Java Mybatis

1、背景

在实际生产项目中,经常需要对如身份证信息、手机号、真实姓名等的敏感数据进行加密数据库存储,但在业务代码中对敏感信息进行手动加解密则十分不优雅,甚至会存在错加密、漏加密、业务人员需要知道实际的加密规则等的情况。介绍使用SpringBoot+Mybatis拦截器+自定义注解的形式对敏感数据进行存储前拦截加密的详细过程。

2、什么是Mybatis Plugin

在Mybatis官方文档中,对于Mybatis plugin的的介绍是这样的:
MyBatis 允许在已映射语句执行过程中的某一点进行拦截调用。默认情况下,MyBatis 允许使用插件来拦截的方法调用包括:

  1. //语句执行拦截
  2. Executor (update, query, flushStatements, commit, rollback, getTransaction, close, isClosed)
  3. // 参数获取、设置时进行拦截
  4. ParameterHandler (getParameterObject, setParameters)
  5. // 对返回结果进行拦截
  6. ResultSetHandler (handleResultSets, handleOutputParameters)
  7. //sql语句拦截
  8. StatementHandler (prepare, parameterize, batch, update, query)

简而言之,即在执行sql的整个周期中,可以任意切入到某一点对sql的参数、sql执行结果集、sql语句本身等进行切面处理。基于这个特性,便可以使用其需要进行加密的数据进行切面统一加密处理了(分页插件 pageHelper 就是这样实现数据库分页查询的)。

3、实现基于注解的敏感信息加解密拦截器

3.1 实现思路

对于数据的加密与解密,应当存在两个拦截器对数据进行拦截操作
参照官方文档,因此此处应当使用ParameterHandler拦截器对入参进行加密
使用ResultSetHandler拦截器对出参进行解密操作。
2021-06-19-20-20-08-703234.png
目标需要加密、解密的字段可能需要灵活变更,此时定义一个注解,对需要加密的字段进行注解,那么便可以配合拦截器对需要的数据进行加密与解密操作了。
Mybatis的interceptor接口有以下方法需要实现。

  1. public interface Interceptor {
  2. //主要参数拦截方法
  3. Object intercept(Invocation invocation) throws Throwable;
  4. //mybatis插件链
  5. default Object plugin(Object target) {return Plugin.wrap(target, this);}
  6. //自定义插件配置文件方法
  7. default void setProperties(Properties properties) {}
  8. }

3.2 定义需要加密解密的敏感信息注解

定义注解敏感信息类(如实体类POJO\PO)的注解

  1. /**
  2. * 注解敏感信息类的注解
  3. */
  4. @Inherited
  5. @Target({ ElementType.TYPE })
  6. @Retention(RetentionPolicy.RUNTIME)
  7. public @interface SensitiveData {
  8. }

定义注解敏感信息类中敏感字段的注解

  1. /**
  2. * 注解敏感信息类中敏感字段的注解
  3. */
  4. @Inherited
  5. @Target({ ElementType.Field })
  6. @Retention(RetentionPolicy.RUNTIME)
  7. public @interface SensitiveField {
  8. }

3.3 定义加密接口及其实现类

定义加密接口,方便以后拓展加密方法(如AES加密算法拓展支持PBE算法,只需要注入时指定一下便可)

  1. public interface EncryptUtil {
  2. /**
  3. * 加密
  4. *
  5. * @param declaredFields paramsObject所声明的字段
  6. * @param paramsObject mapper中paramsType的实例
  7. * @return T
  8. * @throws IllegalAccessException 字段不可访问异常
  9. */
  10. <T> T encrypt(Field[] declaredFields, T paramsObject) throws IllegalAccessException;
  11. }

