spring boot JPA加密解密字段实践记录
2018-02-10 17:19
1501 查看
项目需要给敏感字段在数据库层面加密,读取后做解密。
最开始考虑在代码里做加密解密,写好工具方法,密钥在项目里放着——不科学,修改量大——放弃;
后来发现可以使用注释ColumnTransformer注释(密钥写在数据库函数里),工作量立刻降低很多。
一开始考虑直接使用数据库提供的函数做加密解密,类似:
@ColumnTransformer(
read = "AES_DECRYPT(UNHEX(company_name),'system_word') ",
write = "HEX(AES_ENCRYPT(?, 'system_word'))"
)
遇到乱码……
所以使用 CONVERT(DES_DECRYPT(UNHEX(name),'key')USING UTF8)这类处理方式,但是发现执行JpaRepository的方法,会把表别名加到USING UTF8前面(大概类似select u.xxx, CONVERT(DES_DECRYPT(UNHEX(name),'key') u.`USING UTF8`) from sys_user u 记不清了),导致sql执行失败!(项目引用的hibernate版本是5.0.11)
最终还是使用自定义函数,类似:
@ColumnTransformer(
read = "decryptFun(dealer_name)",
write = "encryptFun(?)"
)再把自定义sql 的地方都找出来改。此时遇到问题:
@Query(value = "select * from table t where t.id = ?1",nativeQuery = true)
这类使用*查询的不会调用注释解密数据,解决方法可以:
@Query(value = "select t from P2pTelCheckLog t where t.appId = ?1")
或者
@Query(value = "select t.id,decryptFun(t.name)... from table t where t.id = ?1",nativeQuery = true)
--------------
有些东西是逃不掉的,如果一开始就能规范这些,也不用几天内就要整理几个项目。不过一开始也不知道等保要搞这些,好像一直都是要过什么,再搞什么。。。
但是操作日志还是建议一开始就做好。
最开始考虑在代码里做加密解密,写好工具方法,密钥在项目里放着——不科学,修改量大——放弃;
后来发现可以使用注释ColumnTransformer注释(密钥写在数据库函数里),工作量立刻降低很多。
一开始考虑直接使用数据库提供的函数做加密解密,类似:
@ColumnTransformer(
read = "AES_DECRYPT(UNHEX(company_name),'system_word') ",
write = "HEX(AES_ENCRYPT(?, 'system_word'))"
)
遇到乱码……
所以使用 CONVERT(DES_DECRYPT(UNHEX(name),'key')USING UTF8)这类处理方式,但是发现执行JpaRepository的方法,会把表别名加到USING UTF8前面(大概类似select u.xxx, CONVERT(DES_DECRYPT(UNHEX(name),'key') u.`USING UTF8`) from sys_user u 记不清了),导致sql执行失败!(项目引用的hibernate版本是5.0.11)
最终还是使用自定义函数,类似:
@ColumnTransformer(
read = "decryptFun(dealer_name)",
write = "encryptFun(?)"
)再把自定义sql 的地方都找出来改。此时遇到问题:
@Query(value = "select * from table t where t.id = ?1",nativeQuery = true)
这类使用*查询的不会调用注释解密数据,解决方法可以:
@Query(value = "select t from P2pTelCheckLog t where t.appId = ?1")
或者
@Query(value = "select t.id,decryptFun(t.name)... from table t where t.id = ?1",nativeQuery = true)
--------------
有些东西是逃不掉的,如果一开始就能规范这些,也不用几天内就要整理几个项目。不过一开始也不知道等保要搞这些,好像一直都是要过什么,再搞什么。。。
但是操作日志还是建议一开始就做好。
相关文章推荐
- SpringBoot框架中URL参数如何进行Base64加密解密
- spring读取配置文件加密/解密字段并在XML文件中用${key}传入修改后的配置
- SpringBoot-Mybatis_Plus学习记录之公共字段自动填充
- Spring Boot / Spring MVC 入门实践 (四) :需求记录网站的实现
- 今天给大家介绍一下SpringBoot框架中URL参数如何进行Base64加密解密
- SpringBoot-Mybatis_Plus学习记录之公共字段自动填充
- 使用AOP记录SpringBoot项目编辑前后字段的具体改变
- Springboot实现密码的加密解密
- Spring Boot应用之数据加密以及字段过滤
- 基于Spring Boot,使用JPA调用Sql Server数据库的存储过程并返回记录集合
- SpringBoot-Mybatis_Plus学习记录之公共字段自动填充
- springboot详细记录业务修改内容,包含修改前后具体字段的值的具体变化
- 【SpringBoot学习笔记】SpringBoot_03_SpringData—JpaRepository部分字段查询功能
- SpringBoot项目总结--(1)字段校验与加密
- 关于Spring boot 自带的jpa,错误记录
- Spring Boot / Spring MVC 入门实践 (四) :需求记录网站的实现
- SpringBoot 学习记录(三): jpa
- Spring Boot应用之数据加密以及字段过滤
- Spring Boot + Spring Data JPA 项目整合开发记录(持续更新)
- Spring Boot 数据响应之数据加密以及字段过滤