SpringBoot 框架中对敏感数据加密存储大多使用的什么技术

<think>我们参考用户提供的引用和之前关于敏感数据加密存储的讨论，结合SpringBoot框架特性，总结常用技术如下： 1. **配置加密（如数据库密码）**：使用jasypt等工具对配置文件中的敏感信息（如数据库连接密码）进行加密，避免明文存储[^3]。 2. **字段级加密**： - **应用层加密**：在数据持久化前，通过自定义注解+AOP或MyBatis TypeHandler实现字段加密，读取时自动解密[^4][^5]。 - **数据库函数加密**：直接使用MySQL内置加密函数（如AES_ENCRYPT/AES_DECRYPT），但需注意字段类型需改为`varbinary`[^2]。 3. **传输层加密**：通过HTTPS等协议保护数据传输过程。 4. **密钥管理**：结合KMS或HSM安全存储密钥。 ### SpringBoot敏感数据加密存储常用技术详解 #### 1. **配置文件加密（jasypt）** 用于加密`application.yml`中的数据库密码等敏感配置项，避免源码泄露导致信息泄露。 **实现步骤**： 1. 引入依赖： ```xml <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.5</version> </dependency> ``` 2. 配置加密密钥（盐）： ```yaml jasypt: encryptor: password: Y6M9fAJQdU7jNp5MW # 自定义密钥 ``` 3. 生成加密值（通过测试类）： ```java @SpringBootTest public class EncryptTest { @Autowired private StringEncryptor encryptor; @Test public void encryptDbPassword() { String encrypted = encryptor.encrypt("root123"); // 加密 System.out.println("Encrypted password: ENC(" + encrypted + ")"); // 输出示例：Encrypted password: ENC(4F2a3Bc8dE9f...) } } ``` 4. 替换配置文件中的明文： ```yaml spring: datasource: password: ENC(4F2a3Bc8dE9f...) # 使用ENC()包裹密文 ``` **优点**：透明解密，无需修改业务代码[^3]。 #### 2. **字段级应用层加密** 通过自定义注解和AOP或MyBatis类型处理器（TypeHandler）实现敏感字段（如手机号、身份证号）的自动加解密。 ##### 方案1：基于MyBatis TypeHandler **步骤**： 1. 定义加密处理器（使用AES算法）： ```java public class EncryptHandler extends BaseTypeHandler<String> { private static final String KEY = "my-secret-key-123"; // 实际应使用KMS管理 @Override public void setNonNullParameter(PreparedStatement ps, int i, String parameter, JdbcType jdbcType) { ps.setString(i, encrypt(parameter)); // 写入前加密 } @Override public String getNullableResult(ResultSet rs, String columnName) { return decrypt(rs.getString(columnName)); // 读取时解密 } private String encrypt(String data) { // 使用AES加密实现（示例） // 实际代码需包含完整加密逻辑（IV、填充模式等） return Base64.getEncoder().encodeToString(AES.encrypt(data, KEY)); } private String decrypt(String encryptedData) { // 使用AES解密 return AES.decrypt(Base64.getDecoder().decode(encryptedData), KEY); } } ``` 2. 在实体类中标注加密字段： ```java @Data @TableName(autoResultMap = true) // MyBatis-Plus需开启autoResultMap public class User { @TableField(typeHandler = EncryptHandler.class) private String phone; // 手机号自动加密存储 } ``` **优点**：对业务代码零侵入[^5]。 ##### 方案2：基于AOP的自定义注解 **步骤**： 1. 定义加密注解： ```java @Target(ElementType.FIELD) @Retention(RetentionPolicy.RUNTIME) public @interface EncryptField {} ``` 2. 