EncryptUtil 的AES加密实现类,此处AESUtil为自封装的AES加密工具,需要的小伙伴可以自行封装,本文不提供。

  1. @Component
  2. public class AESEncrypt implements EncryptUtil {
  3. @Autowired
  4. AESUtil aesUtil;
  5. /**
  6. * 加密
  7. *
  8. * @param declaredFields paramsObject所声明的字段
  9. * @param paramsObject mapper中paramsType的实例
  10. * @return T
  11. * @throws IllegalAccessException 字段不可访问异常
  12. */
  13. @Override
  14. public <T> T encrypt(Field[] declaredFields, T paramsObject) throws IllegalAccessException {
  15. for (Field field : declaredFields) {
  16. //取出所有被EncryptDecryptField注解的字段
  17. SensitiveField sensitiveField = field.getAnnotation(SensitiveField.class);
  18. if (!Objects.isNull(sensitiveField)) {
  19. field.setAccessible(true);
  20. Object object = field.get(paramsObject);
  21. //暂时只实现String类型的加密
  22. if (object instanceof String) {
  23. String value = (String) object;
  24. //加密 这里我使用自定义的AES加密工具
  25. field.set(paramsObject, aesUtil.encrypt(value));
  26. }
  27. }
  28. }
  29. return paramsObject;
  30. }
  31. }

3.4 实现入参加密拦截器

Myabtis包中的org.apache.ibatis.plugin.Interceptor拦截器接口要求实现以下三个方法

  1. public interface Interceptor {
  2. //核心拦截逻辑
  3. Object intercept(Invocation invocation) throws Throwable;
  4. //拦截器链
  5. default Object plugin(Object target) {return Plugin.wrap(target, this);}
  6. //自定义配置文件操作
  7. default void setProperties(Properties properties) { }
  8. }

因此,参考官方文档的示例,自定义一个入参加密拦截器。
@Intercepts 注解开启拦截器,@Signature 注解定义拦截器的实际类型。
@Signature

  • type 属性指定当前拦截器使用StatementHandlerResultSetHandlerParameterHandlerExecutor的一种
  • method 属性指定使用以上四种类型的具体方法(可进入class内部查看其方法)。
  • args 属性指定预编译语句

此处使用了 ParameterHandler.setParamters()方法,拦截mapper.xml中paramsType的实例(即在每个含有paramsType属性mapper语句中,都执行该拦截器,对paramsType的实例进行拦截处理)

  1. /**
  2. * 加密拦截器
  3. * 注意@Component注解一定要加上
  4. *
  5. * @author : tanzj
  6. * @date : 2020/1/19.
  7. */
  8. @Slf4j
  9. @Component
  10. @Intercepts({
  11. @Signature(type = ParameterHandler.class, method = "setParameters", args = PreparedStatement.class),
  12. })
  13. public class EncryptInterceptor implements Interceptor {
  14. private final EncryptDecryptUtil encryptUtil;
  15. @Autowired
  16. public EncryptInterceptor(EncryptDecryptUtil encryptUtil) {
  17. this.encryptUtil = encryptUtil;
  18. }
  19. @Override
  20. @Override
  21. public Object intercept(Invocation invocation) throws Throwable {
  22. //@Signature 指定了 type= parameterHandler 后,这里的 invocation.getTarget() 便是parameterHandler
  23. //若指定ResultSetHandler ,这里则能强转为ResultSetHandler
  24. ParameterHandler parameterHandler = (ParameterHandler) invocation.getTarget();
  25. // 获取参数对像,即 mapper 中 paramsType 的实例
  26. Field parameterField = parameterHandler.getClass().getDeclaredField("parameterObject");
  27. parameterField.setAccessible(true);
  28. //取出实例
  29. Object parameterObject = parameterField.get(parameterHandler);
  30. if (parameterObject != null) {
  31. Class<?> parameterObjectClass = parameterObject.getClass();
  32. //校验该实例的类是否被@SensitiveData所注解
  33. SensitiveData sensitiveData = AnnotationUtils.findAnnotation(parameterObjectClass, SensitiveData.class);
  34. if (Objects.nonNull(sensitiveData)) {
  35. //取出当前当前类所有字段,传入加密方法
  36. Field[] declaredFields = parameterObjectClass.getDeclaredFields();
  37. encryptUtil.encrypt(declaredFields, parameterObject);
  38. }
  39. }
  40. return invocation.proceed();
  41. }
  42. /**
  43. * 切记配置,否则当前拦截器不会加入拦截器链
  44. */
  45. @Override
  46. public Object plugin(Object o) {
  47. return Plugin.wrap(o, this);
  48. }
  49. //自定义配置写入,没有自定义配置的可以直接置空此方法
  50. @Override
  51. public void setProperties(Properties properties) {
  52. }
  53. }

至此完成自定义加密拦截加密。

3.5 定义解密接口及其实现类

解密接口,其中result为mapper.xml中resultType的实例。

  1. public interface DecryptUtil {
  2. /**
  3. * 解密
  4. *
  5. * @param result resultType的实例
  6. * @return T
  7. * @throws IllegalAccessException 字段不可访问异常
  8. */
  9. <T> T decrypt(T result) throws IllegalAccessException;
  10. }

解密接口AES工具解密实现类

  1. public class AESDecrypt implements DecryptUtil {
  2. @Autowired
  3. AESUtil aesUtil;
  4. /**
  5. * 解密
  6. *
  7. * @param result resultType的实例
  8. * @return T
  9. * @throws IllegalAccessException 字段不可访问异常
  10. */
  11. @Override
  12. public <T> T decrypt(T result) throws IllegalAccessException {
  13. //取出resultType的类
  14. Class<?> resultClass = result.getClass();
  15. Field[] declaredFields = resultClass.getDeclaredFields();
  16. for (Field field : declaredFields) {
  17. //取出所有被EncryptDecryptField注解的字段
  18. SensitiveField sensitiveField = field.getAnnotation(SensitiveField.class);
  19. if (!Objects.isNull(sensitiveField)) {
  20. field.setAccessible(true);
  21. Object object = field.get(result);
  22. //只支持String的解密
  23. if (object instanceof String) {
  24. String value = (String) object;
  25. //对注解的字段进行逐一解密
  26. field.set(result, aesUtil.decrypt(value));
  27. }
  28. }
  29. }
  30. return result;
  31. }
  32. }

3.6 定义出参解密拦截器

  1. @Slf4j
  2. @Component
  3. @Intercepts({
  4. @Signature(type = ResultSetHandler.class, method = "handleResultSets", args = {Statement.class})
  5. })
  6. public class DecryptInterceptor implements Interceptor {
  7. @Autowired
  8. DecryptUtil aesDecrypt;
  9. @Override
  10. public Object intercept(Invocation invocation) throws Throwable {
  11. //取出查询的结果
  12. Object resultObject = invocation.proceed();
  13. if (Objects.isNull(resultObject)) {
  14. return null;
  15. }
  16. //基于selectList
  17. if (resultObject instanceof ArrayList) {
  18. ArrayList resultList = (ArrayList) resultObject;
  19. if (!CollectionUtils.isEmpty(resultList) && needToDecrypt(resultList.get(0))) {
  20. for (Object result : resultList) {
  21. //逐一解密
  22. aesDecrypt.decrypt(result);
  23. }
  24. }
  25. //基于selectOne
  26. } else {
  27. if (needToDecrypt(resultObject)) {
  28. aesDecrypt.decrypt(resultObject);
  29. }
  30. }
  31. return resultObject;
  32. }
  33. private boolean needToDecrypt(Object object) {
  34. Class<?> objectClass = object.getClass();
  35. SensitiveData sensitiveData = AnnotationUtils.findAnnotation(objectClass, SensitiveData.class);
  36. return Objects.nonNull(sensitiveData);
  37. }
  38. @Override
  39. public Object plugin(Object target) {
  40. return Plugin.wrap(target, this);
  41. }
  42. @Override
  43. public void setProperties(Properties properties) {
  44. }
  45. }

至此完成解密拦截器的配置工作。

3.7 注解实体类中需要加解密的字段

2021-06-19-20-20-08-848844.png
此时在mapper中,指定paramType=User resultType=User 便可实现脱离业务层,基于Mybatis拦截器的加解密操作。