JDBC接続文字列に「columnEncryptionSetting=Enabled」を追加し、Azure Key Vault に対する認証を行うための設定を追加することで、Always Encryptedで暗号化したカラムの取得に加え、更新も行うことができる。
今回は、Always Encryptedで暗号化したカラムを更新してみたので、そのサンプルプログラムを共有する。また、SSMS(SQL Server Management Studio)上での、Always Encryptedで暗号化したカラムの更新方法についても、サンプルプログラムの実行結果の中で共有する。
前提条件
下記記事の実装が完了していること。
Always Encryptedで暗号化されたカラムを復号化して表示してみたAlways Encryptedで暗号化したカラムは、Always Encryptedにより暗号化されたカラムを復号化できる設定を追加す...
作成したサンプルプログラム(App Service側)の内容
作成したサンプルプログラム(App Service側)の構成は以下の通り。
なお、上記の赤枠は、前提条件のプログラムから追加・変更したプログラムである。
コントローラクラスの内容は以下の通りで、パスワードを更新する処理を追加している。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 | package com.example.demo; import javax.servlet.http.HttpServletRequest; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.beans.factory.annotation.Value; import org.springframework.http.HttpEntity; import org.springframework.http.HttpHeaders; import org.springframework.http.HttpMethod; import org.springframework.http.MediaType; import org.springframework.http.ResponseEntity; import org.springframework.stereotype.Controller; import org.springframework.ui.Model; import org.springframework.util.LinkedMultiValueMap; import org.springframework.util.MultiValueMap; import org.springframework.util.StringUtils; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PostMapping; import org.springframework.web.client.RestTemplate; import com.fasterxml.jackson.databind.ObjectMapper; @Controller public class DemoController { /** RestTemplateオブジェクト */ @Autowired private RestTemplate restTemplate; /** ObjectMapperオブジェクト */ @Autowired private ObjectMapper objectMapper; /** application.propertiesからdemoAzureFunc.urlBaseの値を取得 */ @Value("${demoAzureFunc.urlBase}") private String demoAzureFuncBase; /** * メイン画面を初期表示する. * @param model Modelオブジェクト * @return メイン画面 */ @GetMapping("/") public String index(Model model) { return "main"; } /** * 暗号化されたパスワードを取得する. * @param model Modelオブジェクト * @return メイン画面 */ @PostMapping("/getUserPass") public String getUserPass(Model model) { // Azure FunctionsのgetUserPass関数を呼び出すためのヘッダー情報を設定する HttpHeaders headers = new HttpHeaders(); headers.setContentType(MediaType.APPLICATION_JSON); // Azure FunctionsのgetUserPass関数を呼び出すための引数を設定する MultiValueMap<String, String> map = new LinkedMultiValueMap<>(); HttpEntity<MultiValueMap<String, String>> entity = new HttpEntity<>(map, headers); // Azure FunctionsのgetUserPass関数を呼び出す ResponseEntity<String> response = restTemplate.exchange( demoAzureFuncBase + "getUserPass", HttpMethod.POST , entity, String.class); // Azure Functionsの呼出結果を、Modelオブジェクトに設定する try { GetUserPassResult getUserPassResult = objectMapper.readValue( response.getBody(), GetUserPassResult.class); if (getUserPassResult != null && getUserPassResult.getUserPass() != null) { model.addAttribute("getUserPass", getUserPassResult.getUserPass()); } } catch (Exception ex) { throw new RuntimeException(ex); } return "main"; } /** * 暗号化されたパスワードを更新する. * @param model Modelオブジェクト * @param request HttpServletリクエスト * @return メイン画面 */ @PostMapping("/updUserPass") public String updUserPass(Model model, HttpServletRequest request) { String updUserPass = request.getParameter("updUserPass"); // 更新後パスワードが未入力の場合は、更新しない if(!StringUtils.hasText(updUserPass)) { model.addAttribute("updUserPassMsg" , "パスワードが未入力のため更新できませんでした。"); return "main"; } // Azure FunctionsのupdUserPass関数を呼び出すためのヘッダー情報を設定する HttpHeaders headers = new HttpHeaders(); headers.setContentType(MediaType.APPLICATION_JSON); // Azure FunctionsのupdUserPass関数を呼び出すための引数を設定する MultiValueMap<String, String> map = new LinkedMultiValueMap<>(); map.add("updUserPass", updUserPass); HttpEntity<MultiValueMap<String, String>> entity = new HttpEntity<>(map, headers); // Azure FunctionsのupdUserPass関数を呼び出し、完了メッセージを表示する restTemplate.exchange(demoAzureFuncBase + "updUserPass" , HttpMethod.POST, entity, String.class); model.addAttribute("updUserPassMsg", "パスワードの更新が完了しました。"); return "main"; } } |
