MyBatis 拦截器,带你轻松搞定数据脱敏!
1. 引言
1.1 什么是 MyBatis 拦截器
MyBatis 拦截器是一种插件机制,用于在 MyBatis 执行 SQL 语句时对其进行拦截、修改或增强。拦截器可以插入到 MyBatis 的执行过程中的不同位置,从而实现自定义的行为,例如记录日志、修改 SQL 查询、增强性能等。
定义:MyBatis 拦截器是一种自定义插件,可以通过它拦截 MyBatis 核心组件(如 Executor、StatementHandler、ParameterHandler、ResultSetHandler)的方法调用。通过拦截器,我们可以在不修改 MyBatis 源码的情况下,改变其行为或增强其功能。功能:修改 SQL 语句,例如根据某些业务规则动态拼接 SQL。
记录 SQL 执行日志、性能监控,统计执行时间等。
控制事务或实现缓存逻辑等。
1.2 为什么使用拦截器
使用 MyBatis 拦截器的主要原因是需要在不修改核心代码的情况下,灵活地扩展 MyBatis 的功能。常见的应用场景包括:
日志记录:通过拦截器记录每个 SQL 语句的执行情况,包括 SQL 本身、执行时间、返回结果等信息,用于后期分析和调试。SQL 性能监控:拦截器可以用于统计 SQL 执行的时间,从而评估 SQL 的性能。长时间执行的 SQL 可以被识别出来,作为性能优化的目标。修改 SQL 语句:通过拦截器可以动态修改 SQL 语句,例如,在查询中动态插入条件、修改排序规则,或者添加分页逻辑。事务控制:在执行 SQL 操作之前、之后,或者在某些异常发生时,拦截器可以用来增强事务管理。2. MyBatis 拦截器工作原理
2.1 拦截器的核心概念
MyBatis 拦截器工作时,核心组件是 Invocation、Interceptor、Method 和 Target 对象等:
Interceptor:这是所有自定义拦截器的接口,MyBatis 会根据配置找到并调用实现该接口的类。Invocation:封装了方法调用的对象,它包含了目标方法的信息以及方法的参数。通过 Invocation 对象,我们可以对方法的执行进行控制。Method:表示目标方法,它是通过反射来获取的。Target:表示目标对象,它是被拦截的对象。例如,Executor、StatementHandler 等都是目标对象,拦截器会通过 Target 对象来访问和控制这些对象的行为。2.2 拦截器的生命周期
MyBatis 中,拦截器的生命周期通常包含三个阶段:
插件初始化:当 MyBatis 启动时,它会加载并初始化所有配置的拦截器。这时,拦截器会准备好拦截逻辑。拦截执行:当 MyBatis 执行某个 SQL 语句时,会触发拦截器的 intercept() 方法,这时拦截器会获取执行方法的参数,可以进行修改、增强或替换方法的执行。插件销毁:拦截器在 MyBatis 销毁时会清理资源,释放占用的内存或线程等。2.3 目标对象和方法
在 MyBatis 中,主要有四个目标对象可以被拦截:
Executor:执行 SQL 语句的核心对象。它的 update()、query() 等方法负责执行实际的增、删、改、查操作。StatementHandler:处理 SQL 语句的对象。它负责将 SQL 语句和参数绑定,并将其传递给数据库。ResultSetHandler:处理 SQL 查询结果的对象。它负责将从数据库返回的 ResultSet 转换为 Java 对象。ParameterHandler:处理 SQL 参数绑定的对象。它负责将参数设置到 SQL 语句中。3. MyBatis 拦截器的实现
这里小编会分享工作中实际的案例: 数据脱敏。
3.1 自定义脱敏注解
首先需要知晓具体是哪个类中的哪些属性需要进行脱敏处理,因此,需要自定义注解来实现对需要脱敏的属性进行标注。
复制
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Desensitization {
StrategyEnum strategy();
}1.2.3.4.5.6.7.8.9.10.
3.2 脱敏策略
有了标注后,对于脱敏也会涉及到脱敏策略的问题。不同的属性,应该对应不同的脱敏方式,例如,名字只保留姓氏,而身份证和电话号码,则需要对中间的数字打码。因此,在使用自定义注解进行标注的同时,也要指定这个属性对应的脱敏策略,这里使用枚举类枚举出不同属性对应的正则处理。
复制
import lombok.AllArgsConstructor;
import lombok.Getter;
@Getter
@AllArgsConstructor
public enum StrategyEnum {
NAME(s -> s.replaceAll("([\\u4e00-\\u9fa5]{1})(.*)", "$1*")),
ID_CARD(s -> s.replaceAll("(\\d{4})\\d{10}(\\w{4})", "$1****$2")),
PHONE(s -> s.replaceAll("(\\d{3})\\d{4}(\\d{4})", "$1****$2")),
ADDRESS(s -> s.replaceAll("(\\s{8})\\s{4}(\\s*)\\s{4})", "$1****$2****"));
private final Desensitizer desensitizer;
}1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.
