全部產品
Search

搜尋本產品

    Database Autonomy Service:整合GoLang驅動

    文件中心

    Database Autonomy Service:整合GoLang驅動

    更新時間:Jul 26, 2025

    阿里雲提供了Go語言的全密態用戶端驅動程式alibabacloud-encdb-mysql-go-client,您只需在用戶端使用該驅動串連資料庫,並在資料庫連接URL中指定主要金鑰(Master Encryption Key,簡稱MEK),即可訪問加密資料庫(使用該驅動會自動完成密文資料的解密返回明文資料)。此操作方便便捷,並能夠降低使用全密態功能的成本。該驅動會自動完成密文資料的解密返回明文資料。本文介紹如何使用alibabacloud-encdb-mysql-go-client串連資料庫並訪問加密列的明文資料。

    前提條件

    • 已進行敏感識別的掃描任務,獲得需要加密的敏感性資料列資訊。更多資訊,請參見敏感識別

    • 已為目標資料庫配置列加密能力,並設定目標資料庫帳號的密文許可權為密文許可權(JDBC解密)。設定資料庫列加密的具體操作和帳號許可權的詳細說明,請參見列加密

    • 已擷取加密資料庫串連資訊。您首先需要擷取加密資料庫的串連資訊,如網域名稱(host)、連接埠(port)、資料庫執行個體名(dbname)、使用者名稱(username)、密碼(password)等。

    MEK配置

    由用戶端通過安全的非對稱式加密協議傳輸給資料庫服務端,使服務端、用戶端具有相同的密鑰,從而通過對稱式加密安全傳輸資料。

    取值範圍:長度為16位元組的16進位字串,且長度為32個字元。

    警告

    MEK是您授權用戶端訪問加密資料的根憑據。出於安全考慮,加密資料庫不持有並管理您的MEK,也不提供MEK的產生和備份服務,您需要自行產生MEK。MEK的儲存和管理對資料庫的安全性非常重要。因此我們建議您妥善備份MEK。

    常見的產生方法有:密碼產生工具或程式設計語言中的random函數。

    例如:

    • Linux系統內建OpenSSL工具,執行openssl rand -hex 16,產生密鑰。

    • Windows系統,請安裝OpenSSL軟體包

    注意事項

    • 請妥善儲存您設定的主要金鑰MEK

    • Go版本需要在1.18及以上。

    用戶端接入說明

    1. 擷取驅動程式

    alibabacloud-encdb-mysql-go-client全面相容社區版的GoLang MySQL Driver,支援標準GoLang的database/sql/driver介面,業務側可實現零改造接入。

    驅動已開源在GitHub,詳細說明請參見alibabacloud-encdb-mysql-go-client

    擷取方法:

    go get github.com/aliyun/alibabacloud-encdb-mysql-go-client@latest

    2. 配置MEK並串連資料庫

    說明

    • URL配置方式中,多個參數可以使用&進行拼接。

    • MEK在用戶端本地進行處理,並以安全方式(信封加密)發送到服務端,保證MEK不泄露。

    範例程式碼:

    // 以下串連地址(hostname)、連接埠(port)、資料庫執行個體名(dbname)、使用者名稱(username)、密碼(password)等串連資訊需要更新為您的執行個體資訊 
db, err := sql.Open("encmysql", "<username>:<password>@tcp(<hostname>:<port>)/<dbname>?MEK=00112233445566778899aabbccddeeff")
if err != nil {
    panic(err)
}

    3. 查詢加密列的明文資料

    範例程式碼:

    // 發起查詢	
rows, err := db.Query("SELECT * FROM sddp_test_mask")
if err != nil {
    log.Fatalf("Failed to query data: %v", err)
}
// 確保查詢結果集在使用後關閉
defer rows.Close() 

// 定義變數用於儲存每一行的資料
var id int
var name string
var password string
var age int

// 遍曆每一行資料
for rows.Next() {
    // 將當前行的資料掃描到變數中
    err := rows.Scan(&id, &name, &password, &age)
    if err != nil {
        log.Fatalf("Failed to scan row: %v", err)
    }

    // 輸出當前行的資料
    fmt.Printf("read data: id=%d, name=%s, password=%s, age=%d\n", id, name, password, age)
}

    完整程式碼範例

    例如使用具備密文許可權(JDBC解密)的資料庫帳號查詢某PolarDB MySQL資料庫中加密列的明文資料。

    以下樣本中資料庫配置的相關資訊,請參見列加密中的PolarDB MySQL資料庫列加密樣本

    package main

import (
    "database/sql"
    "fmt"
    "log"

    _ "github.com/aliyun/alibabacloud-encdb-mysql-go-client"
)

func main() {
    // 以下串連地址(hostname)、連接埠(port)、資料庫執行個體名(dbname)、使用者名稱(username)、密碼(password)等串連資訊需要更新為您的執行個體資訊

    db, err := sql.Open("encmysql", "sddp_02:He******4@tcp(polar***.rwlb.rds.aliyuncs.com:3306)/sddp_test?MEK=00112233445566778899aabbccddeeff")
    if err != nil {
        panic(err)
    }

    rows, err := db.Query("SELECT * FROM user3 LIMIT 3")
    if err != nil {
        log.Fatalf("Failed to query data: %v", err)
    }
	
    // 確保查詢結果集在使用後關閉
    defer rows.Close() 

    // 定義變數用於儲存每一行的資料
    var id int
    var name string
    var password string
    var age int

    // 遍曆每一行資料
    for rows.Next() {
        // 將當前行的資料掃描到變數中
        err := rows.Scan(&id, &name, &password, &age)
        if err != nil {
            log.Fatalf("Failed to scan row: %v", err)
        }

        // 輸出當前行的資料
        fmt.Printf("read data: id=%d, name=%s, password=%s, age=%d\n", id, name, password, age)
    }
}

    調用上述代碼後,系統會返回類似如下解密後的結果:

    image