MyBatis實現字段加解密的實踐

更新時間：2023年11月14日 10:40:27 作者：十年培訓經驗的菜包

為了數據安全問題,有時候需要將部分敏感字段加密后再入庫，本文主要介紹了MyBatis實現字段加解密的實踐，具有一定的參考價值，感興趣的可以了解一下

背景

互聯(lián)網系統(tǒng)充斥著各種敏感信息，包括各種個人信息、商業(yè)信息等等。按照要求，不允許隱私信息明文存儲，需要進行加密處理，防止造成隱私泄露的風險。
我司作為一個跨境電商公司，各系統(tǒng)中，自然免不了涉及各類敏感信息，并且對各類敏感信息的安全級別進行了劃分，不同等級的加密要求級別有一定的差別。

方案

由于不同的敏感數據需要使用不同的加解密策略，在MySQL層面，無法滿足需求，所以只能在應用代碼層面進行實現。但需要考慮幾個點

盡可能減少對業(yè)務代碼侵入性；
以最小的風險進行改動；
方案可復用，方便拓展；

手動加解密

這是首先被提出來的方案。該方案做法是

在任何涉及到讀取敏感字段的業(yè)務代碼中，進行手動解密操作。
在任何涉及到寫入敏感字段的業(yè)務代碼中，進行手動加密操作。

優(yōu)點：

暫無；

缺點：

侵入業(yè)務代碼，業(yè)務開發(fā)甚至需要關注不同級別的加解密策略；
老舊系統(tǒng)調用復雜，可能出現重復加密或重復解密，導致無法復原原始數據，風險數據非常高；
若數據安全級別變動，加密策略升級，所有可能涉及到的業(yè)務代碼都需要變更，風險半徑無法預測；

綜上所述，該方案完全無法滿足我們對方案的要求，屬于最笨的方案，可以直接say no。

自動加解密

由于無法在MySQL層面實現，又希望盡可能減少對業(yè)務代碼的侵入性，那么任務只能落在ORM框架或半ORM框架上。我們系統(tǒng)使用的是MyBatis，那么利用MyBatis的插件機制來實現自動加解密，是個不錯的選擇。

優(yōu)點：

業(yè)務代碼無需改造，幾乎對業(yè)務代碼無入侵性；
加解密統(tǒng)一入口，風險可控；
方案多個系統(tǒng)通用，加解密策略可隨時拓展；

缺點：

暫無；

實現

編碼

由于敏感數據被劃分成多個不同級別，各個級別使用的加解密算法不同，所以面對這種不同加密算法的場景，策略模式非常適合；

加解密策略

public interface SensitiveStrategy {

    /**
     * 加密
     */
    String encrypt(String value);

    /**
     * 解密
     */
    String decrypt(String value);
}

各種加解密算法，只要實現該接口即可，此處略。

自定義注解

自定義一個字段上的注解，目的是為了讓MyBatis攔截器識別哪些字段需要加解密，加解密的策略是什么。

@Documented
@Retention(RetentionPolicy.RUNTIME)
@Target({ElementType.FIELD, ElementType.ANNOTATION_TYPE})
public @interface SensitiveField {

    Class<? extends SensitiveStrategy> sensitiveStrategy();
}

MyBatis攔截器

我們需要定義一個MyBatis攔截器，該攔截器的作用有以下：

攔截入參，識別被@SensitiveField注解的字段，并使用指定加密策略，對字段內容進行加密；
攔截查詢結果，識別被@SensitiveField注解的字段，并使用指定的解密策略，對字段內容進行解密；

我們知道，MyBatis的攔截器插件，可以對四大組件Executor、StatementHandler、ParameterHandler、ResultSetHandler進行攔截，由于我們只需要對入參和結果進行攔截和修改，所以只需指定攔截ParameterHandler、ResultSetHandler即可。

@Slf4j
@Component
@Intercepts(value = {
        @Signature(type = ParameterHandler.class,method = "setParameters",args = {PreparedStatement.class}),
        @Signature(type = ResultSetHandler.class,method = "handleResultSets",args = {Statement.class})
})
public class SensitiveInterceptor implements Interceptor {
    @Override
    public Object intercept(Invocation invocation) throws Throwable {

        Object target = invocation.getTarget();
        //入參加密
        if (target instanceof ParameterHandler parameterHandler){
            //獲取參數對象
            Object parameterObj = ReflectUtil.getFieldValue(parameterHandler, "parameterObject");
            if (parameterObj != null){
                //獲取參數對象內的字段
                Arrays.stream(ReflectUtil.getFields(parameterObj.getClass()))
                        .filter(field -> String.class.equals(field.getType()))
                        .filter(field -> field.getAnnotation(SensitiveField.class)!=null )
                        .filter(field -> ReflectUtil.getFieldValue(parameterObj,field) != null)
                        .forEach(field -> {
                            SensitiveField sensitiveField = field.getAnnotation(SensitiveField.class);
                            Class<? extends SensitiveStrategy> strategyClazz = sensitiveField.sensitiveStrategy();
                            if (strategyClazz != null){
                                SensitiveStrategy strategy = SpringContext.getBean(strategyClazz);
                                String encrypt = strategy.encrypt(ReflectUtil.getFieldValue(parameterObj, field).toString());
                                ReflectUtil.setFieldValue(parameterObj,field,encrypt);
                            }
                        });
                ReflectUtil.setFieldValue(parameterHandler,"parameterObject",parameterObj);
            }
        }

        Object resultObj = invocation.proceed();

        //出參解密
        if (resultObj != null && target instanceof ResultSetHandler){
            List<?> resultList = (List<?>) resultObj;
            for (Object result : resultList) {
                if (!SimpleTypeRegistry.isSimpleType(result.getClass())){
                    Arrays.stream(ReflectUtil.getFields(result.getClass()))
                            .filter(field -> String.class.equals(field.getType()))
                            .filter(field -> field.getAnnotation(SensitiveField.class)!=null )
                            .filter(field -> ReflectUtil.getFieldValue(result,field) != null)
                            .forEach(field -> {
                                SensitiveField sensitiveField = field.getAnnotation(SensitiveField.class);
                                Class<? extends SensitiveStrategy> strategyClazz = sensitiveField.sensitiveStrategy();
                                if (strategyClazz != null){
                                    SensitiveStrategy strategy = SpringContext.getBean(strategyClazz);
                                    String decrypt = strategy.decrypt(ReflectUtil.getFieldValue(result, field).toString());
                                    ReflectUtil.setFieldValue(result,field,decrypt);
                                }
                            });
                }
            }
            resultObj = resultList;
        }
        return resultObj;
    }

    @Override
    public Object plugin(Object target) {
        return Plugin.wrap(target,this);
    }
}

由于系統(tǒng)是基于SpringBoot的，所以我們將所有實現的加解密策略對象，交給Spring容器管理。在MyBatis攔截器中，直接從Spring容器中獲取對應加解密策略使用接口。