MyBatis 拦截器，带你轻松搞定数据脱敏！-51CTO.COM

1. 引言

1.1 什么是 MyBatis 拦截器

MyBatis 拦截器是一种插件机制，用于在 MyBatis 执行 SQL 语句时对其进行拦截、修改或增强。拦截器可以插入到 MyBatis 的执行过程中的不同位置，从而实现自定义的行为，例如记录日志、修改 SQL 查询、增强性能等。

定义：MyBatis 拦截器是一种自定义插件，可以通过它拦截 MyBatis 核心组件（如 Executor、StatementHandler、ParameterHandler、ResultSetHandler）的方法调用。通过拦截器，我们可以在不修改 MyBatis 源码的情况下，改变其行为或增强其功能。
功能：

修改 SQL 语句，例如根据某些业务规则动态拼接 SQL。

记录 SQL 执行日志、性能监控，统计执行时间等。

控制事务或实现缓存逻辑等。

1.2 为什么使用拦截器

使用 MyBatis 拦截器的主要原因是需要在不修改核心代码的情况下，灵活地扩展 MyBatis 的功能。常见的应用场景包括：

日志记录：通过拦截器记录每个 SQL 语句的执行情况，包括 SQL 本身、执行时间、返回结果等信息，用于后期分析和调试。
SQL 性能监控：拦截器可以用于统计 SQL 执行的时间，从而评估 SQL 的性能。长时间执行的 SQL 可以被识别出来，作为性能优化的目标。
修改 SQL 语句：通过拦截器可以动态修改 SQL 语句，例如，在查询中动态插入条件、修改排序规则，或者添加分页逻辑。
事务控制：在执行 SQL 操作之前、之后，或者在某些异常发生时，拦截器可以用来增强事务管理。

2. MyBatis 拦截器工作原理

2.1 拦截器的核心概念

MyBatis 拦截器工作时，核心组件是 Invocation、Interceptor、Method 和 Target 对象等：

Interceptor：这是所有自定义拦截器的接口，MyBatis 会根据配置找到并调用实现该接口的类。
Invocation：封装了方法调用的对象，它包含了目标方法的信息以及方法的参数。通过 Invocation 对象，我们可以对方法的执行进行控制。
Method：表示目标方法，它是通过反射来获取的。
Target：表示目标对象，它是被拦截的对象。例如，Executor、StatementHandler 等都是目标对象，拦截器会通过 Target 对象来访问和控制这些对象的行为。

2.2 拦截器的生命周期

MyBatis 中，拦截器的生命周期通常包含三个阶段：

插件初始化：当 MyBatis 启动时，它会加载并初始化所有配置的拦截器。这时，拦截器会准备好拦截逻辑。
拦截执行：当 MyBatis 执行某个 SQL 语句时，会触发拦截器的 intercept() 方法，这时拦截器会获取执行方法的参数，可以进行修改、增强或替换方法的执行。
插件销毁：拦截器在 MyBatis 销毁时会清理资源，释放占用的内存或线程等。

2.3 目标对象和方法

在 MyBatis 中，主要有四个目标对象可以被拦截：

Executor：执行 SQL 语句的核心对象。它的 update()、query() 等方法负责执行实际的增、删、改、查操作。
StatementHandler：处理 SQL 语句的对象。它负责将 SQL 语句和参数绑定，并将其传递给数据库。
ResultSetHandler：处理 SQL 查询结果的对象。它负责将从数据库返回的 ResultSet 转换为 Java 对象。
ParameterHandler：处理 SQL 参数绑定的对象。它负责将参数设置到 SQL 语句中。

3. MyBatis 拦截器的实现

这里小编会分享工作中实际的案例: 数据脱敏。

3.1 自定义脱敏注解

首先需要知晓具体是哪个类中的哪些属性需要进行脱敏处理，因此，需要自定义注解来实现对需要脱敏的属性进行标注。

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
public @interface Desensitization {
    StrategyEnum strategy();
}

3.2 脱敏策略

有了标注后，对于脱敏也会涉及到脱敏策略的问题。不同的属性，应该对应不同的脱敏方式，例如，名字只保留姓氏，而身份证和电话号码，则需要对中间的数字打码。因此，在使用自定义注解进行标注的同时，也要指定这个属性对应的脱敏策略，这里使用枚举类枚举出不同属性对应的正则处理。

import lombok.AllArgsConstructor;
import lombok.Getter;