また、HTMLの内容は以下の通りで、パスワードの更新を行う機能を追加している。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 | <!DOCTYPE html> <html lang="ja" xmlns:th="http://www.thymeleaf.org"> <head> <meta charset="UTF-8"> <title>メイン画面</title> </head> <body> <form method="post" th:action="@{/updUserPass}"> 更新後のUserPass: <input type="text" name="updUserPass" /><br/><br/> <input type="submit" value="UserPassを更新" /><br/><br/> <div th:if="${updUserPassMsg}"> <span th:text="${updUserPassMsg}">updUserPassMsgの値</span> </div> </form> <br/><br/><hr/><br/> <form method="post" th:action="@{/getUserPass}"> <input type="submit" value="getUserPassの値を取得" /><br/><br/> <div th:if="${getUserPass}"> <span th:text="${getUserPass}">getUserPassで取得した値</span> </div> </form> </body> </html> |
その他のソースコード内容は、以下のサイトを参照のこと。
https://github.com/purin-it/azure/tree/master/always-encrypted-update/demoAzureApp
作成したサンプルプログラム(Azure Functions側)の内容
作成したサンプルプログラム(Azure Functions側)の構成は以下の通り。
なお、上記の赤枠は、前提条件のプログラムから追加・変更したプログラムである。
<2021年4月13日 追記>
spring-cloud-function-dependenciesのバージョンは、2021年3月16日にリリースしたバージョン3.1.2を利用すると、1つのAzure Functions内に複数のファンクションを含む場合の不具合が解消できている。
その場合、Handlerクラスの継承するクラスを「AzureSpringBootRequestHandler」クラスから「FunctionInvoker」クラスに変更する。
spring-cloud-function-dependenciesの3.1.2を利用した実装サンプルは、以下の記事を参照のこと。
spring-cloud-function-dependenciesのバージョンを最新(3.1.2)にしてみたこれまでこのブログで取り上げてきたAzure Functionsのサンプルプログラムでは、spring-cloud-function-d...
USER_PASSテーブルにアクセスするMapperクラス・Mapper XMLの内容は以下の通りで、USER_PASSテーブルを更新する処理を追加している。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 | package com.example.mybatis; import org.apache.ibatis.annotations.Mapper; import com.example.mybatis.model.UserPass; @Mapper public interface UserPassMapper { /** * USER_PASSテーブルからデータを1件取得する. * @return USER_PASSテーブルからの取得結果 */ UserPass selectOne(); /** * USER_PASSテーブルのデータを更新する. * @param userPass 更新対象のUSER_PASSテーブルの値 */ void updateUserPass(UserPass userPass); } |
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | <?xml version="1.0" encoding="UTF-8" ?> <!DOCTYPE mapper PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN" "http://mybatis.org/dtd/mybatis-3-mapper.dtd"> <mapper namespace="com.example.mybatis.UserPassMapper"> <resultMap id="userPassResultMap" type="com.example.mybatis.model.UserPass" > <result column="id" property="id" jdbcType="VARCHAR" /> <result column="pass" property="pass" jdbcType="VARCHAR" /> <result column="passEncrypted" property="passEncrypted" jdbcType="VARCHAR" /> </resultMap> <select id="selectOne" resultMap="userPassResultMap"> SELECT id, pass, pass_encrypted AS passEncrypted FROM user_pass WHERE id = 1 </select> <update id="updateUserPass" parameterType="com.example.mybatis.model.UserPass"> UPDATE user_pass SET pass = #{pass}, pass_encrypted = #{passEncrypted} WHERE id = 1 </update> </mapper> |
また、USER_PASSテーブルを更新する処理を呼び出すサービスクラスと、その入出力項目の内容は、以下の通り。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 | package com.example.service; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Service; import com.example.model.UpdUserPassParam; import com.example.model.UpdUserPassResult; import com.example.mybatis.UserPassMapper; import com.example.mybatis.model.UserPass; @Service public class UpdUserPassService { /** USER_PASSテーブルのデータを取得するMapperオブジェクト */ @Autowired private UserPassMapper userPassMapper; /** * USER_PASSテーブルのデータを更新し結果を返却する. * @param updUserPassParam 更新用Param * @return 結果情報オブジェクト */ public UpdUserPassResult updUserPass(UpdUserPassParam updUserPassParam) { UserPass userPass = new UserPass(); userPass.setId("1"); userPass.setPass(updUserPassParam.getUpdUserPass()); userPass.setPassEncrypted(updUserPassParam.getUpdUserPass()); userPassMapper.updateUserPass(userPass); return new UpdUserPassResult(); } } |
