使用Mybatis的TypeHandler加解密數據

1、背景

在咱們數據庫中有些時候會保存一些用戶的敏感信息，好比： 手機號、銀行卡等信息，若是這些信息以明文的方式保存，那麼是不安全的。假如： 黑客黑進了數據庫，或者離職人員導出了數據，那麼就可能致使這些敏感數據的泄漏。所以咱們就須要找到一種方法來解決這個問題。

2、解決方案

因爲咱們系統中使用了Mybatis做爲數據庫持久層，所以決定使用Mybatis的TypeHandler或Plugin來解決。

• TypeHandler : 須要咱們在某些列上手動指定 typeHandler 來選擇使用那個typeHandler或者根據@MappedJdbcTypes 和 @MappedTypes註解來自行推斷。

  <result column="phone" property="phone" typeHandler="com.huan.study.mybatis.typehandler.EncryptTypeHandler"/>

• Plugin : 能夠攔截系統中的 select、insert、update、delete等語句，也能獲取到sql執行前的參數和執行後的數據。

通過考慮，決定使用TypeHandler來加解密數據。

3、需求

咱們有一張客戶表customer，裏面有客戶手機號(phone)和客戶地址(address)等字段，其中客戶手機號(phone)是須要加密保存到數據庫中的。

一、在添加客戶信息時，自動將客戶手機號加密保存到數據中。

二、在查詢客戶信息時，自動解密客戶手機號。

4、實現思路

一、編寫一個實體類，凡是此實體類的數據都表示須要加解密的

public class Encrypt {
    private String value;

    public Encrypt() {
    }

    public Encrypt(String value) {
        this.value = value;
    }

    public String getValue() {
        return value;
    }

    public void setValue(String value) {
        this.value = value;
    }
}

二、編寫一個加解密的TypeHandler

• 設置參數時，加密數據。
• 從數據庫獲取記錄時，解密數據。

package com.huan.study.mybatis.typehandler;

import cn.hutool.crypto.SecureUtil;
import cn.hutool.crypto.symmetric.AES;
import org.apache.ibatis.type.BaseTypeHandler;
import org.apache.ibatis.type.JdbcType;
import org.apache.ibatis.type.MappedJdbcTypes;
import org.apache.ibatis.type.MappedTypes;

import java.nio.charset.StandardCharsets;
import java.sql.CallableStatement;
import java.sql.PreparedStatement;
import java.sql.ResultSet;
import java.sql.SQLException;

/**
 * 加解密TypeHandler
 *
 * @author huan.fu 2021/5/18 - 上午9:20
 */
@MappedJdbcTypes(JdbcType.VARCHAR)
@MappedTypes(Encrypt.class)
public class EncryptTypeHandler extends BaseTypeHandler<Encrypt> {

    private static final byte[] KEYS = "12345678abcdefgh".getBytes(StandardCharsets.UTF_8);

    /**
     * 設置參數
     */
    @Override
    public void setNonNullParameter(PreparedStatement ps, int i, Encrypt parameter, JdbcType jdbcType) throws SQLException {
        if (parameter == null || parameter.getValue() == null) {
            ps.setString(i, null);
            return;
        }
        AES aes = SecureUtil.aes(KEYS);
        String encrypt = aes.encryptHex(parameter.getValue());
        ps.setString(i, encrypt);
    }

    /**
     * 獲取值
     */
    @Override
    public Encrypt getNullableResult(ResultSet rs, String columnName) throws SQLException {
        return decrypt(rs.getString(columnName));
    }

    /**
     * 獲取值
     */
    @Override
    public Encrypt getNullableResult(ResultSet rs, int columnIndex) throws SQLException {
        return decrypt(rs.getString(columnIndex));
    }

    /**
     * 獲取值
     */
    @Override
    public Encrypt getNullableResult(CallableStatement cs, int columnIndex) throws SQLException {
        return decrypt(cs.getString(columnIndex));
    }

    public Encrypt decrypt(String value) {
        if (null == value) {
            return null;
        }
        return new Encrypt(SecureUtil.aes(KEYS).decryptStr(value));
    }
}

注意⚠️：

1. @MappedTypes：表示該處理器處理的java類型是什麼。
2. @MappedJdbcTypes：表示處理器處理的Jdbc類型。

三、sql語句中寫法

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="com.huan.study.mybatis.mappers.CustomerMapper">

    <resultMap id="BaseResultMapper" type="com.huan.study.mybatis.entity.Customer">
        <id column="id" property="id"/>
        <result column="phone" property="phone"/>
        <result column="address" property="address"/>
    </resultMap>

    <insert id="addCustomer">
        insert into customer(phone,address) values (#{phone},#{address})
    </insert>

    <select id="findCustomer" resultMap="BaseResultMapper">
        select * from customer where phone = #{phone}
    </select>

</mapper>

SQL中沒有什麼特殊的寫法。

四、配置文件中指定Typehandler的包路徑

mybatis.type-handlers-package=com.huan.study.mybatis.typehandler

五、編寫後臺代碼

1. 提供一個添加方法
2. 提供一個根據手機號查詢的方法

後臺代碼比較簡單，直接查看 https://gitee.com/huan1993/spring-cloud-parent/tree/master/mybatis/mybatis-typehandler-encrypt。
貼一個mapper層的截圖。

六、測試結果

從測試結果中可知，添加數據時，須要加密的數據(phone)在數據庫中已經加密了，在查詢的時候，加密的數據已經自動解密了。

5、實現代碼

後臺代碼： https://gitee.com/huan1993/spring-cloud-parent/tree/master/mybatis/mybatis-typehandler-encrypt

6、參考文檔

一、https://mybatis.org/mybatis-3/zh/configuration.html#typeHandlers

二、https://github.com/mybatis/spring-boot-starter