mybatis-使用拦截器实现审计功能

最新推荐文章于 2024-11-25 17:36:25 发布
原创 最新推荐文章于 2024-11-25 17:36:25 发布 · 2.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#mybatis

本文介绍了如何利用MyBatis拦截器自动赋值业务表中的创建人、创建时间、修改人和修改时间等审计字段,避免在主业务逻辑中手动设置,简化代码。通过使用SpringData的审计注解和自定义拦截器,可以在插入和更新操作时自动填充这些信息,减少编码工作量。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

前言

后台开发中,一般的业务表都有创建人创建时间修改人修改时间等业务字段,这些业务字段的值没有特别的逻辑,只是对当时的操作人和操作时间的一个记录。如果每个表格的增删改查,都去修改的这些值的话,难免会影响主业务逻辑的阅读。那么有没有一个统计的方法,自动地去赋予这些值,而不用在业务代码上进行干预呢?

JPA也提供了类似的审计功能。

拦截器

思路就是使用mybatis拦截器,每次和数据库通信前,在拦截器中自动赋予这些值。

使用注解标记字段

spring data中定义几个注解,来表明一个字段是需要审计的,它们是:

  • @CreatedDate:创建时间
  • @LastModifiedDate:最后更新时间
  • @CreatedBy:创建人信息
  • @LastModifiedBy:最后更新人信息

拦截器的逻辑

@Slf4j
@Component
@Intercepts({@Signature(type = Executor.class, method = "update", args = {MappedStatement.class, Object.class})})
public class AuditingInterceptor implements Interceptor {
    private final String param1 = "param1";	//参数为map时,有param1这个键,具体原因不知道。

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        MappedStatement mappedStatement = (MappedStatement) invocation.getArgs()[0];
        SqlCommandType sqlCommandType = mappedStatement.getSqlCommandType();

		//找到数据表对应的PO
        Object parameter = invocation.getArgs()[1];
        Object po = null;
        if (parameter instanceof Map) {
            Map map = (Map) parameter;
            if (map.containsKey(param1)) {
                po = map.get(param1);
            }
        } else {
            po = parameter;
        }

        if (po == null) {
            return invocation.proceed();
        }

		//当前时间和操作人
        LocalDateTime currentDate = LocalDateTime.now();
        String currentUser = Optional.ofNullable(ShiroUtils.getSecurityUser()).map(SecurityUserPo::getUserName).orElse(null);

		//遍历PO的字段,查找并修改其中被审计字段的值
        Field[] fields = po.getClass().getDeclaredFields();
        if (SqlCommandType.INSERT == sqlCommandType || SqlCommandType.UPDATE == sqlCommandType) {
            for (Field field : fields) {
                boolean accessible = field.isAccessible();
                field.setAccessible(true);
                if (AnnotationUtils.getAnnotation(field, CreatedBy.class) != null && SqlCommandType.INSERT == sqlCommandType && currentUser != null) {
                    field.set(po, currentUser);
                }
                if (AnnotationUtils.getAnnotation(field, CreatedDate.class) != null && SqlCommandType.INSERT == sqlCommandType) {
                    field.set(po, currentDate);
                }
                if (AnnotationUtils.getAnnotation(field, LastModifiedBy.class) != null && currentUser != null) {
                    field.set(po, currentUser);
                }
                if (AnnotationUtils.getAnnotation(field, LastModifiedDate.class) != null) {
                    field.set(po, currentDate);
                }
                field.setAccessible(accessible);
            }
        }

        return invocation.proceed();
    }

    @Override
    public Object plugin(Object target) {
        if (target instanceof Executor) {
            return Plugin.wrap(target, this);
        } else {
            return target;
        }
    }