1 2 3 4 5 6 7 8 9 10 11 | package com.example.model; import lombok.Data; @Data public class UpdUserPassParam { /** 更新後パスワード */ private String updUserPass; } |
1 2 3 4 5 6 7 8 9 10 | package com.example.model; public class UpdUserPassResult { @Override public String toString() { return "UpdUserPassResult []"; } } |
さらに、Azure Functionsのメインクラスは以下の通りで、USER_PASSテーブルを更新する処理を呼び出すサービスクラスを呼び出しを追加している。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 | package com.example; import java.sql.SQLException; import java.util.HashMap; import java.util.Map; import java.util.function.Function; import javax.annotation.PostConstruct; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.beans.factory.annotation.Value; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.context.annotation.Bean; import com.example.model.GetUserPassParam; import com.example.model.GetUserPassResult; import com.example.model.UpdUserPassParam; import com.example.model.UpdUserPassResult; import com.example.service.GetUserPassService; import com.example.service.UpdUserPassService; import com.microsoft.sqlserver.jdbc.SQLServerColumnEncryptionAzureKeyVaultProvider; import com.microsoft.sqlserver.jdbc.SQLServerColumnEncryptionKeyStoreProvider; import com.microsoft.sqlserver.jdbc.SQLServerConnection; @SpringBootApplication public class DemoAzureFunction { /** keyVaultのクライアントID */ @Value("${keyVaultClientId}") private String keyVaultClientId; /** keyVaultのクライアントキー */ @Value("${keyVaultClientKey}") private String keyVaultClientKey; /** Key Vaultの認証の接続設定が終わっているかどうかを判定するフラグ */ private static boolean keyVaultProviderFlg = false; /** USER_PASSデータ取得サービスクラスのオブジェクト */ @Autowired private GetUserPassService getUserPassService; /** USER_PASSデータ更新サービスクラスのオブジェクト */ @Autowired private UpdUserPassService updUserPassService; public static void main(String[] args) throws Exception { SpringApplication.run(DemoAzureFunction.class, args); } /** * Key Vaultの認証の接続設定を登録する. * @throws SQLException SQL例外 */ @PostConstruct public void postConstruct() throws SQLException { if (!keyVaultProviderFlg) { SQLServerColumnEncryptionAzureKeyVaultProvider akvProvider = new SQLServerColumnEncryptionAzureKeyVaultProvider( keyVaultClientId, keyVaultClientKey); Map<String, SQLServerColumnEncryptionKeyStoreProvider> keyStoreMap = new HashMap<String, SQLServerColumnEncryptionKeyStoreProvider>(); keyStoreMap.put(akvProvider.getName(), akvProvider); SQLServerConnection.registerColumnEncryptionKeyStoreProviders(keyStoreMap); keyVaultProviderFlg = true; } } /** * USER_PASSテーブルのデータを取得し結果を返却する関数 * @return USER_PASSテーブルデータ取得サービスクラスの呼出結果 */ @Bean public Function<GetUserPassParam, GetUserPassResult> getUserPass() { return getUserPassParam -> getUserPassService.getUserPass(getUserPassParam); } /** * USER_PASSテーブルのデータを更新し結果を返却する関数 * @return USER_PASSテーブルデータ更新サービスクラスの呼出結果 */ @Bean public Function<UpdUserPassParam, UpdUserPassResult> updUserPass(){ return updUserPassParam -> updUserPassService.updUserPass(updUserPassParam); } } |
