请求映射
本节讨论带注解的 Controller 的请求映射。
@RequestMapping
你可以使用 @RequestMapping 注解将请求映射到 Controller 方法。它有多种属性,可以通过 URL、HTTP 方法、请求参数、请求头和媒体类型进行匹配。你可以在类级别使用它来表达共享映射,或者在方法级别使用它来缩小到特定的端点映射。
@RequestMapping 还有针对特定 HTTP 方法的快捷变体:
-
@GetMapping -
@PostMapping -
@PutMapping -
@DeleteMapping -
@PatchMapping
这些快捷方式是 自定义注解,提供它们是因为,可以说,大多数 Controller 方法应该映射到特定的 HTTP 方法,而不是使用默认匹配所有 HTTP 方法的 @RequestMapping。在类级别仍然需要 @RequestMapping 来表达共享映射。
@RequestMapping 不能与声明在同一元素(类、接口或方法)上的其他 @RequestMapping 注解一起使用。如果在同一元素上检测到多个 @RequestMapping 注解,将记录警告,并且只使用第一个映射。这同样适用于组合的 @RequestMapping 注解,例如 @GetMapping、@PostMapping 等。 |
以下示例包含类型和方法级别的映射:
-
Java
-
Kotlin
@RestController
@RequestMapping("/persons")
class PersonController {
@GetMapping("/{id}")
public Person getPerson(@PathVariable Long id) {
// ...
}
@PostMapping
@ResponseStatus(HttpStatus.CREATED)
public void add(@RequestBody Person person) {
// ...
}
}@RestController
@RequestMapping("/persons")
class PersonController {
@GetMapping("/{id}")
fun getPerson(@PathVariable id: Long): Person {
// ...
}
@PostMapping
@ResponseStatus(HttpStatus.CREATED)
fun add(@RequestBody person: Person) {
// ...
}
}URI 模式
@RequestMapping 方法可以使用 URL 模式进行映射。有两种替代方案:
-
PathPattern— 一种预解析的模式,用于匹配也预解析为PathContainer的 URL 路径。该方案专为 Web 用途设计,能有效处理编码和路径参数,并且匹配效率高。 -
AntPathMatcher— 将 String 模式与 String 路径进行匹配。这是原始的解决方案,也用于 Spring 配置中选择类路径、文件系统和其他位置的资源。它的效率较低,并且 String 路径输入在有效处理 URL 编码及其他问题方面具有挑战性。
PathPattern 是 Web 应用的推荐解决方案,并且是 Spring WebFlux 中唯一的选择。从 5.3 版本开始,它在 Spring MVC 中被启用,并从 6.0 版本开始默认启用。有关路径匹配选项的自定义,请参阅 MVC 配置。
PathPattern 支持与 AntPathMatcher 相同的模式语法。此外,它还支持捕获模式,例如 {*spring},用于匹配路径末尾的 0 个或多个路径段。PathPattern 还限制使用 ** 来匹配多个路径段,只允许它出现在模式的末尾。这消除了在为给定请求选择最佳匹配模式时出现的许多歧义情况。有关完整的模式语法,请参阅 PathPattern 和 AntPathMatcher。
一些模式示例:
-
"/resources/ima?e.png"- 匹配路径段中的一个字符 -
"/resources/*.png"- 匹配路径段中的零个或多个字符 -
"/resources/**"- 匹配多个路径段 -
"/projects/{project}/versions"- 匹配路径段并将其捕获为变量 -
"/projects/{project:[a-z]+}/versions"- 使用正则表达式匹配并捕获变量
捕获的 URI 变量可以使用 @PathVariable 访问。例如:
-
Java
-
Kotlin
@GetMapping("/owners/{ownerId}/pets/{petId}")
public Pet findPet(@PathVariable Long ownerId, @PathVariable Long petId) {
// ...
}@GetMapping("/owners/{ownerId}/pets/{petId}")
fun findPet(@PathVariable ownerId: Long, @PathVariable petId: Long): Pet {
// ...
}你可以在类级别和方法级别声明 URI 变量,如下例所示:
-
Java
-
Kotlin
@Controller
@RequestMapping("/owners/{ownerId}")
public class OwnerController {
@GetMapping("/pets/{petId}")
public Pet findPet(@PathVariable Long ownerId, @PathVariable Long petId) {
// ...
}
}@Controller
@RequestMapping("/owners/{ownerId}")
class OwnerController {
@GetMapping("/pets/{petId}")
fun findPet(@PathVariable ownerId: Long, @PathVariable petId: Long): Pet {
// ...