}

更多信息请参考mybatis插件

总结

mybatis插件是个好用的功能,用得好的话可以达到意想不到的效果,大大减少编码量。

MyBatis数据审计——跟踪数据的变动记录
AI天才研究院
07-28 2460
数据审计(Data Audit)是指对信息系统中各种数据的完整性、真实性和准确性进行定期检查、评估、分析并向授权用户反馈,以发现、预防或解决信息系统中的数据问题。通过对数据的存储和流转过程进行审计,可以帮助企业更好地保障数据安全,提高数据质量和效益。在大型互联网公司,对数据库的数据访问及处理过程进行全面监控、控制和记录,不仅能够提供数据安全保障,还能够辅助管理人员追踪数据变化、分析数据趋势,改善业务流程和产品质量。
MyBatis 插件机制:自定义分页与审计日志
最新发布
大厂资深架构师
06-11 816
MyBatis 原生功能虽强大,但在实际开发中,我们常需要扩展其能力:比如统一处理分页逻辑(避免 SQL 中重复写LIMIT)、自动记录数据库操作的审计日志(谁改了数据?改了什么?本文将聚焦 MyBatis 插件机制,带你理解其设计原理,并通过两个高频场景(分页、审计)的实战,掌握插件开发的核心技巧。本文将按照“原理讲解→实战演示”的逻辑展开:先通过生活化案例解释插件的核心概念(拦截器、四大核心对象),再用代码实现分页和审计功能,最后总结常见问题和未来扩展方向。拦截器(Interceptor)
mybatis 审计功能数据自动填充)
weixin_45848110的博客
06-27 2446
1.实现MetaObjectHandler @Component public class MyMetaObjectHandler implements MetaObjectHandler { private final String id = "id"; private final String createdBy = "createdBy"; private final String createdTime = "createdTime"; private final
Mybatis Plus轻松实现数据库变更全局审计日志
编程小蜜蜂
01-30 3500
在日常的业务开发中,监控与记录数据库的变化是非常必要的操作,特别是当出现数据异常时,我们可以通过审计日志追溯数据变化的具体情况。Mybatis Plus作为一款优秀的持久层框架,其强大的功能可以轻松帮助我们实现全局审计日志。
Java代码审计前置知识——MyBatis
m0_61506558的博客
10-23 762
MyBatis 是支持定制化SQL、存储过程以及高级映射的优秀的持久层框架。MyBatis 避免了几乎所有的JDBC代码和手动设置参数以及获取结果集。MyBatis可以对配置和原生 Map使用简单的XML或注解,将接口和Java的POJO(Plain Old Java Object,普通的Java对象)映射成数据库中的记录(一)简介1.1 什么是Mybatis1.2 持久化1.3 持久层1.4 为什么需要MyBatis(二)搭建Mybatis程序。
Mybatis拦截器插入和修改时自动填充注入审计字段(无侵入性)
YMY_666的博客
05-11 1902
@Data public class BaseEntity { @JsonSerialize(using = ToStringSerializer.class) private Long id; private Long createBy; @JsonFormat( pattern = "yyyy年MM月dd日 HH时mm分ss秒") private LocalDateTime createTime; private Long updateBy;
Spring Boot集成MyBatis-Plus:自定义拦截器实现动态表名切换
weixin_45626288的博客
11-25 2047
介绍动态表名的场景需求,比如多租户系统、分表分库,或者不同业务模块共用一套代码但操作不同表。说明 MyBatis-Plus 默认绑定固定表名的问题。解释 MyBatis 拦截器的核心概念,介绍接口和@Signature注解。MyBatis 拦截器为开发者提供了灵活的扩展能力,可以在 SQL 执行的多个阶段中注入自定义逻辑,从而实现多种高级功能。合理使用拦截器不仅能增强系统功能,还能提升性能和安全性。
Mybatis-Flex快速入门教程
猿小白的博客
04-28 6726
与此同时,Mybatis-Flex 内置的 QueryWrapper^灵活 可以轻易的帮助我们实现 多表查询、链接查询、子查询 等等常见的 SQL 场景。这带来了几个好处:1、极高的性能;我们可以轻松的使用 Mybaits-Flex 链接任何数据库,其内置的 QueryWrapper^亮点 帮助我们极大的减少了 SQL 编写的工作的同时,减少出错的可能性。:支持任意关系型数据库,还可以通过方言持续扩展,同时支持 多(复合)主键、逻辑删除、乐观锁配置、数据脱敏、数据审计数据填充 等等功能