また、ハンドラークラスの内容は以下の通りで、Azure App Serviceのコントローラクラスから呼ばれるupdUserPass関数である。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 | package com.example; import java.util.Optional; import org.springframework.cloud.function.adapter.azure.AzureSpringBootRequestHandler; import com.example.model.UpdUserPassParam; import com.example.model.UpdUserPassResult; import com.fasterxml.jackson.core.type.TypeReference; import com.fasterxml.jackson.databind.ObjectMapper; import com.microsoft.azure.functions.ExecutionContext; import com.microsoft.azure.functions.HttpMethod; import com.microsoft.azure.functions.HttpRequestMessage; import com.microsoft.azure.functions.HttpResponseMessage; import com.microsoft.azure.functions.HttpStatus; import com.microsoft.azure.functions.annotation.AuthorizationLevel; import com.microsoft.azure.functions.annotation.FunctionName; import com.microsoft.azure.functions.annotation.HttpTrigger; public class UpdUserPassHandler extends AzureSpringBootRequestHandler<UpdUserPassParam, UpdUserPassResult> { /** * HTTP要求に応じて、DemoAzureFunctionクラスのupdUserPassメソッドを呼び出し、 * その戻り値をボディに設定したレスポンスを返す. * @param request リクエストオブジェクト * @param context コンテキストオブジェクト * @return レスポンスオブジェクト */ @FunctionName("updUserPass") public HttpResponseMessage execute( @HttpTrigger(name = "request", methods = HttpMethod.POST , authLevel = AuthorizationLevel.ANONYMOUS) HttpRequestMessage<Optional<String>> request , ExecutionContext context) { // リクエストオブジェクトからパラメータ値を取得し、更新用Formに設定する ObjectMapper mapper = new ObjectMapper(); String jsonParam = request.getBody().get(); jsonParam = jsonParam.replaceAll("\\[", "").replaceAll("\\]", ""); UpdUserPassParam updUserPassParam = new UpdUserPassParam(); try { updUserPassParam = mapper.readValue(jsonParam , new TypeReference<UpdUserPassParam>() { }); } catch (Exception ex) { throw new RuntimeException(ex); } // handleRequestメソッド内でDemoAzureFunctionクラスのupdUserPassメソッドを呼び出し、 // その戻り値をボディに設定したレスポンスを、JSON形式で返す return request.createResponseBuilder(HttpStatus.OK) .body(handleRequest(updUserPassParam, context)) .header("Content-Type", "text/json").build(); } } |
その他のソースコード内容は、以下のサイトを参照のこと。
https://github.com/purin-it/azure/tree/master/always-encrypted-update/demoAzureFunc
サンプルプログラムの実行結果
サンプルプログラムの実行結果は、以下の通り。
1)「mvn azure-functions:deploy」コマンドによって、Azure Functions上にサンプルプログラムをデプロイする。
なお、Azure Functionsにデプロイする過程は、以下の記事の「Azure FunctionsへのSpring Bootを利用したJavaアプリケーションのデプロイ」を参照のこと。
Azure Functions上でSpring Bootを利用したJavaアプリケーションを作成してみた前回は、Azure Potal上でAzure Functionsを作成してみたが、今回は、前回作成したAzure FunctionsにS...
2)「mvn azure-webapp:deploy」コマンドによって、Azure App Service上にサンプルプログラムをデプロイする。
なお、Azure App Serviceにデプロイする過程は、以下の記事の「App ServiceへのSpring Bootを利用したJavaアプリケーションのデプロイ」を参照のこと。
Azure App Service上でSpring Bootを利用したJavaアプリケーションを作成してみた前回は、Azure Potal上でApp Serviceを作成してみたが、今回は、前回作成したApp ServiceにSpring Bo...
3) Azure App ServiceのURL「https://azureappdemoservice.azurewebsites.net/」とアクセスした場合の実行結果は、以下の通り。
なお、上記URLは、下記Azure App ServiceのURLから確認できる。
4) 「getUserPassの値を取得」ボタンを押下すると、以下のように、暗号化されたパスワードが復号化されて表示される。
5) 更新後のUserPassに「passAft1」を入力し、「UserPassを更新」ボタンを押下すると、以下のように、更新完了メッセージが表示される。
6) 再度「getUserPassの値を取得」ボタンを押下すると、以下のように、更新後のパスワードが復号化されて表示される。
7) このときのデータベースの値は、以下のようになる。
1 | select * from dbo.USER_PASS where id = 1 |
●復号化しなかった場合
●復号化した場合
なお、SSMS(SQL Server Management Studio)上で暗号化されたカラムを復号化し表示する方法は、下記記事の「SSMSで暗号化されたカラムを復号化し表示」を参照のこと。
SQL DatabaseのカラムをSSMSを使ってAlways Encryptedで暗号化してみたAlways Encryptedを利用すると、SQL DatabaseやSQL Serverのデータベースに格納された、クレジットカード...
8) SSMS上で暗号化されたカラムを更新するには、以下のようなコマンドを実行する。
1 2 | declare @PASS varchar(12) = 'passAftSsms1'; update dbo.USER_PASS set pass = 'passAftSsms1', pass_encrypted = @PASS where id = 1; |
1 | select * from dbo.USER_PASS where id = 1 |
9) Azure App ServiceのURL「https://azureappdemoservice.azurewebsites.net/」とアクセスし、「getUserPassの値を取得」ボタンを押下すると、SSMS上で更新したパスワードが復号化されて表示される。
要点まとめ
- JDBC接続文字列に「columnEncryptionSetting=Enabled」を追加し、Azure Key Vault に対する認証を行うための設定を追加することで、Always Encryptedで暗号化したカラムの取得に加え、更新も行うことができる。