}
}URI 变量会自动转换为适当的类型,否则会抛出 TypeMismatchException。默认支持简单类型(int、long、Date 等),你可以为任何其他数据类型注册支持。请参阅 类型转换 和 DataBinder。
你可以显式命名 URI 变量(例如 @PathVariable("customId")),但如果名称相同且你的代码使用 -parameters 编译器标志编译,则可以省略此细节。
语法 {varName:regex} 声明了一个带有正则表达式的 URI 变量,其语法为 {varName:regex}。例如,给定 URL "/spring-web-3.0.5.jar",以下方法可以提取名称、版本和文件扩展名:
-
Java
-
Kotlin
@GetMapping("/{name:[a-z-]+}-{version:\\d\\.\\d\\.\\d}{ext:\\.[a-z]+}")
public void handle(@PathVariable String name, @PathVariable String version, @PathVariable String ext) {
// ...
}@GetMapping("/{name:[a-z-]+}-{version:\\d\\.\\d\\.\\d}{ext:\\.[a-z]+}")
fun handle(@PathVariable name: String, @PathVariable version: String, @PathVariable ext: String) {
// ...
}URI 路径模式还可以包含嵌入的 ${…} 占位符,这些占位符在启动时通过 PropertySourcesPlaceholderConfigurer 根据本地、系统、环境和其他属性源进行解析。例如,你可以使用此功能根据一些外部配置对基本 URL 进行参数化。
模式比较
当多个模式匹配一个 URL 时,必须选择最佳匹配。根据是否启用解析的 PathPattern,使用以下方法之一进行选择:
两者都有助于将更具体的模式排在前面。一个模式如果 URI 变量(计为 1)、单个通配符(计为 1)和双通配符(计为 2)的数量较低,则更具体。在得分相等的情况下,选择更长的模式。在得分和长度相同的情况下,选择 URI 变量多于通配符的模式。
默认映射模式 (/**) 不参与评分,总是排在最后。此外,前缀模式(如 /public/**)被认为不如没有双通配符的其他模式具体。
有关完整详细信息,请点击上面的链接查看模式比较器。
后缀匹配
从 5.3 版本开始,Spring MVC 默认不再执行 .* 后缀模式匹配,即映射到 /person 的 Controller 不再隐式映射到 /person.*。因此,路径扩展名不再用于解释响应请求的内容类型——例如,/person.pdf、/person.xml 等。
以前,当浏览器发送难以一致解释的 Accept 请求头时,以这种方式使用文件扩展名是必要的。目前,这已不再是必需的,应该首选使用 Accept 请求头。
随着时间的推移,文件名扩展名的使用在多种方面已被证明存在问题。当与 URI 变量、路径参数和 URI 编码重叠使用时,它可能导致歧义。基于 URL 的授权和安全性推理(更多详细信息见下一节)也变得更加困难。
要在 5.3 之前的版本中完全禁用路径扩展名,请设置以下内容:
-
useSuffixPatternMatching(false),请参阅 PathMatchConfigurer -
favorPathExtension(false),请参阅 ContentNegotiationConfigurer
拥有除通过 "Accept" 请求头之外的方式来请求内容类型仍然有用,例如在浏览器中输入 URL 时。路径扩展名的一种安全替代方案是使用查询参数策略。如果必须使用文件扩展名,请考虑通过 ContentNegotiationConfigurer 的 mediaTypes 属性将其限制为显式注册的扩展名列表。
后缀匹配和 RFD
反射式文件下载(RFD)攻击类似于 XSS,因为它依赖于请求输入(例如,查询参数和 URI 变量)在响应中被反射。然而,RFD 攻击不是将 JavaScript 插入 HTML,而是依赖于浏览器切换到执行下载,并在稍后双击时将响应视为可执行脚本。
在 Spring MVC 中,@ResponseBody 和 ResponseEntity 方法存在风险,因为它们可以渲染不同的内容类型,客户端可以通过 URL 路径扩展名请求这些类型。禁用后缀模式匹配和使用路径扩展名进行内容协商可以降低风险,但不足以防止 RFD 攻击。
为了防止 RFD 攻击,在渲染响应体之前,Spring MVC 会添加 Content-Disposition:inline;filename=f.txt 请求头,以建议一个固定且安全的下载文件名。只有当 URL 路径包含的文件扩展名既未被允许为安全,也未显式注册用于内容协商时,才会执行此操作。但是,当直接在浏览器中键入 URL 时,这可能会产生副作用。
默认情况下,许多常见的路径扩展名被允许为安全。具有自定义 HttpMessageConverter 实现的应用可以显式注册文件扩展名用于内容协商,以避免为这些扩展名添加 Content-Disposition 请求头。请参阅 内容类型。
有关 RFD 的其他建议,请参阅 CVE-2015-5211。
可消费的媒体类型
你可以根据请求的 Content-Type 来缩小请求映射的范围,如下例所示:
-
Java
-
Kotlin
@PostMapping(path = "/pets", consumes = "application/json") (1)
public void addPet(@RequestBody Pet pet) {
// ...
