我正在尝试使用 Spring MVC 构建一个 RESTful Web 服务。我正在使用 Jackson 的 fasterxml JSON 解析器进行客户端和服务器端之间的通信。
我正在尝试确定是否在我的 RESTful API 中实现 DTO(数据传输对象)。我目前正在使用 Jackson 的 @JsonProperty(access = Access.WRITE_ONLY) 和 @JsonIgnore 注释来防止将敏感字段(例如密码)发送到客户端。
那么,在使用 JSON 进行客户端和服务器之间的通信时,在从响应正文中省略敏感字段时是否需要 DTO,或者注释 @JsonIgnore 和 @JsonProperty 是否足以防止敏感数据泄露?
【问题讨论】:
标签: java json spring rest jackson
假设您谈论将实体序列化为 json 而不是使用不太清楚的 DTO,是的,从架构的角度来看,DTO 将是正确的选择。在控制器下面最常见的是在某个域上运行的服务层,比如说持久性实体或来自排队系统的实体。
将 REST API 与域隔离并将较低级别的域实体映射到服务级别的 DTO 是明智的,最常见的是使用 POJO 映射器。
这会对性能产生一些影响,您可以对其进行优化,但有利于层之间的结构隔离。
第二个好处是您可以聚合来自较低层的信息并操作您的 REST 接口,以便为您提供最佳服务,
如果我们再次谈论实体,那么在持久层中添加 REST api 属性是错误的。
所有这些都是从概念的角度来看的。 另一件应该阻止您为 JPA2 实体提供服务的事情是,从查询返回的对象是增强的对象,因此使用映射器将再次为您提供更多控制权。
选择映射器配置有点棘手,因为如果您在持久性/域级别映射中公开 crud 操作就变得多余了。 暴露实体只会导致缩放问题
【讨论】:
@JsonIgnore,使用 DTO 的目的是什么?例如,假设我有一个带有id、username 和password 的User 对象。我将@JsonIgnore 添加到密码字段,这样当用户登录时,我只返回id 和username,因为当对象被序列化时password 字段被忽略。这种方法是否存在任何安全漏洞?在给定的示例中,我是否需要 DTO?