數據加密 - 資料庫隱私欄位組件

来源:https://www.cnblogs.com/cnx01/archive/2022/11/13/16887088.html
-Advertisement-
Play Games

數據加密概述 加密:將明文信息改變為難以讀取的密文內容。 解密:將密文內容轉化為原來數據。 分類 對稱加密:加密與解密密鑰相同。 非對稱加密:加密使用公鑰,公鑰可公開;解密使用私鑰。 相關閱讀: 加密 - wikipedia 資料庫隱私欄位加密註解組件實現 說明 資料庫存儲密文欄位,記憶體可見為明文信 ...


數據加密概述

加密:將明文信息改變為難以讀取的密文內容。
解密:將密文內容轉化為原來數據。

分類

  • 對稱加密:加密與解密密鑰相同。
  • 非對稱加密:加密使用公鑰,公鑰可公開;解密使用私鑰。

相關閱讀:

資料庫隱私欄位加密註解組件實現

說明

  1. 資料庫存儲密文欄位,記憶體可見為明文信息
  2. 可設定欄位保存值支持 整體加密(僅可全部匹配查詢)、模糊加密(支持模糊查詢)
  3. 相關做法: 資料庫隱私欄位加密以及加密後的數據如何進行模糊查詢? - 業餘草

MyBatis-Plus 實現(做法:使用 常規2 處理)

  • 整體加密資料庫欄位長度與保存值長度對應(需要額外存儲一個標識符)

    資料庫欄位長度 字元長度
    varchar(49) 12個中文字元、36個ascii字元
    varchar(97) 24個中文字元、72個ascii字元、3個ascii字元+23個中文字元、68個ascii字元+1個中文字元
    varchar(197) 49個中文字元、145個ascii字元、3個ascii字元+48個中文字元 、 142個ascii字元+1個中文字元
    varchar(253) 63個中文字元、189個ascii字元 、3個ascii字元+62個中文字元 、 186個ascii字元+1個中文字元
  • 模糊加密資料庫欄位長度與保存值長度對應(4個位元組加密一次大致對應8個字元+1個標識符),根據4位英文字元(半形),2個中文字元(全形)為一個檢索條件

    資料庫欄位長度 字元長度
    varchar(99) 12個中文字元、14個ascii字元
    varchar(198) 23個中文字元、25個ascii字元
    varchar(252) 29個中文字元、31個ascii字元

1 :利用 TypeHandler 支持數據加解密轉換

INSERT VALUE、UPDATE ENTITY、SELECT RESULT
只對資料庫和程式之間的數據轉換,查詢條件不會調用。

  • 整體加密類型處理器

    使用示例:
    1. MyBatis-Plus 註解(自動生產 ResultMap ,存在場景不生效)
        @TableField(typeHandler = OverallCryptoTypeHandler.class)
    2. 自定義 ResultMap 配置
        <result column="phone" property="phone" typeHandler="cn.eastx.practice.demo.crypto.config.mp.OverallCryptoTypeHandler" />
    
    整體加密類型處理器 OverallCryptoTypeHandler.java
    @Override
    public void setNonNullParameter(PreparedStatement ps, int i, String parameter, JdbcType jdbcType) throws SQLException {
        /*
            對非null參數值進行加密,需要通過實體類處理方可,支持 INSERT/UPDATE ENTITY
            當前處理 INSERT ENTITY,UPDATE ENTITY 會先通過攔截器處理
            因為攔截器修改元數據將導致實體類屬性值產生變更,所以實體類還是由 TypeHandler 來進行處理
        */
        ps.setString(i, CryptoDataUtil.overallEncrypt(parameter));
    }
    
    @Override
    public String getNullableResult(ResultSet rs, String columnName) throws SQLException {
        // 對可為null的結果進行解密
        return CryptoDataUtil.decrypt(rs.getString(columnName));
    }
    
