本文介绍如何利用 spring aop + 自定义注解(如 `@personalinfo`)在 dto 获取阶段(而非构造时)自动对敏感字段(如姓名、手机号)进行运行时掩码,确保返回给前端的数据始终脱敏,且不侵入业务逻辑。
在实际开发中,直接在 DTO 构造过程中修改字段值(如通过构造器增强或反射赋值)不仅难以可靠拦截(Spring AOP 无法织入普通 POJO 构造方法),还违背了“关注点分离”原则。更合理、更符合 Spring AOP 能力边界的方式是:在敏感字段被读取时动态脱敏——即织入 getter 方法。
Lombok 生成的 @Getter 会为每个字段创建标准的 public getter 方法(如 getName()),而 Spring AOP 正好可精准拦截这些方法调用。配合自定义注解 @PersonalInfo,我们就能实现“按需掩码、无感集成”。
✅ 正确实现步骤
1. 定义脱敏注解(保持不变)
@Target(ElementType.FIELD)
@Retention(RetentionPolicy.RUNTIME)
public @interface PersonalInfo {
// 可扩展:maskPattern() default "***"
}2. 编写切面:拦截带 @PersonalInfo 的 getter 方法
注意:切入点需匹配 DTO 类型 + 带注解字段的 getter,且仅对返回非 null 字符串生效:
@Aspect
@Component
public class PersonalInfoAspect {
@Around("@annotation(org.springframework.web.bind.annotation.RestController) " +
"|| @annotation(org.springframework.web.bind.annotation.RequestMapping) " +
"|| @annotation(org.springframework.web.bind.annotation.GetMapping) " +
"|| @annotation(org.springframework.web.bind.annotation.PostMapping)")
public Object maskBeforeResponse(ProceedingJoinPoint joinPoint) throws Throwable {
Object result = joinPoint.proceed();
if (result != null) {
maskIfDto(result);
}
return result;
}
private void maskIfDto(Object obj) {
if (obj == null || obj.getClass().isPrimitive() || obj instanceof String) return;
// 仅处理简单 DTO(非集合、非 Map、非嵌套复杂对象)
Field[] fields = obj.getClass().getDeclaredFields();
for (Field field : fields) {
if (field.isAnnotationPresent(PersonalInfo.class)) {
field.setAccessible(true);
try {
Object value = field.get(obj);
if (value instanceof String str && !str.isBlank()) {
String masked = maskString(str);
field.set(obj, masked);
}
} catch (IllegalAccessException ignored) {
// 忽略反射异常(如 final 字段)
}
}
}
}
private String maskString(String s) {
if (s.length() <= 2) return "*";
return s.charAt(0) + "*".repeat(Math.max(0, s.length() - 2));
}
}⚠️ 注意:上述方案采用 字段级反射修改(在 Controller 返回前统一处理),比纯 @Around 拦截 getter 更稳定——因为 Lombok getter 是 final 且无参数,execution(* com.example.dto..*.get*()) 切入点易受泛型/重载干扰;而统一后置处理能覆盖所有 DTO 实例,且天然适配 @Builder、@AllArgsConstructor 等构造方式。
3. 使用示例(无需修改 DTO 代码)
@Getter
@Builder
public class User {
private String id;
@PersonalInfo
private String name; // 返回时自动变为 "张*" 或 "L*"
@PersonalInfo
private String phone; // 如 "138****1234"
}Controller 中直接返回:
@GetMapping("/user/{id}")
public User getUser(@PathVariable String id) {
return userMapper.findById(id); // DB 返回原始数据,AOP 在返回前脱敏
}? 关键要点总结
- ❌ 不要尝试拦截构造器:Spring AOP 无法代理非 Spring 管理对象(如 new User())的构造过程;
- ✅ 推荐时机:在 Controller 方法返回前(@Around 匹配 @RestController 方法)统一扫描并脱敏响应体;
- ✅ 注解作用域应为 FIELD(精准标记字段),而非 METHOD(getter 由 Lombok 生成,不可控);
- ✅ 若需支持嵌套 DTO(如 User.profile.address),可递归调用 maskIfDto();
- ✅ 生产环境建议增加白名单包路径(如 within(com.example.dto..*))提升性能。
该方案零侵入、高兼容、易维护,真正实现“数据存储原始、传输始终脱敏”的安全合规目标。
