Mybatis 实现数据加密
- 背景
- 解决方案
- 案例
- AesEncryptHandler
- 使用
背景
在我们业务开发中会保存一些用户的敏感信息,比如:手机号、银行卡等信息,如果这些信息以明文的方式保存,那么是不安全的。假如:黑客黑进了数据库,或者离职人员导出了数据,那么就可能导致这些敏感数据的泄漏。随着当下信息安全法规不断完善和健全,我们系统对于用户敏感数据需要进行加解密处理。因此我们就需要找到一种方法来解决这个问题。
解决方案
对于系统中使用了Mybatis作为数据库持久层,可以使用 Mybatis 的 TypeHandler 或 Plugin 来解决。
TypeHandler : 需要我们在某些列上手动指定 typeHandler 来选择使用那个typeHandler或者根据 @MappedJdbcTypes 和 @MappedTypes 注解来自行推断。
- 注解方式
注意:该方式要在实体类的 @TableName 注解中将 autoResultMap 设置为 true
@ApiModelProperty("手机号")@TableField(typeHandler = AesEncryptHandler.class)private String mobile;
- XML 配置文件方式
<result column="phone" property="phone" typeHandler="top.chenfu.h5.config.AesEncryptHandler"/>
案例
AesEncryptHandler
package top.chenfu.h5.config;import lombok.extern.slf4j.Slf4j;
import org.apache.ibatis.type.BaseTypeHandler;
import org.apache.ibatis.type.JdbcType;import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.sql.CallableStatement;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Base64;@Slf4j
public class AesEncryptHandler extends BaseTypeHandler<String> {public static final String KEY = "chenfu";private final static String ALGORITHM = "AES";public static String decryptBase64(String key, String content) {byte[] decodeContent = Base64.getDecoder().decode(content);return decrypt(key, decodeContent);}/*** @param seed 种子数据* @return 密钥数据*/private static byte[] genKey(byte[] seed) {byte[] rawKey = null;try {KeyGenerator kgen = KeyGenerator.getInstance(ALGORITHM);SecureRandom secureRandom = SecureRandom.getInstance("SHA1PRNG");secureRandom.setSeed(seed);// AES加密数据块分组长度必须为128比特,密钥长度可以是128比特、192比特、256比特中的任意一个kgen.init(128, secureRandom);SecretKey secretKey = kgen.generateKey();rawKey = secretKey.getEncoded();} catch (NoSuchAlgorithmException ignored) {}return rawKey;}/*** @param encrypted 密文字节数组* @param key 密钥* @return 解密后的字符串*/private static String decrypt(String key, byte[] encrypted) {byte[] rawKey = genKey(key.getBytes());try {SecretKeySpec secretKeySpec = new SecretKeySpec(rawKey, ALGORITHM);Cipher cipher = Cipher.getInstance(ALGORITHM);cipher.init(Cipher.DECRYPT_MODE, secretKeySpec);byte[] decrypted = cipher.doFinal(encrypted);return new String(decrypted);} catch (Exception e) {log.debug("解密失败以为你返回原值");return "";}}@Overridepublic void setNonNullParameter(PreparedStatement preparedStatement, int i, String param, JdbcType jdbcType) throws SQLException {preparedStatement.setString(i, encryptBase64(KEY, param));}@Overridepublic String getNullableResult(ResultSet resultSet, String columnName) throws SQLException {String columnValue = resultSet.getString(columnName);return decryptBase64(KEY, columnValue);}@Overridepublic String getNullableResult(ResultSet resultSet, int columnIndex) throws SQLException {String columnValue = resultSet.getString(columnIndex);return decryptBase64(KEY, columnValue);}@Overridepublic String getNullableResult(CallableStatement callableStatement, int columnIndex) throws SQLException {String columnValue = callableStatement.getString(columnIndex);return decryptBase64(KEY, columnValue);}}
使用
@Getter
@Setter
@TableName(value = "records", autoResultMap = true)
@ApiModel(value = "Records 对象", description = "记录")
public class Records extends Model<BottleRecycleRecords> {private static final long serialVersionUID = 1L;@ApiModelProperty("主键")@TableId(value = "id", type = IdType.ASSIGN_ID)private String id;@ApiModelProperty("手机号")@TableField(typeHandler = AesEncryptHandler.class)private String mobile;}