mybatis-flex 详解
kunkun2580的博客
04-19 3112
MyBatis-Flex 是一个优雅的 MyBatis 增强框架,它非常轻量、同时拥有极高的性能与灵活性。我们可以轻松的使用 Mybaits-Flex 链接任何数据库,其内置的 "QueryWrapper " → 亮点,帮助我们极大的减少了 SQL 编写的工作的同时,减少出错的可能性。官网:MyBatis-Flex - MyBatis-Flex 官方网站。
mybatis-plus团队新作:mybatis-mate 轻松解决数据权限
m0_64821673的博客
01-14 1060
简介 mybatis-mate 为 mp 企业级模块,支持分库分表,数据审计数据敏感词过滤(AC算法),字段加密,字典回写(数据绑定),数据权限,表结构自动生成 SQL 维护等,旨在更敏捷优雅处理数据。 1、主要功能 字典绑定 字段加密 数据脱敏 表结构动态维护 数据审计记录 数据范围(数据权限) 数据库分库分表、动态数据源、读写分离、数据库健康检查自动切换。 2、使用 2.1 依赖导入 Spring Boot 引入自动依赖注解包 <dependency> &lt
mybatis拦截器的完整实现
04-26
此外,MyBatis拦截器使用需要注意性能问题。因为拦截器会在每一个MyBatis操作上执行,所以如果拦截器的处理逻辑过于复杂或者执行时间过长,会对整体性能产生不良影响。在设计拦截器逻辑时,应当尽量保证其高效简洁...
Mybatis拦截器记录数据更新历史记录到MongoDB
08-15
Mybatis拦截器记录数据更新历史记录到MongoDB的源码,另外需要配置拦截器mybatis配置文件中。
跟easy-cloud一起写mybatis审计组件
我的漫漫编码路
05-22 1961
mybatis审计模块使用教程项目说明​ 原因:开发人员手动设置实体的创建者、更新者、创建时间、更新时间产生了大量的重复代码​ 目的:减少重复代码、减少开发者设置公共字段的时间,从而优化代码结构、提高开发效率​ 环境:mybatis、springboot、jdk1.8极其以上版本等等、数据数据类需要放在dao或者repository或者 mapper包或者子包下使用须知引入组件使用该组件需要导入e...
java审计-mybatis注入审计
admin741admin的博客
04-13 397
Mybatis获取值的方式有两种,分别是${} 和 #{}。在Mybatis里面一般会采用#{}来进行取值,但是也会有特殊情况。
Mybatis 拦截器自动增加审计信息
qq_22783587的博客
10-26 896
参考 https://www.cnblogs.com/qingshan-tang/p/13299701.html 1. 继承 BaseAudit 基类 2. 编写 BaseAuditIntercepter 3. 测试
Java代码审计&Mybatis注入&文件上传&下载&读取
qq_46081990的博客
12-22 2613
本文以 Ruoyi、Inxedu、Oasys、Tmall 等项目案例介绍了Mybatis注入、文件上传&下载&读取的代码审计,介绍了审计思路:1、寻找并测试文件上传功能点,抓包得到对应路由等信息,从而定位到功能实现的具体代码(代码溯源),然后审计其是否存在漏洞;2、通过搜索 Java 文件操作常用函数,定位到功能点对应代码段,审计其是否存在漏洞(常规审计思路)。此外,详细介绍了审计流程,如何跟进等等。
Mybatis在Java代码审计中的审计方法及修复方法
liguangyao213的博客
02-27 698
Java代码审计系列课程【共58课时】_Web安全课程-51CTO学堂Java代码审计系列课程,Web安全,学会改课程将更深刻的了解常见漏洞原理,审计发现代码中漏洞,开发人员不再编写“漏洞”,51CTO学堂为您提供全面的视频课程和专项解答,it人充电,就上51CTO学堂https://edu.51cto.com/course/27875.html 前置知识:了解Mybatis框架映射关系 mapper定位java代码 id定位方法 List<User> findByUserName
代码审计MyBatis框架SQL注入查询
墨痕诉清风的博客
08-29 607
MyBatis 是一款优秀的持久层框架,它支持定制化 SQL、存储过程以及高级映射。MyBatis 避免了几乎所有的 JDBC 代码和手动设置参数以及获取结果集。MyBatis 可以使用简单的XML或注解来配置和映射原生信息,将接口和 Java 的 POJOs(Plain Old Java Objects,普通的 Java对象)映射成数据库中的记录。MyBatis是将数据库字段和java对象关联到了一起,开发者无需在关注数据库操作,直接操作java对象就可以完成数据库的增删改查等操作。但是在。