  • 模糊加密類型處理器
    註意:根據4位英文字元(半形),2個中文字元(全形)為一個檢索條件,如果欄位值較少查詢可能存在問題

        使用示例:
        1. MyBatis-Plus 註解(自動生產 ResultMap ,存在場景不生效)
            @TableField(typeHandler = FuzzyCryptoTypeHandler.class)
        2. 自定義 ResultMap 配置
            <result column="phone" property="phone" typeHandler="cn.eastx.practice.demo.crypto.config.mp.FuzzyCryptoTypeHandler" />
    
    模糊加密類型處理器 FuzzyCryptoTypeHandler.java
    @Override
    public void setNonNullParameter(PreparedStatement ps, int i, String parameter, JdbcType jdbcType) throws SQLException {
        /*
            對非null參數值進行加密,需要通過實體類處理方可,支持 INSERT/UPDATE ENTITY
            當前處理 INSERT ENTITY,UPDATE ENTITY 會先通過攔截器處理
            因為攔截器修改元數據將導致實體類屬性值產生變更,所以實體類還是由 TypeHandler 來進行處理
        */
        ps.setString(i, CryptoDataUtil.fuzzyEncrypt(parameter));
    }
    
    @Override
    public String getNullableResult(ResultSet rs, String columnName) throws SQLException {
        // 對可為null的結果進行解密
        return CryptoDataUtil.decrypt(rs.getString(columnName));
    }
    

2 :利用欄位註解配合 MyBatis 攔截器對條件進行攔截處理

註:目前僅支持簡單查詢處理,複雜查詢可能存在問題。

  • 自定義欄位註解 CryptoCond.java

    • 使用 replacedColumn() 替換 SQL 查詢條件中的欄位名
    • 使用 encryption() 對 SQL 中條件值、參數值進行加密,支持兩種方式(整體匹配、模糊匹配)
    • 使用示例:User.java
  • 自定義 MyBatis 攔截器

    • 實現 Interceptor 介面,重寫攔截器攔截 SQL 邏輯
    • 攔截器執行在 TypeHandler 之前,註意避免衝突
    自定義 MyBatis 攔截器 CryptoCondInterceptor.java
    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        StatementHandler statementHandler = PluginUtils.realTarget(invocation.getTarget());
        MetaObject metaObject = SystemMetaObject.forObject(statementHandler);
        MappedStatement mappedStatement =
                (MappedStatement) metaObject.getValue("delegate.mappedStatement");
        // 支持處理 SELECT、UPDATE、DELETE
        boolean canHandler = Stream.of(SqlCommandType.SELECT, SqlCommandType.UPDATE,
                        SqlCommandType.DELETE)
                .anyMatch(item -> item.equals(mappedStatement.getSqlCommandType()));
        if (canHandler && !getIntercept()) {
            clearIntercept();
            return invocation.proceed();
        }
    
        clearIntercept();
        // 判斷是否有參數需要處理
        BoundSql boundSql = statementHandler.getBoundSql();
        if (Objects.isNull(boundSql.getParameterObject())) {
            return invocation.proceed();
        }
    
        // 獲取自定義註解,通過 MapperID 獲取到 Mapper 對應的實體類,獲取實體類所有註解欄位與註解對應 Map
        Map<String, CryptoCond> condMap = mapEntityFieldCond(mappedStatement.getId());
        if (CollectionUtil.isNotEmpty(condMap)) {
            replaceHandle(mappedStatement.getConfiguration(), condMap, boundSql);
        }
        return invocation.proceed();
    }
        
