MySQL Java数据脱敏方案(加解密)

Posted 一小页

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了MySQL Java数据脱敏方案(加解密)相关的知识,希望对你有一定的参考价值。

道阻且长,行则将至。请相信我,你一定会更优秀!

目录:

1、应用场景

2、实现方案

2-1、mysql 自带函数 AES_ENCRYPT、AES_DECRYPT 进行加解密转换

2-2、setter、getter 方法中处理

2-3、mybatis自定义类型处理器(TypeHandler)


1、应用场景

系统中的用户信息、订单信息、地址信息等等,都应在公司数据安全红线范围之内,并且,如果公司需要申请一些安全资质,数据保密也是必须拿下的一关,如果发生数据泄露,对公司,对用户都是极大的损失。数据安全架构体系包括很多东西,如DB、日志、文件等数据转换的场景等。本文我们不打散,只说一件事:数据库中的数据脱敏。

例子:MySQL中用户表(user)手机号字段进行数据脱敏。
组件:Springboot + Mybatis + MySQL

2、实现方案

2-1、MySQL 自带函数 AES_ENCRYPT、AES_DECRYPT 进行加解密转换

加密函数:AES_ENCRYPT('待加密串', '自定义秘钥')
解密函数:AES_DECRYPT('待解密串', '自定义秘钥')

SQL示例: 

  • 插入:
insert into user(mobile) values (HEX((AES_ENCRYPT('18800000000', 'b@BRATdBcHOt1&b0'))));
  • 读取:
select mobile from user;
---
C50233E113E08B89F9AB7BD390489B4A
  • 解密读取:
select AES_DECRYPT(UNHEX(mobile), 'b@BRATdBcHOt1&b0') from user;
---
18800000000

mybatis 使用示例:

<insert id = "create" >
	insert into user(mobile) values (HEX((AES_ENCRYPT(#mobile, 'b@BRATdBcHOt1&b0'))));
</insert>
<select id = "listMobile" > 
	select AES_DECRYPT(UNHEX(mobile), 'b@BRATdBcHOt1&b0') from user;
</select>

问题:xml中会有很多秘钥串的地方,如果一处有误,将导致写读均出现问题。

如何做到秘钥的统一管理?

" mybatis全局配置 Configuration中支持全局变量 variables "

Mybatis Configuration类代码示例

> mybatis 全局配置 

@Autowired
private SqlSessionFactory sqlSessionFactory;

sqlSessionFactory.getConfiguration().getVariables().put("mobileEncryptKey", "b@BRATdBcHOt1&b0");

> mapper-xml 代码:

<insert id = "create" >
	insert into user(mobile) values (HEX((AES_ENCRYPT(#mobile, $mobileEncryptKey))));
</insert>
<select id = "listMobile" > 
	select AES_DECRYPT(UNHEX(mobile), $mobileEncryptKey) from user;
</select>

方案一缺点:直接在字段上使用函数急剧拉低MySQL性能,强烈不推荐。

2-2、setter、getter 方法中处理

UserDAO接口中方法参数 UserDO的 setter、getter中做加解密逻辑处理,不影响mapper中sql的编写。

方案二缺点:

  • 在 setter、getter方法中侵入业务逻辑,不易维护,增加排查问题难度。
  • 别的业务需要脱敏时,依然需要对应的业务DO中进行同样处理。侵入性强,扩展性极低。

2-3、mybatis自定义类型处理器(TypeHandler)

" 先来看下mybatis中有哪些我们常用的熟悉的类型处理器,如图:"

> 扩展 TypeHandler 实现

第一步:自定义 JavaType,给个别名

package com.starter.mybatis;

import org.apache.ibatis.type.Alias;


@Alias("mobileSecret")
public class MobileSecret 


 第二步:自定义 JavaType的 Handler

package com.starter.mybatis;

import java.nio.charset.StandardCharsets;
import java.sql.CallableStatement;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

import org.apache.ibatis.type.BaseTypeHandler;
import org.apache.ibatis.type.JdbcType;
import org.apache.ibatis.type.MappedTypes;
import org.springframework.util.Base64Utils;


