本文介绍如何利用 spring aop 在 dto 返回前自动对标注 `@personalinfo` 的字段进行动态脱敏,无需修改业务逻辑或数据库层,通过拦截 getter 方法实现运行时掩码处理。
在构建面向前端的 API 时,常需对敏感字段(如姓名、手机号、身份证号)进行动态脱敏(例如 "张三" → "张*"),且该脱敏行为应与数据持久层解耦——即数据库中仍保存明文,仅在 DTO 序列化为响应体前实时处理。Spring AOP 并不支持直接拦截字段赋值或构造器调用(尤其对 Lombok 生成的无参/全参构造器),但可高效拦截 getter 方法调用:Lombok @Getter 生成的标准 getter(如 getName())属于 public 方法,完全符合 Spring AOP 的代理条件。
✅ 推荐方案:基于 Getter 的环绕通知(Around Advice)
以下为完整实现步骤:
1. 定义脱敏注解(保持不变)
@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
public @interface PersonalInfo {
// 可扩展:maskType() default MaskType.STAR;
}2. 编写 Aspect:拦截所有带 @PersonalInfo 字段的 DTO 的 getter 方法
@Aspect
@Component
public class PersonalInfoAspect {
@Around("execution(public * *(..)) && " +
"within(@org.springframework.stereotype.Controller *) && " +
"target(target) && " +
"args(..) && " +
"get(@com.example.annotation.PersonalInfo *)")
public Object maskPersonalInfo(ProceedingJoinPoint joinPoint) throws Throwable {
Object result = joinPoint.proceed();
if (result == null) return result;
// 获取被调用的 getter 方法名(如 getName → name)
String methodName = joinPoint.getSignature().getName();
if (!methodName.startsWith("get") || methodName.length() <= 3) return result;
String fieldName = Character.toLowerCase(methodName.charAt(3)) + methodName.substring(4);
// 反射获取目标对象的对应字段是否标注 @PersonalInfo
Field field = findFieldInClass(joinPoint.getTarget().getClass(), fieldName);
if (field != null && field.isAnnotationPresent(PersonalInfo.class)) {
return maskValue(result);
}
return result;
}
private Field findFieldInClass(Class clazz, String fieldName) {
try {
return clazz.getDeclaredField(fieldName);
} catch (NoSuchFieldException e) {
if (clazz.getSuperclass() != null) {
return findFieldInClass(clazz.getSuperclass(), fieldName);
}
return null;
}
}
private Object maskValue(Object value) {
if (value instanceof String str && !str.isBlank()) {
return str.length() == 1 ? "*" : str.charAt(0) + "*".repeat(str.length() - 1);
}
return value; // 其他类型(如 Number)默认不处理,可按需扩展
}
}⚠️ 注意事项:Spring AOP 仅代理 Spring 容器管理的 Bean:确保该 Aspect 类被 @Component 扫描,且目标 DTO 被作为返回值由 @Controller 或 @RestController 方法直接返回(Spring MVC 会将其视为代理目标);不适用于非 Spring Bean 场景:若 DTO 是手动 new User() 创建并传入响应体,则无法被 AOP 拦截 —— 此时应改用 @JsonSerialize(Jackson)或 @Schema(OpenAPI)等序列化层脱敏;性能考量:反射查找字段有一定开销,建议配合 ConcurrentHashMap 缓存 Class → Map 提升效率;更健壮的切入点:可将 within(@org.springframework.stereotype.Controller *) 替换为 execution(* com.example.controller..*.*(..)) 显式限定包路径。
3. 使用示例(Controller 层)
@RestController
public class UserController {
@GetMapping("/user/{id}")
public User getUser(@PathVariable String id) {
// 假设从 service 获取原始 User(name 为明文)
return User.builder()
.id(id)
.name("李四丰") // 数据库真实值
.build();
}
}调用 /user/123 将返回:
{ "id": "123", "name": "李**" }✅ 替代方案对比(供选型参考)
| 方案 | 优点 | 缺点 | 适用场景 |
|---|---|---|---|
| Getter 级 AOP(本文方案) | 无侵入、逻辑集中、与序列化解耦 | 依赖 Spring Bean 生命周期;无法覆盖手动 new 对象 | Spring MVC REST API 标准返回流 |
| Jackson @JsonSerialize | 精确控制 JSON 输出;支持任意对象;不依赖 Spring 上下文 | 需为每个字段/类型定义 Serializer;配置分散 | 微服务间 JSON 通信、DTO 序列化强管控 |
| DTO 构造时脱敏(Builder 模式) | 编译期安全、零反射、高性能 | 业务代码需显式调用,违反单一职责;重复逻辑多 | 小型项目或合规强要求场景 |
综上,对于大多数 Spring Boot Web 应用,基于 getter 的 AOP 脱敏是最平衡的选择:它在保持代码简洁性的同时,实现了关注点分离与运行时灵活性。只需确保 DTO 通过 Controller 方法直接返回,即可“零配置”生效。