}| 1 | 使用 consumes 属性根据内容类型缩小映射范围。 |
@PostMapping("/pets", consumes = ["application/json"]) (1)
fun addPet(@RequestBody pet: Pet) {
// ...
}| 1 | 使用 consumes 属性根据内容类型缩小映射范围。 |
consumes 属性还支持否定表达式——例如,!text/plain 表示除 text/plain 之外的任何内容类型。
你可以在类级别声明一个共享的 consumes 属性。然而,与大多数其他请求映射属性不同,当在类级别使用时,方法级别的 consumes 属性会覆盖而不是扩展类级别的声明。
MediaType 提供了常用媒体类型的常量,例如 APPLICATION_JSON_VALUE 和 APPLICATION_XML_VALUE。 |
可生产的媒体类型
你可以根据 Accept 请求头和 Controller 方法生成的内容类型列表来缩小请求映射的范围,如下例所示:
-
Java
-
Kotlin
@GetMapping(path = "/pets/{petId}", produces = "application/json") (1)
@ResponseBody
public Pet getPet(@PathVariable String petId) {
// ...
}| 1 | 使用 produces 属性根据内容类型缩小映射范围。 |
@GetMapping("/pets/{petId}", produces = ["application/json"]) (1)
@ResponseBody
fun getPet(@PathVariable petId: String): Pet {
// ...
}| 1 | 使用 produces 属性根据内容类型缩小映射范围。 |
媒体类型可以指定字符集。支持否定表达式——例如,!text/plain 表示除 "text/plain" 之外的任何内容类型。
你可以在类级别声明一个共享的 produces 属性。然而,与大多数其他请求映射属性不同,当在类级别使用时,方法级别的 produces 属性会覆盖而不是扩展类级别的声明。
MediaType 提供了常用媒体类型的常量,例如 APPLICATION_JSON_VALUE 和 APPLICATION_XML_VALUE。 |
参数,请求头
你可以根据请求参数条件来缩小请求映射的范围。你可以测试请求参数是否存在(myParam)、是否存在(!myParam)或具有特定值(myParam=myValue)。以下示例展示了如何测试特定值:
-
Java
-
Kotlin
@GetMapping(path = "/pets/{petId}", params = "myParam=myValue") (1)
public void findPet(@PathVariable String petId) {
// ...
}| 1 | 测试 myParam 是否等于 myValue。 |
@GetMapping("/pets/{petId}", params = ["myParam=myValue"]) (1)
fun findPet(@PathVariable petId: String) {
// ...
}| 1 | 测试 myParam 是否等于 myValue。 |
你也可以对请求头条件使用相同的方法,如下例所示:
-
Java
-
Kotlin
@GetMapping(path = "/pets/{petId}", headers = "myHeader=myValue") (1)
public void findPet(@PathVariable String petId) {
// ...
}| 1 | 测试 myHeader 是否等于 myValue。 |
@GetMapping("/pets/{petId}", headers = ["myHeader=myValue"]) (1)
fun findPet(@PathVariable petId: String) {
// ...
