensitiveData.class);returnObjects.nonNull(sensitiveData);}@OverridepublicObjectplugin(Objecttarget){returnPlugin.wrap(target,this);}@OverridepublicvoidsetProperties(Propertiesproperties){}}
至此完成解密拦截器的配置工作。
3、注解实体类中需要加解密的字段
此时在mapper中,指定paramType=User resultType=User 便可实现脱离业务层,基于mybatis拦截器的加解密操作。
作者:CoderTanzJ
/bbcckkl/article/details/104069487
往期精选点击标题可跳转
Java 中处理 Exception 的 9 种实践,曾被很多团队认可采纳,值得收藏!
Java 中 ThreadPoolExecutor 线程池必备知识点:工作流程、常见参数、性能调优及监控
Java 中统计代码执行耗时,列举 4 种优雅的解决方案
MySQL 分页使用 limit 和 offset 参数为什么会导致执行变慢?
全网可能是最全的 JAVA 日志框架适配、冲突解决方案
数据库在哪些场景下导致索引失效,索引何时会失效?
为什么 Redis 越来越慢了?延迟问题定位排查与分析
Spring 框架中导致 @Transactional 事务注解 3 种失效场景分析及解决方法
放弃 JDK8 中 StringBuilder,使用 StringJoiner 辅助类,真香!
面试时这样回答 Java 应用性能调优,回报是更多 Money!
面试官问:你说一说 HashMap 是如何解决 hash 冲突的?
点个赞,就知道你“在看”!