MyBatis-Plus YML配置加密与@PostConstruct初始化冲突问题解析

问题背景

在使用MyBatis-Plus进行数据库连接配置时，开发人员经常会采用YML文件进行数据源配置。为了安全性考虑，MyBatis-Plus提供了配置项加密功能，可以通过在用户名和密码前添加mpw:前缀来标识加密内容。然而，当这种加密配置与Spring的@PostConstruct初始化方法结合使用时，可能会出现数据库连接认证失败的问题。

问题现象

开发人员在application.yml中配置了加密的数据源信息：

spring:
  datasource:
    url: jdbc:mysql://xxxxxxxxx
    username: mpw:**********
    password: mpw:**********

同时在代码中使用@PostConstruct注解的方法进行初始化操作：

@PostConstruct
public void init() {
    long count = demoDAO.count();
}

启动应用时，系统抛出异常：Access denied for user 'mpw:***********'@'xxxx.com' (using password: YES)，表明数据库连接认证失败。

问题原因分析

1. 配置解密时机问题：MyBatis-Plus的解密处理器可能在Spring容器完全初始化之前尚未准备好，导致@PostConstruct方法执行时配置项还未被正确解密。

2. Bean初始化顺序：Spring容器在处理@PostConstruct方法时，数据源相关的Bean可能还未完成完整的初始化流程，包括配置解密过程。

3. 环境变量传递：虽然开发人员已经通过-Dmpw.key=xxxxx参数传递了解密密钥，但这个密钥可能在某些初始化阶段还未被正确加载。

解决方案

1. 延迟初始化：将需要在启动时执行的数据库操作从@PostConstruct方法中移出，改为使用事件监听或CommandLineRunner接口实现。

2. 显式解密处理：在@PostConstruct方法中先显式调用解密逻辑，确保配置项已被正确解密。

3. 配置调整：检查Spring Boot的自动配置顺序，确保数据源配置在@PostConstruct方法执行前已完成解密。

4. 环境验证：在@PostConstruct方法中添加环境验证逻辑，确认解密密钥已正确加载。

最佳实践建议

1. 避免在@PostConstruct方法中执行依赖数据源的复杂操作，特别是应用启动阶段。

2. 对于必须的初始化数据操作，考虑使用Spring的ApplicationRunner或CommandLineRunner接口。

3. 在测试环境中先验证配置解密功能是否正常工作，再应用到生产环境。

4. 对于关键配置项，添加适当的日志输出，便于跟踪解密和初始化过程。

通过理解MyBatis-Plus配置解密机制与Spring生命周期管理的交互方式，开发人员可以更好地规划初始化逻辑，避免类似问题的发生。