要注意了!这样使用MyBatis框架,被攻击了!
emprere的博客
08-18 239
作者:ofei@Freebuf来源:https://www.freebuf.com/vuls/240578.html前言SQL注入漏洞作为WEB安全的最常见的漏洞之一,在java中随着预...
MyBatis-Plus 3.4 拦截器对敏感数据实现加密
03-27
<think>嗯,用户想了解如何使用MyBatis-Plus 3.4的拦截器实现敏感数据加密。我之前处理过类似的问题,记得MyBatis-Plus的拦截器可以用来在SQL执行前后进行自定义处理。首先,我需要确认用户提到的MyBatis-Plus版本是3.4,这可能涉及到特定的API,比如MetaObjectHandler或者自定义的TypeHandler。 根据引用[1],里面提到了自定义TypeHandler来实现加密解密逻辑,同时在配置中注册它,并在实体类中使用。这可能是一个关键点。不过用户提到的是拦截器,而TypeHandler通常用于类型转换,可能在数据写入和读取时处理加密解密。而拦截器比如InnerInterceptor可能用于更底层的SQL处理,比如分页或者乐观锁,如引用[5]中的例子。 但用户的问题明确提到“拦截器”,所以可能需要结合两种方法。例如,在插入或更新时,使用拦截器来拦截参数,并对其中的敏感字段进行加密。或者,可能需要在TypeHandler中处理加密,而拦截器用于某些其他操作,比如自动添加加密逻辑。 另外,引用[3]提到了元对象处理器接口,这可能是在插入或更新时自动填充某些字段,比如版本号。或许加密也可以在元对象处理器中处理,但需要确认是否适合。 步骤可能包括:定义加密服务接口,创建自定义TypeHandler,在实体类中指定该TypeHandler,并在MyBatis配置中注册。同时,可能需要在拦截器中处理参数,比如在更新或插入前加密数据,查询后解密数据。或者,使用TypeHandler在数据写入数据库前加密,读取时解密,这样拦截器可能不需要处理具体的加密逻辑,而是TypeHandler自动处理。 需要确保加密逻辑在数据持久化时自动应用。例如,在实体类的字段上使用@TableField(typeHandler = EncryptTypeHandler.class),这样MyBatis-Plus在读写该字段时会自动调用TypeHandler的setParameter和getResult方法,从而进行加密和解密。 同时,参考引用[5]中的配置类,用户可能需要添加自定义的拦截器,但可能更直接的是使用TypeHandler。不过用户明确提到拦截器,可能需要澄清是否必须使用拦截器,或者TypeHandler是否足够。或者,拦截器用于更复杂的场景,比如全局处理所有敏感字段,而无需在每个字段上标注TypeHandler。 可能需要分步骤来:首先实现加密解密的逻辑,然后通过TypeHandler或拦截器来应用。根据引用[1]的步骤,自定义TypeHandler可能更直接。但用户的问题提到拦截器,所以可能需要结合两者,或者说明拦截器的另一种实现方式。 例如,可以创建一个实现InnerInterceptor接口的拦截器,重写beforePrepare方法,在参数设置前进行加密,在结果处理时进行解密。不过这可能比较复杂,需要处理不同的SQL操作类型,如INSERT、UPDATE、SELECT等。 总结可能的步骤:1. 创建加密工具类;2. 自定义TypeHandler处理字段级别的加密;3. 在实体类中使用该TypeHandler;4. 注册TypeHandler到MyBatis配置。或者,使用拦截器在SQL执行前后处理参数和结果集。 需要查阅MyBatis-Plus的文档,确认拦截器和TypeHandler的最佳实践。根据现有引用,引用[1]使用TypeHandler,而引用[5]使用拦截器处理乐观锁和分页。因此,可能两者都可以,但TypeHandler更适合字段级别的处理,而拦截器更适合全局处理或更复杂的逻辑。 因此,回答应该结合引用[1]中的步骤,使用TypeHandler实现加密解密,并可能提到拦截器的其他用途,或者如何结合拦截器进行更高级的处理。但用户的问题是关于拦截器实现方式,可能需要调整方法,或者说明TypeHandler是更合适的解决方案,而拦截器可能用于其他方面。 可能的混淆点:TypeHandler和拦截器的不同作用。TypeHandler用于处理单个字段的Java类型到JDBC类型的转换,适合加密解密单个字段。拦截器可以拦截整个SQL语句,处理参数和结果集,适合更广泛的操作,比如全局加密多个字段,或者根据条件动态处理。 因此,正确的实现方式可能是使用TypeHandler处理字段级别的加密,如引用[1]所述,而拦截器可能用于更复杂的场景。