@MappedTypes(MobileSecret.class)
public class MyEncrTypeHandler extends BaseTypeHandler<String> 
	
	@Override
	public void setNonNullParameter(PreparedStatement ps, int i, String parameter, JdbcType jdbcType)
			throws SQLException 
		
		try 
			String parameterEncode = Base64Utils.encodeToString(parameter.getBytes());
			ps.setString(i, parameterEncode);
		 catch (Exception e) 
			ps.setString(i, parameter);
		
		
	

	@Override
	public String getNullableResult(ResultSet rs, String columnName) throws SQLException 
		
		String columnValue = rs.getString(columnName);
		try 
			byte[] decodeFromString = Base64Utils.decodeFromString(columnValue);
			columnValue = new String(decodeFromString, StandardCharsets.UTF_8);
		 catch (Exception e) 
			
		
		
		return columnValue;
	

	@Override
	public String getNullableResult(ResultSet rs, int columnIndex) throws SQLException 
		return null;
	

	@Override
	public String getNullableResult(CallableStatement cs, int columnIndex) throws SQLException 
		return null;
	


第三步:xml 中代码

<resultMap id="BaseResultMap" type="com.pojo.UserDO">
	<result column="id" property="id" />
    <!--
        等价于:
        <result column="mobile" property="mobile" typeHandler="com.starter.mybatis.MyEncrTypeHandler" />
        下边这行 javaType="mobileSecret",写起来更方便一些,因为我们上边给 MobileSecret.class配置了别名,这样会去找 MobileSecret.class对应的handler是 MyEncrTypeHandler
     -->
	<result column="mobile" property="mobile" javaType="mobileSecret" />
</resultMap>

<!-- 新增 -->
<insert id="add" useGeneratedKeys="true" keyProperty="id">
	insert into `user`(`mobile`) values (#mobile, javaType=mobileSecret)
</insert>
<!-- 查询 -->
<select id="list" resultMap="BaseResultMap">
	select * from user
</select>

第四步、pom.xml 配置

<dependency>
	<groupId>org.mybatis.spring.boot</groupId>
	<artifactId>mybatis-spring-boot-starter</artifactId>
	<version>1.1.1</version>
</dependency>

第五步、application.xml 配置

# 配置别名、自定义TypeHandler处理器包位置
mybatis.type-aliases-package=com.starter.mybatis
mybatis.type-handlers-package=com.starter.mybatis

第五步、完成

> 为什么这样配置就ok了?如果在 bean加载完后再动态给 SqlSessionFactory.getConfigutation中添加别名或自定义类处理器行吗?两张图让你搞明白。

MybatisAutoConfiguration中通过SqlSessionFactoryBean创建SqlSessionFactory

 

SqlSessionFactoryBuilder.build()中解析顺序

解析 mapper-xml是在最后一步,如果在 bean加载完后再动态给 SqlSessionFactory.getConfigutation中添加别名或自定义类处理器,明显已经来不及,在解析 xml时候就会报错:找不到别名或类型处理器。

推荐使用第三种。

  努力改变自己和身边人的生活。

特别希望本文可以对你有所帮助,原创不易,感谢你留个赞和关注,道阻且长,我们并肩前行!

转载请注明出处。感谢大家留言讨论交流。

以上是关于MySQL Java数据脱敏方案(加解密)的主要内容,如果未能解决你的问题,请参考以下文章

Springboot 配置文件隐私数据脱敏的最佳实践(原理+源码)

你还不会搞数据脱敏?MyBatis 插件 + 注解轻松实现数据脱敏,So easy~!

你还不会搞数据脱敏?MyBatis 插件 + 注解轻松实现数据脱敏,So easy~!

3种常见的数据脱敏方案

技术干货丨如何使对称加密“不对称”

SpringBoot中如何灵活的实现接口数据的加解密功能?