@Getter
@AllArgsConstructor
public enum StrategyEnum {

    NAME(s -> s.replaceAll("([\\u4e00-\\u9fa5]{1})(.*)", "$1*")),
    ID_CARD(s -> s.replaceAll("(\\d{4})\\d{10}(\\w{4})", "$1****$2")),
    PHONE(s -> s.replaceAll("(\\d{3})\\d{4}(\\d{4})", "$1****$2")),
    ADDRESS(s -> s.replaceAll("(\\s{8})\\s{4}(\\s*)\\s{4})", "$1****$2****"));

    private final Desensitizer desensitizer;

}

3.3 脱敏执行者

对于脱敏处理还需要一个执行者，将属性值和正则表达式进行匹配和替换，进而完成脱敏处理。这里我们利用了JDK8提供的一个非常好用的接口Fuction，它提供了apply方法，这个方法作用是为了实现函数映射，也就是将一个值转换为另一个值。如果不了解的同学可以百度下 Fuction 接口。

import java.util.function.Function;

public interface Desensitizer extends Function<String, String> {
}

3.4 自定义数据脱敏拦截器

因为要对结果集进行脱敏处理，所以要拦截的对象肯定是ResultSetHandler，并且是第一个方法。(可以想一下为啥是第一个方法)

public interface ResultSetHandler {
    <E> List<E> handleResultSets(Statement var1) throws SQLException;

    <E> Cursor<E> handleCursorResultSets(Statement var1) throws SQLException;

    void handleOutputParameters(CallableStatement var1) throws SQLException;
}

来看下具体的实现:

import org.apache.ibatis.executor.resultset.ResultSetHandler;
import org.apache.ibatis.plugin.Interceptor;
import org.apache.ibatis.plugin.Intercepts;
import org.apache.ibatis.plugin.Invocation;
import org.apache.ibatis.plugin.Signature;
import org.apache.ibatis.reflection.MetaObject;
import org.apache.ibatis.reflection.SystemMetaObject;
import org.springframework.stereotype.Component;

import java.lang.reflect.Field;
import java.sql.Statement;
import java.util.List;
import java.util.stream.Stream;

@Component
@Intercepts(@Signature(type = ResultSetHandler.class, method = "handleResultSets", args = Statement.class))
public class DesensitizationPlugin implements Interceptor {

    @Override
    public Object intercept(Invocation invocation) throws Throwable {
        // 获取结果集
        List<Object> records = (List<Object>) invocation.proceed();
        // 处理结果集
        records.forEach(this::desensitization);
        return records;
    }

    /**
     * 2 * 判断哪些需要脱敏处理
     * 3 * @param source 脱敏之前的源对象
     * 4
     */
    private void desensitization(Object source) {
        // 反射获取类型中的所有属性，判断哪个需要进行脱敏
        Class<?> sourceClass = source.getClass();
        MetaObject metaObject = SystemMetaObject.forObject(source);
        Stream.of(sourceClass.getDeclaredFields())
                .filter(field -> field.isAnnotationPresent(Desensitization.class))
                .forEach(field -> doDesensitization(metaObject, field));
    }

    /**
     * 2 * 真正的脱敏处理
     * 3 * @param metaObject
     * 4
     */
    private void doDesensitization(MetaObject metaObject, Field field) {
        String name = field.getName();
        Object value = metaObject.getValue(name);
        if (value != null && metaObject.getGetterType(name) == String.class) {
            Desensitization annotation = field.getAnnotation(Desensitization.class);
            StrategyEnum strategy = annotation.strategy();
            String apply = strategy.getDesensitizer().apply((String) value);
            metaObject.setValue(name, apply);
        }
    }
}

数据脱敏字段:

import com.example.cl.mybatisPlugin.Desensitization;
import com.example.cl.mybatisPlugin.StrategyEnum;
import lombok.Getter;
import lombok.Setter;

@Getter
@Setter
public class User {
    private Long id;
    @Desensitization(strategy = StrategyEnum.NAME)
    private String name;
    private Integer age;
}

最后看下脱敏结果:

图片

4. 总结

根据上面的说明，我们来看看MyBatis 拦截器的优势和不足

优势：

非侵入式：通过拦截器机制，不需要修改 MyBatis 源码即可定制功能。

灵活性：可以在多个阶段对 SQL 操作进行干预，从而实现丰富的功能。

不足：

性能开销：如果拦截器过多或者逻辑复杂，可能会导致性能下降。

调试困难：拦截器的执行过程较为隐式，调试时可能会遇到一定的困难。

因此，我们拦截器不能创建过多，如果拦截的对象同一个，那么我们可以将多个功能放到同一个拦截器当中，从而减少拦截器的创建。