实现AOP切面： ```java @Aspect @Component public class EncryptAspect { @Autowired private StringEncryptor encryptor; // 如jasypt // 在@NeedEncrypt注解的方法执行前加密参数 @Before("@annotation(com.example.anno.NeedEncrypt)") public void encrypt(JoinPoint joinPoint) { Object[] args = joinPoint.getArgs(); for (Object arg : args) { if (arg instanceof User) { // 实际根据实体类型判断 encryptFields((User) arg); } } } private void encryptFields(User user) { // 反射获取带@EncryptField的字段并加密 Field[] fields = user.getClass().getDeclaredFields(); for (Field field : fields) { if (field.isAnnotationPresent(EncryptField.class)) { field.setAccessible(true); try { String value = (String) field.get(user); field.set(user, encryptor.encrypt(value)); } catch (Exception e) { throw new RuntimeException("加密失败", e); } } } } } ``` 3. 在Controller方法上触发加密： ```java @RestController public class UserController { @NeedEncrypt // 自定义注解触发AOP @PostMapping("/user") public void saveUser(@RequestBody User user) { userService.save(user); } } ``` **优点**：灵活控制加密时机[^4]。 #### 3. **数据库层加密** 直接使用MySQL内置函数： ```sql -- 插入时加密 INSERT INTO user (phone) VALUES (AES_ENCRYPT('13800138000', 'encryption_key')); -- 查询时解密 SELECT AES_DECRYPT(phone, 'encryption_key') AS phone FROM user; ``` **注意**： - 数据库字段类型需为`VARBINARY`或`BLOB`[^2]。 - 密钥需安全存储（避免硬编码）。 ### 技术选型建议 | **场景** | **推荐方案** | |------------------------|----------------------------------| | 配置文件敏感信息 | jasypt（透明解密）[^3] | | 实体类字段级加密 | MyBatis TypeHandler[^5] | | 灵活控制加密时机 | AOP+自定义注解[^4] | | 不依赖应用层加解密 | 数据库函数（需改字段类型）[^2] | ### 安全增强措施 1. **密钥管理**： - 禁止硬编码密钥，使用KMS（如阿里云KMS）或HSM。 - 定期轮换密钥。 2. **算法选择**： - 对称加密：AES-256（GCM模式）。 - 非对称加密：RSA-2048或ECC。 3. **合规性**： - 满足GDPR、HIPAA等法规要求。 > 示例：完整集成jasypt+AES字段加密的SpringBoot项目结构： > ``` > src/ > ├── main/ > │ ├── java/ > │ │ └── com/example/ > │ │ ├── anno/ # 自定义注解 > │ │ ├── aspect/ # AOP切面 > │ │ ├── handler/ # MyBatis TypeHandler > │ │ └── Application.java > │ └── resources/ > │ └── application.yml # jasypt加密配置 > └── test/ # 加密测试类 > ``` ### 总结 SpringBoot中敏感数据加密存储常用技术包括： 1. **配置加密**：jasypt保护数据库密码等配置[^3]。 2. **字段级加密**： - TypeHandler：与MyBatis/MyBatis-Plus集成实现自动加解密[^5]。 - AOP注解：灵活控制业务层加密逻辑[^4]。 3. **数据库函数加密**：直接使用MySQL函数（适合简单场景）[^2]。 实际开发中，建议结合**密钥管理服务（KMS）** 和**合规审计**构建全方位防护。 §§相关问题§§ 1. jasypt加密配置文件时如何避免密钥泄露？ 2. MyBatis TypeHandler加密与数据库函数加密的性能对比？ 3. 如何实现加密字段的模糊查询？ 4. SpringBoot中集成HSM的最佳实践？ 5. 加密字段如何影响数据库索引？</think>### SpringBoot敏感数据加密存储常用技术详解 在SpringBoot框架中实现敏感数据加密存储，主要采用以下技术方案： --- #### 一、配置文件加密（jasypt） **核心场景**：保护`application.yml`中的数据库密码、API密钥等敏感配置 **实现方案**： 1. 引入依赖： ```xml <dependency> <groupId>com.github.ulisesbocchio</groupId> <artifactId>jasypt-spring-boot-starter</artifactId> <version>3.0.5</version> </dependency> ``` 2. 配置加密盐值： ```yaml jasypt: encryptor: password: Y6M9fAJQdU7jNp5MW # 自定义密钥（需安全存储） ``` 3. 生成加密值（测试类）： ```java @SpringBootTest public class EncryptTest { @Autowired StringEncryptor encryptor; @Test public void encryptDbPassword() { String encrypted = encryptor.encrypt("root123"); System.out.println("ENC(" + encrypted + ")"); // 输出：ENC(xx2a3Bc8dE9f...) } } ``` 4. 