快捷導(dǎo)航

自己動(dòng)手編寫(xiě)一個(gè)Mybatis插件之Mybatis脫敏插件

更新時(shí)間：2020年08月11日 10:41:09 作者：碼農(nóng)小胖哥

這篇文章主要介紹了自己動(dòng)手編寫(xiě)一個(gè)Mybatis插件之Mybatis脫敏插件,本文通過(guò)實(shí)例代碼給大家介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值，需要的朋友可以參考下

1. 前言

在日常開(kāi)發(fā)中，身份證號(hào)、手機(jī)號(hào)、卡號(hào)、客戶(hù)號(hào)等個(gè)人信息都需要進(jìn)行數(shù)據(jù)脫敏。否則容易造成個(gè)人隱私泄露，客戶(hù)資料泄露，給不法分子可乘之機(jī)。但是數(shù)據(jù)脫敏不是把敏感信息隱藏起來(lái)，而是看起來(lái)像真的一樣，實(shí)際上不能是真的。我以前的公司就因?yàn)椴恢匾暶撁簦幻麊T工在離職的時(shí)候通過(guò)后臺(tái)的導(dǎo)出功能導(dǎo)出了核心的客戶(hù)資料賣(mài)給了競(jìng)品，給公司造成了重大的損失。當(dāng)然這里有數(shù)據(jù)管理的原因，但是脫敏仍舊是不可忽略的一環(huán)，脫敏可以從一定程度上保證數(shù)據(jù)的合規(guī)使用。下面就是一份經(jīng)過(guò)脫敏的數(shù)據(jù)：

2. Mybatis 脫敏插件

最近在研究Mybatis的插件，所以考慮能不能在ORM中搞一搞脫敏，所以就嘗試了一下，這里分享一下思路。借此也分享一下Mybatis插件開(kāi)發(fā)的思路。

2.1 Mybatis 插件接口

Mybatis中使用插件，需要實(shí)現(xiàn)接口org.apache.ibatis.plugin.Interceptor，如下所示：

public interface Interceptor {

 Object intercept(Invocation invocation) throws Throwable;

 default Object plugin(Object target) {
 return Plugin.wrap(target, this);
 }

 default void setProperties(Properties properties) {
 // NOP
 }

}

這里其實(shí)最核心的是Object intercept(Invocation invocation)方法，這是我們需要實(shí)現(xiàn)的方法。

2.2 Invocation 對(duì)象

那么核心方法中的Invocation 是個(gè)什么概念呢？

public class Invocation {

 private final Object target;
 private final Method method;
 private final Object[] args;

 public Invocation(Object target, Method method, Object[] args) {
 this.target = target;
 this.method = method;
 this.args = args;
 }

 public Object getTarget() {
 return target;
 }

 public Method getMethod() {
 return method;
 }

 public Object[] getArgs() {
 return args;
 }

 public Object proceed() throws InvocationTargetException, IllegalAccessException {
 return method.invoke(target, args);
 }

}

這個(gè)東西包含了四個(gè)概念：

target 攔截的對(duì)象
method 攔截target中的具體方法，也就是說(shuō)Mybatis插件的粒度是精確到方法級(jí)別的。
args 攔截到的參數(shù)。
proceed 執(zhí)行被攔截到的方法，你可以在執(zhí)行的前后做一些事情。

2.3 攔截簽名

既然我們知道了Mybatis插件的粒度是精確到方法級(jí)別的，那么疑問(wèn)來(lái)了，插件如何知道輪到它工作了呢？

所以Mybatis設(shè)計(jì)了簽名機(jī)制來(lái)解決這個(gè)問(wèn)題，通過(guò)在插件接口上使用注解@Intercepts標(biāo)注來(lái)解決這個(gè)問(wèn)題。

@Intercepts(@Signature(type = ResultSetHandler.class,
  method = "handleResultSets",
  args = {Statement.class})

就像上面一樣，事實(shí)上就等于配置了一個(gè)Invocation。

2.4 插件的作用域

那么問(wèn)題又來(lái)了，Mybatis插件能攔截哪些對(duì)象,或者說(shuō)插件能在哪個(gè)生命周期階段起作用呢？它可以攔截以下四大對(duì)象：

Executor 是SQL執(zhí)行器，包含了組裝參數(shù)，組裝結(jié)果集到返回值以及執(zhí)行SQL的過(guò)程，粒度比較粗。
StatementHandler 用來(lái)處理SQL的執(zhí)行過(guò)程，我們可以在這里重寫(xiě)SQL非常常用。
ParameterHandler 用來(lái)處理傳入SQL的參數(shù)，我們可以重寫(xiě)參數(shù)的處理規(guī)則。
ResultSetHandler 用于處理結(jié)果集，我們可以重寫(xiě)結(jié)果集的組裝規(guī)則。

你需要做的就是明確的你的業(yè)務(wù)需要在上面四個(gè)對(duì)象的哪個(gè)處理階段攔截處理即可。

2.5 MetaObject

Mybatis提供了一個(gè)工具類(lèi)org.apache.ibatis.reflection.MetaObject。它通過(guò)反射來(lái)讀取和修改一些重要對(duì)象的屬性。我們可以利用它來(lái)處理四大對(duì)象的一些屬性，這是Mybatis插件開(kāi)發(fā)的一個(gè)常用工具類(lèi)。

Object getValue(String name) 根據(jù)名稱(chēng)獲取對(duì)象的屬性值，支持OGNL表達(dá)式。
void setValue(String name, Object value) 設(shè)置某個(gè)屬性的值。
Class<?> getSetterType(String name) 獲取setter方法的入?yún)㈩?lèi)型。
Class<?> getGetterType(String name) 獲取getter方法的返回值類(lèi)型。

