Mybatis 实现数据加密
背景
在我们业务开发中会保存一些用户的敏感信息,比如:手机号、银行卡等信息,如果这些信息以明文的方式保存,那么是不安全的。假如:黑客黑进了数据库,或者离职人员导出了数据,那么就可能导致这些敏感数据的泄漏。随着当下信息安全法规不断完善和健全,我们系统对于用户敏感数据需要进行加解密处理。因此我们就需要找到一种方法来解决这个问题。
解决方案
对于系统中使用了Mybatis作为数据库持久层,可以使用 Mybatis 的 TypeHandler 或 Plugin 来解决。
TypeHandler : 需要我们在某些列上手动指定 typeHandler 来选择使用那个typeHandler或者根据 @MappedJdbcTypes 和 @MappedTypes 注解来自行推断。
- 注解方式
注意:该方式要在实体类的 @TableName 注解中将 autoResultMap 设置为 true
@ApiModelProperty("手机号")
@TableField(typeHandler = AesEncryptHandler.class)
private String mobile;
- XML 配置文件方式
<result column="phone" property="phone" typeHandler="top.chenfu.h5.config.AesEncryptHandler"/>
案例
AesEncryptHandler
package top.chenfu.h5.config;
import lombok.extern.slf4j.Slf4j;
import org.apache.ibatis.type.BaseTypeHandler;
import org.apache.ibatis.type.JdbcType;
import javax.crypto.Cipher;
import javax.crypto.KeyGenerator;
import javax.crypto.SecretKey;
import javax.crypto.spec.SecretKeySpec;
import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.sql.CallableStatement;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;
import java.util.Base64;
@Slf4j
public class AesEncryptHandler extends BaseTypeHandler<String> {
public static final String KEY = "chenfu";
private final static String ALGORITHM = "AES";
public static String decryptBase64(String key, String content) {
byte[] decodeContent = Base64.getDecoder().decode(content);
return decrypt(key, decodeContent);
}
/**
* @param seed 种子数据
* @return 密钥数据
*/
private static byte[] genKey(byte[] seed) {
byte[] rawKey = null;
try {
KeyGenerator kgen = KeyGenerator.getInstance(ALGORITHM);
SecureRandom secureRandom = SecureRandom.getInstance("SHA1PRNG");
secureRandom.setSeed(seed);
// AES加密数据块分组长度必须为128比特,密钥长度可以是128比特、192比特、256比特中的任意一个
kgen.init(128, secureRandom);
SecretKey secretKey = kgen.generateKey();
rawKey = secretKey.getEncoded();
} catch (NoSuchAlgorithmException ignored) {
}
return rawKey;
}
/**
* @param encrypted 密文字节数组
* @param key 密钥
* @return 解密后的字符串
*/
private static String decrypt(String key, byte[] encrypted) {
byte[] rawKey = genKey(key.getBytes());
try {
SecretKeySpec secretKeySpec = new SecretKeySpec(rawKey, ALGORITHM);
Cipher cipher = Cipher.getInstance(ALGORITHM);
cipher.init(Cipher.DECRYPT_MODE, secretKeySpec);
byte[] decrypted = cipher.doFinal(encrypted);
return new String(decrypted);
} catch (Exception e) {
log.debug("解密失败以为你返回原值");
return "";
}
}
@Override
public void setNonNullParameter(PreparedStatement preparedStatement, int i, String param, JdbcType jdbcType) throws SQLException {
preparedStatement.setString(i, encryptBase64(KEY, param));
}
@Override
public String getNullableResult(ResultSet resultSet, String columnName) throws SQLException {
String columnValue = resultSet.getString(columnName);
return decryptBase64(KEY, columnValue);
}
@Override
public String getNullableResult(ResultSet resultSet, int columnIndex) throws SQLException {
String columnValue = resultSet.getString(columnIndex);
return decryptBase64(KEY, columnValue);
}
@Override
public String getNullableResult(CallableStatement callableStatement, int columnIndex) throws SQLException {
String columnValue = callableStatement.getString(columnIndex);
return decryptBase64(KEY, columnValue);
}
}
使用
@Getter
@Setter
@TableName(value = "records", autoResultMap = true)
@ApiModel(value = "Records 对象", description = "记录")
public class Records extends Model<BottleRecycleRecords> {
private static final long serialVersionUID = 1L;
@ApiModelProperty("主键")
@TableId(value = "id", type = IdType.ASSIGN_ID)
private String id;
@ApiModelProperty("手机号")
@TableField(typeHandler = AesEncryptHandler.class)
private String mobile;
}
