使用CipherStash ProtectJS实现Supabase数据库字段级加密

使用CipherStash ProtectJS实现Supabase数据库字段级加密

protectjs Encrypt and protect data using industry standard algorithms, field level encryption, a unique data key per record, bulk encryption operations, and decryption level identity verification. Powered by CipherStash Encryption. 项目地址: https://gitcode.com/gh_mirrors/pro/protectjs

前言

在现代Web应用开发中，数据安全始终是开发者需要重点关注的领域。本文将介绍如何利用CipherStash ProtectJS这个强大的JavaScript加密库，结合Supabase数据库和Hono框架，构建一个具有字段级加密功能的RESTful API服务。

技术栈介绍

CipherStash ProtectJS

CipherStash ProtectJS是一个专注于数据保护的JavaScript库，它提供了简单易用的API来实现字段级别的数据加密。主要特点包括：

• 透明的加密/解密流程
• 支持结构化数据加密
• 与现有数据库系统无缝集成

Supabase

Supabase是一个开源的Firebase替代方案，基于PostgreSQL构建，提供了数据库、认证、存储等后端服务。

Hono

Hono是一个轻量级的Web框架，专为边缘计算优化，具有极快的启动速度和简洁的API设计。

实现原理

本方案的核心思想是在数据持久化到数据库之前，对敏感字段进行加密处理。具体流程如下：

1. 应用接收到用户数据
2. 使用ProtectJS对敏感字段(如email)进行加密
3. 将加密后的数据存储到Supabase
4. 读取数据时自动解密敏感字段

这种方案既保证了数据在存储时的安全性，又保持了应用层的透明性。

环境准备

系统要求

• Node.js v18或v20版本
• 有效的Supabase账户
• CipherStash账户(用于获取凭证)

环境变量配置

在项目根目录创建.env文件，包含以下变量：

SUPABASE_URL=你的Supabase项目URL
SUPABASE_ANON_KEY=你的Supabase匿名密钥
CS_CLIENT_ID=你的CipherStash客户端ID
CS_CLIENT_KEY=你的CipherStash客户端密钥
CS_CLIENT_ACCESS_TOKEN=你的CipherStash访问令牌
CS_WORKSPACE_ID=你的CipherStash工作区ID

数据库设计

在Supabase中创建users表，SQL语句如下：

CREATE TABLE users (
  id SERIAL PRIMARY KEY,
  email jsonb NOT NULL,
  name VARCHAR(255) NOT NULL,
  role VARCHAR(255) NOT NULL
);

特别注意的是，email字段使用了jsonb类型，这是为了存储ProtectJS加密后的结构化数据。

API实现详解

1. 初始化ProtectJS

在应用启动时，需要先初始化ProtectJS客户端：

import { protect } from '@cipherstash/protect'

await protect.init({
  clientId: process.env.CS_CLIENT_ID,
  clientKey: process.env.CS_CLIENT_KEY,
  accessToken: process.env.CS_CLIENT_ACCESS_TOKEN,
  workspaceId: process.env.CS_WORKSPACE_ID
})

2. 创建用户接口

POST /users 接口实现数据加密存储：

app.post('/users', async (c) => {
  const { email, name } = await c.req.json()
  
  try {
    // 加密email字段
    const encryptedEmail = await protect.encrypt(email)
    
    // 存储到Supabase
    const { error } = await supabase
      .from('users')
      .insert([{ email: encryptedEmail, name, role: 'user' }])
    
    if (error) throw error
    
    return c.json({ message: 'User created successfully' })
  } catch (error) {
    return c.json({ message: 'User creation failed' }, 500)
  }
})

3. 获取用户接口

GET /users 接口实现数据解密：

app.get('/users', async (c) => {
  const { data, error } = await supabase.from('users').select('*')
  
  if (error) {
    return c.json({ message: 'Failed to fetch users' }, 500)
  }
  
  // 解密所有用户的email字段
  const users = await Promise.all(
    data.map(async (user) => ({
      ...user,
      email: await protect.decrypt(user.email)
    }))
  )
  
  return c.json({ users })
})

加密原理深入

ProtectJS使用了先进的加密算法来保护数据安全，主要包括：

1. 密钥管理：使用CipherStash的密钥管理系统，确保加密密钥的安全存储和轮换
2. 数据序列化：加密后的数据会被序列化为JSON结构，包含加密算法标识、初始化向量等元数据
3. 完整性保护：除了机密性，还通过MAC(消息认证码)确保数据完整性

性能考虑

在实际应用中，加密/解密操作会带来一定的性能开销，需要注意：

1. 批量操作时考虑并行解密
2. 对于不敏感的查询可以缓存解密结果
3. 合理设计数据库索引，避免加密字段的全表扫描

最佳实践建议

1. 敏感字段识别：明确哪些字段需要加密，避免过度加密影响性能
2. 密钥轮换：定期更新加密密钥
3. 访问控制：即使数据已加密，仍需实施严格的数据库访问控制
4. 日志处理：确保日志中不会记录敏感数据的明文

总结

通过CipherStash ProtectJS与Supabase的集成，我们可以在几乎不改变现有应用架构的情况下，为敏感数据提供强大的保护。这种方案特别适合处理用户隐私数据、医疗记录、金融信息等敏感内容。Hono框架的轻量级特性使得整个解决方案保持高效简洁，非常适合现代云原生应用场景。

开发者可以根据实际需求扩展此方案，例如添加更多的加密字段、实现更复杂的查询逻辑，或者集成到现有的认证流程中。

protectjs Encrypt and protect data using industry standard algorithms, field level encryption, a unique data key per record, bulk encryption operations, and decryption level identity verification. Powered by CipherStash Encryption. 项目地址: https://gitcode.com/gh_mirrors/pro/protectjs