但用户的问题明确询问拦截器,所以可能需要解释如何通过拦截器实现,或者指出TypeHandler是更常见的方法,而拦截器可以辅助其他处理。 最终,可能需要按照引用[1]的方法,使用TypeHandler,并在回答中说明这是MyBatis-Plus推荐的字段级加密方式,同时可能提及拦截器可以用于其他方面的增强,如自动触发加密逻辑,或者在特定操作前后进行处理。</think>### 如何使用 MyBatis-Plus 3.4 拦截器实现敏感数据加密? #### 实现步骤 1. **定义加密解密工具类** 实现对称加密(如 AES)或非对称加密算法,提供加密和解密方法。例如: ```java public class EncryptUtils { public static String encrypt(String data) { /* 加密逻辑 */ } public static String decrypt(String encryptedData) { /* 解密逻辑 */ } } ``` 2. **创建自定义 TypeHandler** 继承 `BaseTypeHandler`,在数据写入数据库前加密,读取时解密。这是字段级加密的核心逻辑[^1]。 ```java public class EncryptTypeHandler extends BaseTypeHandler<String> { @Override public void setNonNullParameter(PreparedStatement ps, int i, String parameter, JdbcType jdbcType) { ps.setString(i, EncryptUtils.encrypt(parameter)); } @Override public String getNullableResult(ResultSet rs, String columnName) { return EncryptUtils.decrypt(rs.getString(columnName)); } // 其他重写方法... } ``` 3. **实体类标注 TypeHandler** 在敏感字段上使用 `@TableField` 注解绑定自定义 TypeHandler: ```java public class User { @TableField(typeHandler = EncryptTypeHandler.class) private String phoneNumber; // 其他字段... } ``` 4. **注册 TypeHandler** 在 MyBatis 配置文件中添加 TypeHandler 的全局注册: ```xml <typeHandlers> <typeHandler handler="com.example.EncryptTypeHandler" javaType="java.lang.String"/> </typeHandlers> ``` 5. **通过拦截器增强控制(可选)** 若需全局拦截 SQL 操作(如记录加密日志),可自定义拦截器实现 `InnerInterceptor`: ```java public class EncryptInterceptor implements InnerInterceptor { @Override public void beforePrepare(StatementHandler sh, Connection conn, Integer transactionTimeout) { // 拦截参数并处理敏感数据(需结合反射或 MetaObject 修改字段值) } } ``` 在配置类中注册拦截器: ```java @Bean public MybatisPlusInterceptor mybatisPlusInterceptor() { MybatisPlusInterceptor interceptor = new MybatisPlusInterceptor(); interceptor.addInnerInterceptor(new EncryptInterceptor()); return interceptor; } ``` #### 核心逻辑说明 - **TypeHandler 作用**:直接关联字段的读写操作,自动触发加密/解密[^1]。 - **拦截器适用场景**:补充全局操作(如审计日志),但字段级加密优先使用 TypeHandler[^5]。 #### 注意事项 - 加密字段需避免参与索引查询,否则需实现模糊加密(如哈希处理)。 - 加解密可能影响性能,建议仅对高敏感字段(如手机号、身份证号)使用---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值