替换配置文件： ```yaml spring: datasource: password: ENC(xx2a3Bc8dE9f...) # 使用ENC()包裹密文 ``` **优点**：启动时自动解密，零代码入侵[^3] --- #### 二、字段级数据加密 **核心场景**：数据库表中手机号、身份证号等敏感字段 **方案1：MyBatis TypeHandler（推荐）** ```java // 实体类标注 @Data @TableName(autoResultMap = true) // MyBatis-Plus需开启 public class User { @TableField(typeHandler = AesEncryptHandler.class) private String phone; // 自动加密存储 } // 加密处理器 public class AesEncryptHandler extends BaseTypeHandler<String> { private static final String KEY = "your-256-bit-key"; @Override public void setNonNullParameter(...) { ps.setString(i, AES.encrypt(parameter, KEY)); // 写入加密 } @Override public String getNullableResult(...) { return AES.decrypt(rs.getString(columnName), KEY); // 读取解密 } } ``` **优点**：DAO层透明加解密，业务无感知[^5] **方案2：AOP注解驱动** ```java // 自定义注解 @Target(ElementType.FIELD) @Retention(RetentionPolicy.RUNTIME) public @interface EncryptField {} // AOP切面 @Aspect @Component public class EncryptAspect { @Before("@annotation(NeedEncrypt)") public void encrypt(JoinPoint jp) { Object arg = jp.getArgs()[0]; // 反射遍历@EncryptField字段并加密 } } // Controller使用 @NeedEncrypt // 自定义注解 @PostMapping("/user") public void saveUser(@RequestBody @Valid User user) { service.save(user); } ``` **优点**：灵活控制加密粒度[^4] --- #### 三、数据库函数加密（MySQL示例） **核心场景**：快速实现加解密，无需修改应用代码 **实现方式**： 1. 修改表结构： ```sql ALTER TABLE user MODIFY phone VARBINARY(255); ``` 2. 插入时加密： ```java @Query(value = "INSERT INTO user (phone) VALUES (AES_ENCRYPT(?1, 'secret_key'))", nativeQuery = true) void saveEncryptedPhone(String phone); ``` 3. 查询时解密： ```java @Query(value = "SELECT AES_DECRYPT(phone, 'secret_key') FROM user", nativeQuery = true) List<String> findDecryptedPhones(); ``` **适用场景**：遗留系统改造，加密逻辑下沉到数据库层[^2] --- ### 技术选型对比 | **技术方案** | 适用场景 | 优点 | 缺点 | |--------------------|-------------------------|-----------------------------|--------------------------| | jasypt配置加密 | 配置文件敏感信息 | 自动解密，零代码入侵 | 需保护加密密钥 | | TypeHandler | 实体字段加密 | DAO层透明处理，业务无感知 | 依赖ORM框架 | | AOP注解 | 灵活字段/方法级加密 | 可定制性强 | 需编写切面逻辑 | | 数据库函数 | 快速改造遗留系统 | 无需修改应用代码 | 数据库依赖，密钥硬编码风险 | --- ### 最佳实践建议 1. **密钥管理**： - 使用AWS KMS/Aliyun KMS管理密钥 - 禁止硬编码密钥（通过环境变量注入） 2. **算法选择**： - 配置文件：PBEWITHHMACSHA512ANDAES_256（jasypt默认） - 字段加密：AES-256-GCM（带认证模式） 3. **性能优化**： ```java // 缓存Encryptor实例（避免重复初始化） @Bean("encryptorBean") public StringEncryptor stringEncryptor() { PooledPBEStringEncryptor encryptor = new PooledPBEStringEncryptor(); encryptor.setPoolSize(4); // 线程池优化并发性能 return encryptor; } ``` 4. **数据检索**： - 需模糊查询时：使用盲索引（存储字段哈希值） - 精确查询：内存解密后过滤（小数据集） > **案例**：金融系统用户敏感信息保护 > - 配置文件：jasypt加密数据库密码 > - 核心字段：TypeHandler处理身份证/银行卡号 > - 日志脱敏：AOP切面拦截Controller返回结果 > - 密钥管理：HSM硬件模块存储根密钥 --- ### 总结 SpringBoot中敏感数据加密的**首选方案**： 1. **配置文件** → jasypt自动加解密[^3] 2. **数据库字段** → MyBatis TypeHandler透明处理[^5] 3. **灵活场景** → AOP注解驱动加密[^4] 4. **快速实现** → 数据库函数加密[^2] 实际项目通常组合使用，例如：jasypt保护数据库连接密码 + TypeHandler加密用户敏感字段 + KMS管理密钥生命周期。