    // 替換數據處理
    private void replaceHandle(Configuration configuration, Map<String, CryptoCond> condMap,
                            BoundSql boundSql) {
        String sql = boundSql.getSql();
        List<SqlCondOperation> operationList = SqlUtil.listSqlCondOperation(sql);
        if (CollectionUtil.isEmpty(operationList)) {
            return;
        }
        MetaObject paramMetaObject = configuration.newMetaObject(boundSql.getParameterObject());
        List<ParameterMapping> mappings = boundSql.getParameterMappings();
        int condParamStart = SqlUtil.getSqlCondParamStartIdx(sql);
        int mappingStartIdx = 0;
        for (SqlCondOperation operation : operationList) {
            String columnName = operation.getColumnName();
            String condStr = operation.getOriginCond();
            int condNum = SqlUtil.countPreparePlaceholder(condStr);
            CryptoCond ann = condMap.get(operation.getColumnName());
            if (Objects.nonNull(ann)) {
                // 替換查詢條件參數中的列名
                if (StrUtil.isNotBlank(ann.replacedColumn())
                        && condParamStart < operation.getOriginCondStartIdx()) {
                    sql = sql.replace(condStr,
                            condStr.replace(columnName, ann.replacedColumn()));
                }
                // 替換屬性值為加密值
                if (condNum == 0) {
                    // 存在非預編譯語句條件,直接替換 SQL 條件值
                    String propVal = String.valueOf(paramMetaObject.getValue(columnName));
                    String useVal = getCryptoUseVal(ann, propVal);
                    sql = sql.replace(condStr, condStr.replace(propVal, useVal));
                } else {
                    // 預編譯語句條件通過替換條件值處理
                    for (int i = 0; i < condNum; i++) {
                        String propName = mappings.get(mappingStartIdx + i).getProperty();
                        if (!propName.startsWith("et.")) {
                            // 非實體類屬性進行值替換,實體類屬性通過 TypeHandler 處理
                            String propVal = String.valueOf(paramMetaObject.getValue(propName));
                            paramMetaObject.setValue(propName, getCryptoUseVal(ann, propVal));
                        }
                    }
                }
            }
            mappingStartIdx += condNum;
        }
        ReflectUtil.setFieldValue(boundSql, "sql", sql);
    }
    

3 :相關彙總

測試

  • 執行 /resources/db/schema.sql 創建資料庫( java-practice-demos )、示例表( crypto-user )
  • 用戶表 Service 層 IUserService.java
  • 用戶表 Service 層 測試 UserServiceTest.java
    測試結果

使用問題

  • TypeHandler 不起效

    • 在 xml 中自定義 ResultMap ,示例:UserMapper.xml
    點擊查看代碼 UserMapper.xml
    <!-- 使用自定義SQL時,對於加密處理需要使用ResultMap作為返回對象,否則對解析成實際數據會存在問題 -->
    <resultMap id="BaseResultMap" type="cn.eastx.practice.demo.crypto.pojo.po.User">
        <result column="id" property="id" />
        <result column="name" property="name" />
        <result column="password" property="password" />
        <result column="salt" property="salt" />
        <result column="phone" property="phone" typeHandler="cn.eastx.practice.demo.crypto.config.mp.OverallCryptoTypeHandler" />
        <result column="email" property="email" typeHandler="cn.eastx.practice.demo.crypto.config.mp.FuzzyCryptoTypeHandler" />
        <result column="create_time" property="createTime" />
        <result column="update_time" property="updateTime" />
    </resultMap>
    
