spring boot JPA加密解密字段实践记录

项目需要给敏感字段在数据库层面加密，读取后做解密。
最开始考虑在代码里做加密解密，写好工具方法，密钥在项目里放着——不科学，修改量大——放弃；
后来发现可以使用注释ColumnTransformer注释（密钥写在数据库函数里），工作量立刻降低很多。

一开始考虑直接使用数据库提供的函数做加密解密，类似：

    @ColumnTransformer(
            read = "AES_DECRYPT(UNHEX(company_name),'system_word') ",
            write = "HEX(AES_ENCRYPT(?, 'system_word'))"
     )

遇到乱码……
所以使用 CONVERT(DES_DECRYPT(UNHEX(name),'key')USING UTF8)这类处理方式，但是发现执行JpaRepository的方法，会把表别名加到USING UTF8前面（大概类似select u.xxx, CONVERT(DES_DECRYPT(UNHEX(name),'key') u.`USING UTF8`) from sys_user u 记不清了），导致sql执行失败！（项目引用的hibernate版本是5.0.11）
最终还是使用自定义函数，类似：

    @ColumnTransformer(
            read = "decryptFun(dealer_name)",
            write = "encryptFun(?)"
    )再把自定义sql 的地方都找出来改。此时遇到问题：

@Query(value = "select * from table t where t.id = ?1",nativeQuery = true)
这类使用*查询的不会调用注释解密数据，解决方法可以：
@Query(value = "select t from P2pTelCheckLog t where t.appId = ?1")
或者
@Query(value = "select t.id,decryptFun(t.name)... from table t where t.id = ?1",nativeQuery = true)

--------------
有些东西是逃不掉的，如果一开始就能规范这些，也不用几天内就要整理几个项目。不过一开始也不知道等保要搞这些，好像一直都是要过什么，再搞什么。。。
但是操作日志还是建议一开始就做好。