MySQL + MyBatis + AES 数据库加密的一些坑

达芬奇密码2018-07-18 13:12

之前在对数据库加密的需求中遇到一个坑,拿出来分享一下。

加密的方案是:将数据使用AES加密再经过base64编码。

坑一: AES+base64加密后的长度

AES算法加密后的长度应当是:不小于原始长度的16的最小倍数。例如:

  • 15字节加密后变成16字节
  • 16字节加密后变成32字节 这是第一个坑

后面base64编码后的长度即变成4/3倍。

坑二: 数据库的编码对varchar类型的影响

varchar(n) 这个类型其实是指能容纳 n个字符,即如果数据库的编码是utf8,即每个字符可能占3个字节,那么在极限情况下,有可能 3*n 个字节。

然而经过base64以后,这些字节都将对应于一个字符。因此,在n不是16整数倍的情况下,加密以后varchar的长度应当变为4*n (如果n是16整数倍,则存在->坑一)

坑三: 加密后数据库模糊匹配的问题

即无法使用 like 语法,必须完全匹配。

目前没有一个好的解决方案,针对数量级特别小的加密表,忽略模糊匹配的字段查询,解密后再过滤也可以; 量级稍大一点点 并且不需要频繁修改的,将明文结果缓存也可以。

坑四: MySql的字符串比较大小写问题

MySql的字符串匹配默认是大小写不敏感的,也就是说之前系统里能匹配到的加密后就无法匹配了。

这里还涉及到统一认证系统URS的一个问题,该系统返回给我们的账户名有时大写有时小写。。

这是MySql的一个特性,sqlite则默认大小写敏感

坑五: MyBatis缓存

由于MyBatis的缓存,在dao操作里对select出来的对象直接解密,可能会对下一次同一个dao操作有影响。详见:mybatis 的缓存坑

本文来自网易实践者社区,经作者郁利涛授权发布。