spring boot JPA加密解密字段实践记录

项目需要给敏感字段在数据库层面加密,读取后做解密。

最开始考虑在代码里做加密解密,写好工具方法,密钥在项目里放着——不科学,修改量大——放弃;

后来发现可以使用注释ColumnTransformer注释(密钥写在数据库函数里),工作量立刻降低很多。

一开始考虑直接使用数据库提供的函数做加密解密,类似:

    @ColumnTransformer(
            read = "AES_DECRYPT(UNHEX(company_name),'system_word') ",
            write = "HEX(AES_ENCRYPT(?, 'system_word'))"
     )

遇到乱码……

所以使用 CONVERT(DES_DECRYPT(UNHEX(name),'key')USING UTF8)这类处理方式,但是发现执行JpaRepository的方法,会把表别名加到USING UTF8前面(大概类似select u.xxx, CONVERT(DES_DECRYPT(UNHEX(name),'key') u.`USING UTF8`) from sys_user u 记不清了),导致sql执行失败!(项目引用的hibernate版本是5.0.11)

最终还是使用自定义函数,类似:

    @ColumnTransformer(

            read = "decryptFun(dealer_name)",
            write = "encryptFun(?)"
    )

再把自定义sql 的地方都找出来改。此时遇到问题:

@Query(value = "select * from table t where t.id = ?1",nativeQuery = true)

这类使用*查询的不会调用注释解密数据,解决方法可以:

@Query(value = "select t from P2pTelCheckLog t where t.appId = ?1")

或者

@Query(value = "select t.id,decryptFun(t.name)... from table t where t.id = ?1",nativeQuery = true)

--------------

有些东西是逃不掉的,如果一开始就能规范这些,也不用几天内就要整理几个项目。不过一开始也不知道等保要搞这些,好像一直都是要过什么,再搞什么。。。

但是操作日志还是建议一开始就做好。

你可能感兴趣的:(java,jpa)