3.3 脱敏执行者
对于脱敏处理还需要一个执行者,将属性值和正则表达式进行匹配和替换,进而完成脱敏处理。这里我们利用了JDK8提供的一个非常好用的接口Fuction,它提供了apply方法,这个方法作用是为了实现函数映射,也就是将一个值转换为另一个值。如果不了解的同学可以百度下 Fuction 接口。
复制
import java.util.function.Function;
public interface Desensitizer extends Function<String, String> {
}1.2.3.4.
3.4 自定义数据脱敏拦截器
因为要对结果集进行脱敏处理,所以要拦截的对象肯定是ResultSetHandler,并且是第一个方法。(可以想一下为啥是第一个方法)
复制
public interface ResultSetHandler {
<E> List<E> handleResultSets(Statement var1) throws SQLException;
<E> Cursor<E> handleCursorResultSets(Statement var1) throws SQLException;
void handleOutputParameters(CallableStatement var1) throws SQLException;
}1.2.3.4.5.6.7.
来看下具体的实现:
复制
import org.apache.ibatis.executor.resultset.ResultSetHandler;
import org.apache.ibatis.plugin.Interceptor;
import org.apache.ibatis.plugin.Intercepts;
import org.apache.ibatis.plugin.Invocation;
import org.apache.ibatis.plugin.Signature;
import org.apache.ibatis.reflection.MetaObject;
import org.apache.ibatis.reflection.SystemMetaObject;
import org.springframework.stereotype.Component;
import java.lang.reflect.Field;
import java.sql.Statement;
import java.util.List;
import java.util.stream.Stream;
@Component
@Intercepts(@Signature(type = ResultSetHandler.class, method = "handleResultSets", args = Statement.class))
public class DesensitizationPlugin implements Interceptor {
@Override
public Object intercept(Invocation invocation) throws Throwable {
// 获取结果集
List<Object> records = (List<Object>) invocation.proceed();
// 处理结果集
records.forEach(this::desensitization);
return records;
}
/**
* 2 * 判断哪些需要脱敏处理
* 3 * @param source 脱敏之前的源对象
* 4
*/
private void desensitization(Object source) {
// 反射获取类型中的所有属性,判断哪个需要进行脱敏
Class<?> sourceClass = source.getClass();
MetaObject metaObject = SystemMetaObject.forObject(source);
Stream.of(sourceClass.getDeclaredFields())
.filter(field -> field.isAnnotationPresent(Desensitization.class))
.forEach(field -> doDesensitization(metaObject, field));
}
/**
* 2 * 真正的脱敏处理
* 3 * @param metaObject
* 4
*/
private void doDesensitization(MetaObject metaObject, Field field) {
String name = field.getName();
Object value = metaObject.getValue(name);
if (value != null && metaObject.getGetterType(name) == String.class) {
Desensitization annotation = field.getAnnotation(Desensitization.class);
StrategyEnum strategy = annotation.strategy();
String apply = strategy.getDesensitizer().apply((String) value);
metaObject.setValue(name, apply);
}
}
}1.2.3.4.5.6.7.8.9.10.11.12.13.14.15.16.17.18.19.20.21.22.23.24.25.26.27.28.29.30.31.32.33.34.35.36.37.38.39.40.41.42.43.44.45.46.47.48.49.50.51.52.53.54.55.56.57.
数据脱敏字段:
复制
import com.example.cl.mybatisPlugin.Desensitization;
import com.example.cl.mybatisPlugin.StrategyEnum;
import lombok.Getter;
import lombok.Setter;
@Getter
@Setter
public class User {
private Long id;
@Desensitization(strategy = StrategyEnum.NAME)
private String name;
private Integer age;
}1.2.3.4.5.6.7.8.9.10.11.12.13.
最后看下脱敏结果:
图片
4. 总结
根据上面的说明,我们来看看MyBatis 拦截器的优势和不足
优势:非侵入式:通过拦截器机制,不需要修改 MyBatis 源码即可定制功能。
灵活性:可以在多个阶段对 SQL 操作进行干预,从而实现丰富的功能。
不足:性能开销:如果拦截器过多或者逻辑复杂,可能会导致性能下降。
调试困难:拦截器的执行过程较为隐式,调试时可能会遇到一定的困难。
因此,我们拦截器不能创建过多,如果拦截的对象同一个,那么我们可以将多个功能放到同一个拦截器当中,从而减少拦截器的创建。
THE END
