mybatis拦截器插件实现数据库字段加解密

1.设计思路

加密时机,入库前:拦截parameterhandler.setparameters,

解密时机,出库后,拦截resultsethandler.handleresultsets,

哪些字段要加密,配置化,指定表名,字段名

密文查询like查询,需要额外处理,密文无法like,

密文等值查询,需要先将查询参数加密后再对比

密钥管理,不硬编码,支持外部注入

2.拦截点选择

写入流程:Java对象------parameterhandler.setparameters(加密点)------perparedstatement------DB,

读取流程:DB------resultset------resultsethandler.handleresultsets(解密点)------Java对象

3.整体结构

table,field存储,用copyonwritearraylist,读多写少,原子替换,无并发问题

加解密实现,encryptplugin插件与decryptplugin插件,

加解密算法,aesencryptor(AES加解密),AES/ECB/PKCS5Padding

密钥存储外部文件读取注入,测试,预生产,生产,无泄密风险,(配置类spi机制注入,条件注解读取)

4.主要实现

配置加密,aes加解密器,入库拦截器,出库拦截器,查询条件拦截器(等值查询)自动配置类,自动配置类自动注入

5.关键问题解决

like模糊查询

密文无法like,,需要冗余字段方案,

增加明文摘要字段,取前四位或者后四位,加密时同时写入,查询时对前置匹配,先缩小范围,再在内存中匹配正常内容

范围查询

密文无法比较大小

增加明文分区字段,支持筛选分区,如年龄段20-30,30-40

表名,字段不明显

通过注解显示指定表名,字段,反射获取

密钥轮换

支持多密钥版本,存储map<string,secretkeyspec>keymap

使用typehandler与拦截器对比,

typehandler 拦截器

字段级精准控制,表级全局控制

xml需显式声明,业务代码零入侵

新增字段忘记声明则明文入库,配置表名字段即可

where条件也要typehandler,自动拦截加密,

适配少量敏感字段,多表多字段全局加密

相关推荐
risc1234561 天前
Roaring Bitmap
java·开发语言·mybatis
Wang's Blog2 天前
JavaWeb快速入门: MyBatis入门与实战
java·mybatis
前端炒粉2 天前
马克思主义基本原理在MyBatis框架中的指导作用探析
mybatis·马克思主义
.Hypocritical.2 天前
MyBatis-Plus笔记
mybatis·mybatisplus
折哥的程序人生 · 物流技术专研3 天前
Java面试通关⑩:MyBatis核心源码全集
mybatis·校招·java面试·orm框架·源码解析·数据库交互·社招
SeeYa-J3 天前
MyBatis(数据持久层,❗ “接口 = SQL执行器”)
mybatis
骑士雄师3 天前
java面试题:jvm ,mybatis
java·jvm·mybatis
风中芦苇啊4 天前
Java MyBatis 实战:如何通过 SQL 查询返回 List<Map> 数据格式
java·sql·mybatis
脑子运行超载4 天前
Jackson处理和mybatis的xml转换问题
xml·jackson·mybatis·javatype
杨运交4 天前
[042][数据模块]Mybatis Plus 数据库级租户:基于多数据源路由的动态隔离实现
数据库·oracle·mybatis