java web中po 和dto之间的使用

Question

直接把Entity作为参数在客户端和服务端传递不是一个好的实践，容易造成安全隐患，另外也会造成客户端与持久化层的某种耦合，非常不建议这么搞。你需要引入相应的DTO。

容易造成什么安全隐患？
客户端与持久化层为什么会有耦合？

Answer 1

Entity直接映射数据库表的行，可能保存有一些重要信息，如果传递到前端，那么谁都可以看见，就不安全了。用DTO可以把前端不需要用到的数据去掉，重要数据加工过之后再传给前端，前端就不会看到不该看到的信息。

Entity的属性就是数据库的列，如果传递到前端，前端就直接操作数据库的列，这当然是一种耦合。只要你用了某个模块中定义的名字，就是依赖这个模块，前端代码用了数据库定义的名字，也就是列名、数据库表名，自然就是前端和数据库耦合了。

这个耦合的一个表现就是，如果数据库的表名列名发生变化，前端的程序就必须修改否则出错。如果是没有耦合的，比如用了DTO，数据库表的数据都经过加工，放在DTO的属性中，数据库改了，DTO属性名只要不变，前端就不需要修改，这就解耦了。