通常我們使用SystemMetaObject.forObject(Object object)來(lái)實(shí)例化MetaObject對(duì)象。你會(huì)在接下來(lái)的實(shí)戰(zhàn)DEMO中看到我使用它。

3. Mybatis 脫敏插件實(shí)戰(zhàn)

接下來(lái)我就把開(kāi)頭的脫敏需求實(shí)現(xiàn)一下。首先需要對(duì)脫敏字段進(jìn)行標(biāo)記并確定使用的脫敏策略。

編寫(xiě)脫敏函數(shù)：

/**
 * 具體策略的函數(shù)
 * @author felord.cn
 * @since 11:24
 **/
public interface Desensitizer extends Function<String,String> {

}

編寫(xiě)脫敏策略枚舉：

/**
 * 脫敏策略.
 *
 * @author felord.cn
 * @since 11 :25
 */
public enum SensitiveStrategy {
 /**
  * Username sensitive strategy.
  */
 USERNAME(s -> s.replaceAll("(\\S)\\S(\\S*)", "$1*$2")),
 /**
  * Id card sensitive type.
  */
 ID_CARD(s -> s.replaceAll("(\\d{4})\\d{10}(\\w{4})", "$1****$2")),
 /**
  * Phone sensitive type.
  */
 PHONE(s -> s.replaceAll("(\\d{3})\\d{4}(\\d{4})", "$1****$2")),

 /**
  * Address sensitive type.
  */
 ADDRESS(s -> s.replaceAll("(\\S{8})\\S{4}(\\S*)\\S{4}", "$1****$2****"));


 private final Desensitizer desensitizer;

 SensitiveStrategy(Desensitizer desensitizer) {
  this.desensitizer = desensitizer;
 }

 /**
  * Gets desensitizer.
  *
  * @return the desensitizer
  */
 public Desensitizer getDesensitizer() {
  return desensitizer;
 }
}

編寫(xiě)脫敏字段的標(biāo)記注解：

@Retention(RetentionPolicy.RUNTIME)
@Target(ElementType.FIELD)
public @interface Sensitive {
 SensitiveStrategy strategy();
}

我們的返回對(duì)象中如果某個(gè)字段需要脫敏，只需要通過(guò)標(biāo)記就可以了。例如下面這樣：

@Data
public class UserInfo {

 private static final long serialVersionUID = -8938650956516110149L;
 private Long userId;
 @Sensitive(strategy = SensitiveStrategy.USERNAME)
 private String name;
 private Integer age;
}

然后就是編寫(xiě)插件了，我可以確定的是需要攔截的是ResultSetHandler對(duì)象的handleResultSets方法，我們只需要實(shí)現(xiàn)插件接口Interceptor并添加簽名就可以了。全部邏輯如下：

@Slf4j
@Intercepts(@Signature(type = ResultSetHandler.class,
  method = "handleResultSets",
  args = {Statement.class}))
public class SensitivePlugin implements Interceptor {
 @SuppressWarnings("unchecked")
 @Override
 public Object intercept(Invocation invocation) throws Throwable {
  List<Object> records = (List<Object>) invocation.proceed();
  // 對(duì)結(jié)果集脫敏
  records.forEach(this::sensitive);
  return records;
 }


 private void sensitive(Object source) {
  // 拿到返回值類(lèi)型
  Class<?> sourceClass = source.getClass();
  // 初始化返回值類(lèi)型的 MetaObject
  MetaObject metaObject = SystemMetaObject.forObject(source);
  // 捕捉到屬性上的標(biāo)記注解 @Sensitive 并進(jìn)行對(duì)應(yīng)的脫敏處理
  Stream.of(sourceClass.getDeclaredFields())
    .filter(field -> field.isAnnotationPresent(Sensitive.class))
    .forEach(field -> doSensitive(metaObject, field));
 }


 private void doSensitive(MetaObject metaObject, Field field) {
  // 拿到屬性名
  String name = field.getName();
  // 獲取屬性值
  Object value = metaObject.getValue(name);
  // 只有字符串類(lèi)型才能脫敏 而且不能為null
  if (String.class == metaObject.getGetterType(name) && value != null) {
   Sensitive annotation = field.getAnnotation(Sensitive.class);
   // 獲取對(duì)應(yīng)的脫敏策略 并進(jìn)行脫敏
   SensitiveStrategy type = annotation.strategy();
   Object o = type.getDesensitizer().apply((String) value);
   // 把脫敏后的值塞回去
   metaObject.setValue(name, o);
  }
 }
}

然后配置脫敏插件使之生效：

@Bean
public SensitivePlugin sensitivePlugin(){
 return new SensitivePlugin();
}

操作查詢(xún)獲得結(jié)果 UserInfo(userId=123123, name=李*龍, age=28) ，成功將指定字段進(jìn)行了脫敏。

補(bǔ)充一句，其實(shí)脫敏也可以在JSON序列化的時(shí)候進(jìn)行。

4. 總結(jié)

今天對(duì)編寫(xiě)Mybatis插件的一些要點(diǎn)進(jìn)行了說(shuō)明，同時(shí)根據(jù)說(shuō)明實(shí)現(xiàn)了一個(gè)脫敏插件。但是請(qǐng)注意一定要熟悉四大對(duì)象的生命周期，否則自寫(xiě)插件可能會(huì)造成意想不到的結(jié)果。

到此這篇關(guān)于自己動(dòng)手編寫(xiě)一個(gè)Mybatis插件之Mybatis脫敏插件的文章就介紹到這了,更多相關(guān)Mybatis脫敏插件內(nèi)容請(qǐng)搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: