请求映射
本节讨论带注解的控制器的请求映射。
@RequestMapping
您可以使用@RequestMapping注解将请求映射到控制器方法。它具有各种属性,可以通过URL、HTTP方法、请求参数、标头和媒体类型进行匹配。您可以将其用于类级别以表达共享映射,或用于方法级别以缩小到特定的端点映射。
还有一些@RequestMapping的特定于HTTP方法的快捷方式变体
-
@GetMapping -
@PostMapping -
@PutMapping -
@DeleteMapping -
@PatchMapping
这些快捷方式是自定义注解,之所以提供它们是因为,可以说,大多数控制器方法应该映射到特定的HTTP方法,而不是使用@RequestMapping(默认情况下,它匹配所有HTTP方法)。在类级别仍然需要@RequestMapping来表达共享映射。
@RequestMapping不能与声明在同一元素(类、接口或方法)上的其他@RequestMapping注解一起使用。如果在同一元素上检测到多个@RequestMapping注解,则会记录警告,并且只使用第一个映射。这也适用于组合的@RequestMapping注解,例如@GetMapping、@PostMapping等。 |
以下示例具有类型和方法级别的映射
-
Java
-
Kotlin
@RestController
@RequestMapping("/persons")
class PersonController {
@GetMapping("/{id}")
public Person getPerson(@PathVariable Long id) {
// ...
}
@PostMapping
@ResponseStatus(HttpStatus.CREATED)
public void add(@RequestBody Person person) {
// ...
}
}@RestController
@RequestMapping("/persons")
class PersonController {
@GetMapping("/{id}")
fun getPerson(@PathVariable id: Long): Person {
// ...
}
@PostMapping
@ResponseStatus(HttpStatus.CREATED)
fun add(@RequestBody person: Person) {
// ...
}
}URI模式
@RequestMapping方法可以使用URL模式进行映射。有两种选择
-
PathPattern——一个预解析的模式,与预解析为PathContainer的URL路径匹配。此解决方案专为 Web 使用而设计,可以有效地处理编码和路径参数,并且匹配效率很高。 -
AntPathMatcher——将字符串模式与字符串路径匹配。这也是Spring配置中用于选择类路径、文件系统和其他位置资源的原始解决方案。它的效率较低,字符串路径输入对于有效处理编码以及URL的其他问题是一个挑战。
PathPattern是Web应用程序的推荐解决方案,也是Spring WebFlux中唯一的选择。从5.3版本开始启用在Spring MVC中使用,从6.0版本开始默认启用。有关路径匹配选项的自定义,请参阅MVC配置。
PathPattern支持与AntPathMatcher相同的模式语法。此外,它还支持捕获模式,例如{*spring},用于匹配路径末尾的0个或多个路径段。PathPattern还限制了**的使用,用于匹配多个路径段,使其只能位于模式的末尾。这消除了在为给定请求选择最佳匹配模式时的许多歧义情况。有关完整的模式语法,请参阅PathPattern和AntPathMatcher。
一些示例模式
-
"/resources/ima?e.png"- 匹配路径段中的一个字符 -
"/resources/*.png"- 匹配路径段中的零个或多个字符 -
"/resources/**"- 匹配多个路径段 -
"/projects/{project}/versions"- 匹配路径段并将其捕获为变量 -
"/projects/{project:[a-z]+}/versions"- 使用正则表达式匹配和捕获变量
捕获的URI变量可以使用@PathVariable访问。例如
-
Java
-
Kotlin
@GetMapping("/owners/{ownerId}/pets/{petId}")
public Pet findPet(@PathVariable Long ownerId, @PathVariable Long petId) {
// ...
}@GetMapping("/owners/{ownerId}/pets/{petId}")
fun findPet(@PathVariable ownerId: Long, @PathVariable petId: Long): Pet {
// ...
}您可以声明类和方法级别的URI变量,如下例所示
-
Java
-
Kotlin
@Controller
@RequestMapping("/owners/{ownerId}")
public class OwnerController {
@GetMapping("/pets/{petId}")
public Pet findPet(@PathVariable Long ownerId, @PathVariable Long petId) {
// ...
}
}@Controller
@RequestMapping("/owners/{ownerId}")
class OwnerController {
@GetMapping("/pets/{petId}")
fun findPet(@PathVariable ownerId: Long, @PathVariable petId: Long): Pet {
// ...
}
}URI变量会自动转换为适当的类型,或者引发TypeMismatchException。默认情况下支持简单类型(int、long、Date等),您可以注册对任何其他数据类型的支持。请参阅类型转换和DataBinder。
您可以显式命名URI变量(例如,@PathVariable("customId")),但是如果名称相同并且您的代码使用-parameters编译器标志编译,则可以省略此细节。
语法{varName:regex}声明一个具有正则表达式的URI变量,其语法为{varName:regex}。例如,给定URL "/spring-web-3.0.5.jar",以下方法提取名称、版本和文件扩展名
-
Java
-
Kotlin
@GetMapping("/{name:[a-z-]+}-{version:\\d\\.\\d\\.\\d}{ext:\\.[a-z]+}")
public void handle(@PathVariable String name, @PathVariable String version, @PathVariable String ext) {
// ...
}@GetMapping("/{name:[a-z-]+}-{version:\\d\\.\\d\\.\\d}{ext:\\.[a-z]+}")
fun handle(@PathVariable name: String, @PathVariable version: String, @PathVariable ext: String) {
// ...
}URI路径模式还可以包含嵌入的${…}占位符,这些占位符在启动时使用PropertySourcesPlaceholderConfigurer针对本地、系统、环境和其他属性源进行解析。例如,您可以使用它根据某些外部配置来参数化基本URL。
模式比较
当多个模式匹配URL时,必须选择最佳匹配。这取决于是否启用解析的PathPattern的使用:
两者都有助于对模式进行排序,将更具体的模式放在顶部。如果模式的URI变量数量(计为1)、单个通配符(计为1)和双通配符(计为2)较少,则该模式更具体。如果分数相同,则选择较长的模式。如果分数和长度都相同,则选择URI变量多于通配符的模式。
默认映射模式(/**)不参与评分,始终排序在最后。此外,前缀模式(例如/public/**)被认为不如没有双通配符的其他模式具体。
有关完整详细信息,请按照上述链接查看模式比较器。
后缀匹配
从5.3版本开始,默认情况下,Spring MVC不再执行.*后缀模式匹配,其中映射到/person的控制器也隐式映射到/person.*。因此,不再使用路径扩展名来解释请求的响应内容类型——例如,/person.pdf、/person.xml等。
当浏览器发送难以一致解释的Accept标头时,需要使用这种方法。目前,这已不再必要,使用Accept标头应该是首选。
随着时间的推移,使用文件名扩展名已被证明在多种方面存在问题。当与URI变量、路径参数和URI编码一起使用时,它可能会导致歧义。基于URL的授权和安全性的推理(有关详细信息,请参见下一节)也变得更加困难。
要在5.3之前的版本中完全禁用路径扩展名的使用,请设置以下内容:
-
useSuffixPatternMatching(false),请参见PathMatchConfigurer -
favorPathExtension(false),请参见ContentNegotiationConfigurer
仍然可以使用除"Accept"标头之外的其他方法来请求内容类型,例如,在浏览器中键入URL时。路径扩展名的安全替代方法是使用查询参数策略。如果必须使用文件扩展名,请考虑通过ContentNegotiationConfigurer的mediaTypes属性将它们限制为显式注册的扩展名列表。
后缀匹配和RFD
反射文件下载(RFD)攻击类似于XSS攻击,因为它依赖于请求输入(例如,查询参数和URI变量)在响应中被反射。但是,RFD攻击不是将JavaScript插入HTML,而是依赖于浏览器切换以执行下载,并在稍后双击时将响应视为可执行脚本。
在Spring MVC中,@ResponseBody和ResponseEntity方法存在风险,因为它们可以呈现不同的内容类型,客户端可以通过URL路径扩展名请求这些内容类型。禁用后缀模式匹配和使用路径扩展名进行内容协商可以降低风险,但不足以防止RFD攻击。
为了防止RFD攻击,在呈现响应正文之前,Spring MVC添加了Content-Disposition:inline;filename=f.txt标头来建议一个固定且安全的下载文件。只有当URL路径包含既不允许作为安全文件也不允许显式注册进行内容协商的文件扩展名时,才会执行此操作。但是,当直接在浏览器中键入URL时,它可能会产生副作用。
许多常见的路径扩展名默认情况下被允许作为安全扩展名。具有自定义HttpMessageConverter实现的应用程序可以显式注册用于内容协商的文件扩展名,以避免为这些扩展名添加Content-Disposition标头。请参见内容类型。
有关RFD的更多建议,请参见CVE-2015-5211。
可消耗的媒体类型
您可以根据请求的Content-Type缩小请求映射范围,如下例所示:
-
Java
-
Kotlin
@PostMapping(path = "/pets", consumes = "application/json") (1)
public void addPet(@RequestBody Pet pet) {
// ...
}| 1 | 使用consumes属性根据内容类型缩小映射范围。 |
@PostMapping("/pets", consumes = ["application/json"]) (1)
fun addPet(@RequestBody pet: Pet) {
// ...
}| 1 | 使用consumes属性根据内容类型缩小映射范围。 |
consumes属性也支持否定表达式——例如,!text/plain表示除text/plain之外的任何内容类型。
您可以在类级别声明共享的consumes属性。但是,与大多数其他请求映射属性不同,当在类级别使用时,方法级别的consumes属性会覆盖而不是扩展类级别的声明。
MediaType为常用媒体类型提供常量,例如APPLICATION_JSON_VALUE和APPLICATION_XML_VALUE。 |
可生成的媒体类型
您可以根据Accept请求标头和控制器方法生成的contentType列表缩小请求映射范围,如下例所示:
-
Java
-
Kotlin
@GetMapping(path = "/pets/{petId}", produces = "application/json") (1)
@ResponseBody
public Pet getPet(@PathVariable String petId) {
// ...
}| 1 | 使用produces属性根据内容类型缩小映射范围。 |
@GetMapping("/pets/{petId}", produces = ["application/json"]) (1)
@ResponseBody
fun getPet(@PathVariable petId: String): Pet {
// ...
}| 1 | 使用produces属性根据内容类型缩小映射范围。 |
媒体类型可以指定字符集。支持否定表达式——例如,!text/plain表示除“text/plain”之外的任何内容类型。
您可以在类级别声明共享的produces属性。但是,与大多数其他请求映射属性不同,当在类级别使用时,方法级别的produces属性会覆盖而不是扩展类级别的声明。
MediaType为常用媒体类型提供常量,例如APPLICATION_JSON_VALUE和APPLICATION_XML_VALUE。 |
参数、标头
您可以根据请求参数条件缩小请求映射范围。您可以测试请求参数(myParam)的存在、不存在(!myParam)或特定值(myParam=myValue)。以下示例演示如何测试特定值:
-
Java
-
Kotlin
@GetMapping(path = "/pets/{petId}", params = "myParam=myValue") (1)
public void findPet(@PathVariable String petId) {
// ...
}| 1 | 测试myParam是否等于myValue。 |
@GetMapping("/pets/{petId}", params = ["myParam=myValue"]) (1)
fun findPet(@PathVariable petId: String) {
// ...
}| 1 | 测试myParam是否等于myValue。 |
您也可以对请求标头条件使用相同的操作,如下例所示:
-
Java
-
Kotlin
@GetMapping(path = "/pets/{petId}", headers = "myHeader=myValue") (1)
public void findPet(@PathVariable String petId) {
// ...
}| 1 | 测试myHeader是否等于myValue。 |
@GetMapping("/pets/{petId}", headers = ["myHeader=myValue"]) (1)
fun findPet(@PathVariable petId: String) {
// ...
}| 1 | 测试myHeader是否等于myValue。 |
HTTP HEAD、OPTIONS
@GetMapping(和@RequestMapping(method=HttpMethod.GET))透明地支持HTTP HEAD进行请求映射。控制器方法无需更改。应用于jakarta.servlet.http.HttpServlet的响应包装器确保将Content-Length标头设置为已写入的字节数(无需实际写入响应)。
默认情况下,HTTP OPTIONS通过将Allow响应标头设置为所有具有匹配URL模式的@RequestMapping方法中列出的HTTP方法列表来处理。
对于没有HTTP方法声明的@RequestMapping,Allow标头设置为GET,HEAD,POST,PUT,PATCH,DELETE,OPTIONS。控制器方法应始终声明支持的HTTP方法(例如,使用特定于HTTP方法的变体:@GetMapping、@PostMapping等)。
您可以将@RequestMapping方法显式映射到HTTP HEAD和HTTP OPTIONS,但在常见情况下无需这样做。
自定义注解
Spring MVC支持使用组合注解进行请求映射。这些注解本身是用@RequestMapping元注解的,并组合以使用更窄、更具体的用途重新声明@RequestMapping属性的子集(或全部)。
@GetMapping、@PostMapping、@PutMapping、@DeleteMapping和@PatchMapping是组合注解的示例。它们之所以提供,是因为可以说,大多数控制器方法应该映射到特定的HTTP方法,而不是使用@RequestMapping,后者默认情况下匹配所有HTTP方法。如果您需要有关如何实现组合注解的示例,请查看它们的声明方式。
@RequestMapping不能与声明在同一元素(类、接口或方法)上的其他@RequestMapping注解一起使用。如果在同一元素上检测到多个@RequestMapping注解,则会记录警告,并且只使用第一个映射。这也适用于组合的@RequestMapping注解,例如@GetMapping、@PostMapping等。 |
Spring MVC还支持具有自定义请求匹配逻辑的自定义请求映射属性。这是一个更高级的选项,需要子类化RequestMappingHandlerMapping并覆盖getCustomMethodCondition方法,您可以在其中检查自定义属性并返回您自己的RequestCondition。
显式注册
您可以以编程方式注册处理程序方法,您可以将其用于动态注册或高级情况,例如在不同URL下使用相同处理程序的不同实例。以下示例注册了一个处理程序方法:
-
Java
-
Kotlin
@Configuration
public class MyConfig {
@Autowired
public void setHandlerMapping(RequestMappingHandlerMapping mapping, UserHandler handler) (1)
throws NoSuchMethodException {
RequestMappingInfo info = RequestMappingInfo
.paths("/user/{id}").methods(RequestMethod.GET).build(); (2)
Method method = UserHandler.class.getMethod("getUser", Long.class); (3)
mapping.registerMapping(info, handler, method); (4)
}
}| 1 | 注入目标处理程序和控制器的处理程序映射。 |
| 2 | 准备请求映射元数据。 |
| 3 | 获取处理程序方法。 |
| 4 | 添加注册。 |
@Configuration
class MyConfig {
@Autowired
fun setHandlerMapping(mapping: RequestMappingHandlerMapping, handler: UserHandler) { (1)
val info = RequestMappingInfo.paths("/user/{id}").methods(RequestMethod.GET).build() (2)
val method = UserHandler::class.java.getMethod("getUser", Long::class.java) (3)
mapping.registerMapping(info, handler, method) (4)
}
}| 1 | 注入目标处理程序和控制器的处理程序映射。 |
| 2 | 准备请求映射元数据。 |
| 3 | 获取处理程序方法。 |
| 4 | 添加注册。 |
@HttpExchange
虽然@HttpExchange的主要目的是使用生成的代理抽象HTTP客户端代码,但HTTP接口(在其上放置此类注解)是一个对客户端与服务器使用保持中立的契约。除了简化客户端代码之外,还有一些情况下,HTTP接口可能是服务器公开其API以供客户端访问的便捷方式。这会导致客户端和服务器之间耦合度增加,通常不是一个好选择,尤其对于公共API而言,但这可能是内部API的确切目标。这是一种在Spring Cloud中常用的方法,这就是为什么@HttpExchange被支持作为控制器类中服务器端处理的@RequestMapping的替代方法。
例如:
-
Java
-
Kotlin
@HttpExchange("/persons")
interface PersonService {
@GetExchange("/{id}")
Person getPerson(@PathVariable Long id);
@PostExchange
void add(@RequestBody Person person);
}
@RestController
class PersonController implements PersonService {
public Person getPerson(@PathVariable Long id) {
// ...
}
@ResponseStatus(HttpStatus.CREATED)
public void add(@RequestBody Person person) {
// ...
}
}@HttpExchange("/persons")
interface PersonService {
@GetExchange("/{id}")
fun getPerson(@PathVariable id: Long): Person
@PostExchange
fun add(@RequestBody person: Person)
}
@RestController
class PersonController : PersonService {
override fun getPerson(@PathVariable id: Long): Person {
// ...
}
@ResponseStatus(HttpStatus.CREATED)
override fun add(@RequestBody person: Person) {
// ...
}
}@HttpExchange和@RequestMapping有所不同。@RequestMapping可以通过路径模式、HTTP方法等映射到任意数量的请求,而@HttpExchange声明一个具有具体HTTP方法、路径和内容类型的单个端点。
对于方法参数和返回值,通常,@HttpExchange支持@RequestMapping支持的方法参数的一个子集。值得注意的是,它排除了任何特定于服务器端的参数类型。有关详细信息,请参见@HttpExchange和@RequestMapping的列表。
@HttpExchange 也支持一个 headers() 参数,该参数接受类似于 "name=value" 的键值对,就像客户端的 @RequestMapping(headers={}) 一样。在服务器端,这扩展到了 @RequestMapping 支持的完整语法。
