SpringAOP实现DTO脱敏方法

文章不知道大家是否熟悉？今天我将给大家介绍《Spring AOP 实现 DTO 字段脱敏方案》，这篇文章主要会讲到等等知识点，如果你在看完本篇文章后，有更好的建议或者发现哪里有问题，希望大家都能积极评论指出，谢谢！希望我们能一起加油进步！

本文介绍如何利用 Spring AOP 在 DTO 返回前自动对标注 `@PersonalInfo` 的字段进行动态脱敏，无需修改业务逻辑或数据库层，通过拦截 getter 方法实现运行时掩码处理。

在构建面向前端的 API 时，常需对敏感字段（如姓名、手机号、身份证号）进行动态脱敏（例如 "张三" → "张*"），且该脱敏行为应与数据持久层解耦——即数据库中仍保存明文，仅在 DTO 序列化为响应体前实时处理。Spring AOP 并不支持直接拦截字段赋值或构造器调用（尤其对 Lombok 生成的无参/全参构造器），但可高效拦截 getter 方法调用：Lombok @Getter 生成的标准 getter（如 getName()）属于 public 方法，完全符合 Spring AOP 的代理条件。

✅ 推荐方案：基于 Getter 的环绕通知（Around Advice）

以下为完整实现步骤：

1. 定义脱敏注解（保持不变）

@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
public @interface PersonalInfo {
    // 可扩展：maskType() default MaskType.STAR;
}

2. 编写 Aspect：拦截所有带 @PersonalInfo 字段的 DTO 的 getter 方法

@Aspect
@Component
public class PersonalInfoAspect {

    @Around("execution(public * *(..)) && " +
            "within(@org.springframework.stereotype.Controller *) && " +
            "target(target) && " +
            "args(..) && " +
            "get(@com.example.annotation.PersonalInfo *)")
    public Object maskPersonalInfo(ProceedingJoinPoint joinPoint) throws Throwable {
        Object result = joinPoint.proceed();
        if (result == null) return result;

        // 获取被调用的 getter 方法名（如 getName → name）
        String methodName = joinPoint.getSignature().getName();
        if (!methodName.startsWith("get") || methodName.length() <= 3) return result;
        String fieldName = Character.toLowerCase(methodName.charAt(3)) + methodName.substring(4);

        // 反射获取目标对象的对应字段是否标注 @PersonalInfo
        Field field = findFieldInClass(joinPoint.getTarget().getClass(), fieldName);
        if (field != null && field.isAnnotationPresent(PersonalInfo.class)) {
            return maskValue(result);
        }
        return result;
    }

    private Field findFieldInClass(Class<?> clazz, String fieldName) {
        try {
            return clazz.getDeclaredField(fieldName);
        } catch (NoSuchFieldException e) {
            if (clazz.getSuperclass() != null) {
                return findFieldInClass(clazz.getSuperclass(), fieldName);
            }
            return null;
        }
    }

    private Object maskValue(Object value) {
        if (value instanceof String str && !str.isBlank()) {
            return str.length() == 1 ? "*" : str.charAt(0) + "*".repeat(str.length() - 1);
        }
        return value; // 其他类型（如 Number）默认不处理，可按需扩展
    }
}

⚠️ 注意事项：

• Spring AOP 仅代理 Spring 容器管理的 Bean：确保该 Aspect 类被 @Component 扫描，且目标 DTO 被作为返回值由 @Controller 或 @RestController 方法直接返回（Spring MVC 会将其视为代理目标）；
• 不适用于非 Spring Bean 场景：若 DTO 是手动 new User() 创建并传入响应体，则无法被 AOP 拦截 —— 此时应改用 @JsonSerialize（Jackson）或 @Schema（OpenAPI）等序列化层脱敏；
• 性能考量：反射查找字段有一定开销，建议配合 ConcurrentHashMap 缓存 Class → Map 提升效率；
• 更健壮的切入点：可将 within(@org.springframework.stereotype.Controller *) 替换为 execution(* com.example.controller..*.*(..)) 显式限定包路径。

3. 使用示例（Controller 层）

@RestController
public class UserController {

    @GetMapping("/user/{id}")
    public User getUser(@PathVariable String id) {
        // 假设从 service 获取原始 User（name 为明文）
        return User.builder()
                .id(id)
                .name("李四丰") // 数据库真实值
                .build();
    }
}

调用 /user/123 将返回：

{ "id": "123", "name": "李**" }

✅ 替代方案对比（供选型参考）

综上，对于大多数 Spring Boot Web 应用，基于 getter 的 AOP 脱敏是最平衡的选择：它在保持代码简洁性的同时，实现了关注点分离与运行时灵活性。只需确保 DTO 通过 Controller 方法直接返回，即可“零配置”生效。

以上就是《SpringAOP实现DTO脱敏方法》的详细内容，更多关于的资料请关注golang学习网公众号！