}| 1 | 测试 myHeader 是否等于 myValue。 |
HTTP HEAD, OPTIONS
@GetMapping(以及 @RequestMapping(method=HttpMethod.GET))为请求映射透明地支持 HTTP HEAD。Controller 方法无需更改。在 jakarta.servlet.http.HttpServlet 中应用的响应包装器确保 Content-Length 请求头被设置为写入的字节数(而实际上并未写入响应)。
默认情况下,HTTP OPTIONS 通过将 Allow 响应头设置为所有具有匹配 URL 模式的 @RequestMapping 方法中列出的 HTTP 方法列表来处理。
对于没有声明 HTTP 方法的 @RequestMapping,Allow 请求头被设置为 GET,HEAD,POST,PUT,PATCH,DELETE,OPTIONS。Controller 方法应始终声明支持的 HTTP 方法(例如,通过使用特定于 HTTP 方法的变体:@GetMapping、@PostMapping 等)。
你可以显式地将 @RequestMapping 方法映射到 HTTP HEAD 和 HTTP OPTIONS,但在一般情况下没有必要。
自定义注解
Spring MVC 支持使用 组合注解 进行请求映射。这些注解本身被 @RequestMapping 元注解,并组合以更窄、更具体的方式重新声明 @RequestMapping 的部分(或全部)属性。
@GetMapping、@PostMapping、@PutMapping、@DeleteMapping 和 @PatchMapping 是组合注解的示例。提供它们是因为,可以说,大多数 Controller 方法应该映射到特定的 HTTP 方法,而不是使用默认匹配所有 HTTP 方法的 @RequestMapping。如果你需要如何实现组合注解的示例,请查看它们的声明方式。
@RequestMapping 不能与声明在同一元素(类、接口或方法)上的其他 @RequestMapping 注解一起使用。如果在同一元素上检测到多个 @RequestMapping 注解,将记录警告,并且只使用第一个映射。这同样适用于组合的 @RequestMapping 注解,例如 @GetMapping、@PostMapping 等。 |
Spring MVC 还支持带有自定义请求匹配逻辑的自定义请求映射属性。这是一个更高级的选项,需要继承 RequestMappingHandlerMapping 并重写 getCustomMethodCondition 方法,在该方法中,你可以检查自定义属性并返回自己的 RequestCondition。
显式注册
你可以通过编程方式注册 handler 方法,这可用于动态注册或高级场景,例如同一 handler 的不同实例在不同 URL 下。以下示例注册了一个 handler 方法:
-
Java
-
Kotlin
@Configuration
public class MyConfig {
@Autowired
public void setHandlerMapping(RequestMappingHandlerMapping mapping, UserHandler handler) (1)
throws NoSuchMethodException {
RequestMappingInfo info = RequestMappingInfo
.paths("/user/{id}").methods(RequestMethod.GET).build(); (2)
Method method = UserHandler.class.getMethod("getUser", Long.class); (3)
mapping.registerMapping(info, handler, method); (4)
}
}| 1 | 注入目标 handler 和用于 Controller 的 handler 映射。 |
| 2 | 准备请求映射元数据。 |
| 3 | 获取 handler 方法。 |
| 4 | 添加注册。 |
@Configuration
class MyConfig {
@Autowired
fun setHandlerMapping(mapping: RequestMappingHandlerMapping, handler: UserHandler) { (1)
val info = RequestMappingInfo.paths("/user/{id}").methods(RequestMethod.GET).build() (2)
val method = UserHandler::class.java.getMethod("getUser", Long::class.java) (3)
mapping.registerMapping(info, handler, method) (4)
}
}| 1 | 注入目标 handler 和用于 Controller 的 handler 映射。 |
| 2 | 准备请求映射元数据。 |
| 3 | 获取 handler 方法。 |
| 4 | 添加注册。 |
@HttpExchange
虽然 @HttpExchange 的主要目的是通过生成的代理抽象化 HTTP 客户端代码,但放置此类注解的HTTP 接口对于客户端或服务器使用来说是合同中立的。除了简化客户端代码外,在某些情况下,HTTP 接口也可能是服务器公开其 API 供客户端访问的便捷方式。这会导致客户端和服务器之间的耦合增加,并且通常不是一个好的选择,特别是对于公共 API,但对于内部 API 可能正是目标。这是 Spring Cloud 中常用的一种方法,这也是为什么 @HttpExchange 被支持作为控制器类中服务器端处理的 @RequestMapping 的替代方案。
例如
-
Java
-
Kotlin
@HttpExchange("/persons")
interface PersonService {
@GetExchange("/{id}")
Person getPerson(@PathVariable Long id);
@PostExchange
void add(@RequestBody Person person);
}
@RestController
class PersonController implements PersonService {
public Person getPerson(@PathVariable Long id) {
// ...
}
@ResponseStatus(HttpStatus.CREATED)
public void add(@RequestBody Person person) {
// ...
}
}@HttpExchange("/persons")
interface PersonService {
@GetExchange("/{id}")
fun getPerson(@PathVariable id: Long): Person
@PostExchange
fun add(@RequestBody person: Person)
}
@RestController
class PersonController : PersonService {
override fun getPerson(@PathVariable id: Long): Person {
// ...
}
@ResponseStatus(HttpStatus.CREATED)
override fun add(@RequestBody person: Person) {
// ...
}
}@HttpExchange 和 @RequestMapping 存在差异。@RequestMapping 可以通过路径模式、HTTP 方法等映射任意数量的请求,而 @HttpExchange 声明一个具体的 HTTP 方法、路径和内容类型的单个端点。
对于方法参数和返回值,通常,@HttpExchange 支持 @RequestMapping 支持的方法参数的子集。值得注意的是,它排除了任何服务器端特定的参数类型。有关详细信息,请参阅@HttpExchange 和@RequestMapping 的列表。
@HttpExchange 还支持一个 headers() 参数,该参数接受类似 "name=value" 的键值对,类似于客户端的 @RequestMapping(headers={})。在服务器端,这扩展到了 @RequestMapping 支持的完整语法。