  • 加密後解密數據亂碼

    • 可能是密鑰存在問題,建議重新生成
  • CryptoCondInterceptor 不起效

    • 設置 CryptoCondInterceptor.setIntercept(false)
    • 在實體類上相應欄位設置 @CryptoCond ,示例:User.java
    用戶實體類 User.java
    @Data
    @TableName(value = "crypto_user", autoResultMap = true)
    public class User {
        /**
        * 用戶表主鍵ID
        */
        private Long id;
        /**
        * 用戶名
        */
        private String name;
        /**
        * 加密後的密碼,MD5加鹽
        */
        private String password;
        /**
        * 加密密碼使用的鹽
        */
        private String salt;
        /**
        * 手機號碼,整體加密
        */
        @TableField(typeHandler = OverallCryptoTypeHandler.class)
        @CryptoCond(encryption = CryptoCond.EncryptionEnum.DEFAULT_OVERALL)
        private String phone;
        /**
        * 郵箱,模糊加密
        */
        @TableField(typeHandler = FuzzyCryptoTypeHandler.class)
        @CryptoCond(encryption = CryptoCond.EncryptionEnum.DEFAULT_FUZZY)
        private String email;
        /**
        * 創建時間
        */
        @TableField(fill = INSERT)
        private LocalDateTime createTime;
        /**
        * 更新時間
        */
        @TableField(fill = INSERT_UPDATE)
        private LocalDateTime updateTime;
    }
    
    • Mapper 實現 BaseMapper 並指定實體類,示例:public interface UserMapper extends BaseMapper<User>
    • 將攔截器加入 Spring IOC 管理
  • MySQL 異常

參考

其他

demo 地址:https://github.com/EastX/java-practice-demos/tree/main/demo-crypto

推薦閱讀:

作者:EastX

本文來自博客園,轉載請註明原文鏈接:https://www.cnblogs.com/cnx01/p/16887088.html


您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 背景 隨著移動設備的普及,越來越多的業務具備了時空屬性,例如快遞,試試跟蹤包裹、快遞員位置。例如實體,具備了空間屬性。 例如餐飲配送,送貨員位置屬性。例如車輛,實時位置。等等。 其中兩大需求包括: 1、對象位置實時跟蹤,例如實時查詢某個位點附近、或某個多邊形區域內的送貨員。 2、對象位置軌跡記錄和分 ...
  • 7.1 資料庫設計概述: 資料庫設計一般定義:資料庫設計是指對於一個給定的應用環境,構造(設計)優化的資料庫邏輯模式和物理結構,並據此建立資料庫及其應用系統,使之能夠有效地存儲和管理數據,滿足各種用戶的應用需求,包括信息管理要求和數據操作要求 定的應用環境:一個資料庫不可能什麼數據都接收,如在學校或 ...
  • PostgreSQL , 電子圍欄 , 共用自行車 , 共用充電寶 , 共用xxx , 菜鳥 , 航空管制 , 無人飛行器 , pipelinedb , 流式計算 ...
  • 解構賦值 通過解構賦值,可以快速從對象或者數組中取出屬性或者數值。 解構賦值 可以通過定位到數組或者對象的某一個位置,將值直接賦給一個或多個變數。 const arr = ['dasha', 'ersha', 'gangdan'] let [a, b, c] = arr //a='dasha' b= ...
  • 俗話說,人靠衣裝,馬靠鞍。官網首頁是產品或公司的臉面,必須要大氣。 原來舊版的支付寶首頁,有個大視頻作為頁面背景一直播放展示,效果很贊,所以實現了下 先看看效果: 亮點部分 大視頻是絕對定位,定在最下麵,上面的文字是絕對定位,定在最上面。還加了一層半透明的div藍色調。 文案的居中是使用的 disp ...
  • ArrayList 概述 ArrayList 是一種變長的集合類,底層是基於數組來實現的,所以 ArrayList 查詢效率高、增刪效率低 ArrayList 集合中的元素是有序、可重覆的,且可以存儲 null 空值 當每次向 ArrayList 容器中添加元素時,會進行容量檢查:當往 ArrayL ...
  • 當年學習C語言的第一門課就提到過標記(Token)的概念,不過,相信在多年之後你再次聽到這個術語時會一臉懵逼,比如我。那麼就來聊聊比較冷門的預處理字元串操作符吧。 ...
  • 指向類成員(成員變數和成員方法)的指針 1:定義一個指針指向類的普通成員變數 示例代碼1 點擊查看代碼 class Test2{ public: int ma; static int mb; void f1(){cout<<"Test::void f1()"<<endl;} static void ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...