映射请求

本节讨论注解控制器的请求映射。

@RequestMapping

您可以使用 @RequestMapping 注解将请求映射到控制器方法。它具有 各种属性,可以通过 URL、HTTP 方法、请求参数、头部和媒体类型进行匹配。您可以在类级别使用它来表达共享映射,或者在方法级别使用它来缩小到特定的端点映射。

还有 HTTP 方法特定的 @RequestMapping 快捷变体:

  • @GetMapping

  • @PostMapping

  • @PutMapping

  • @DeleteMapping

  • @PatchMapping

这些快捷方式是 组合注解, 之所以提供它们,是因为可以说,大多数控制器方法应该映射到特定的 HTTP 方法,而不是使用 @RequestMapping(默认情况下,它匹配所有 HTTP 方法)。 类级别仍然需要 @RequestMapping 来表达共享映射。

@RequestMapping 不能与声明在同一元素(类、接口或方法)上的其他 @RequestMapping 注解一起使用。如果在同一元素上检测到多个 @RequestMapping 注解,将记录警告,并且只使用第一个映射。这也适用于组合的 @RequestMapping 注解,例如 @GetMapping@PostMapping 等。

以下示例具有类级别和方法级别的映射:

  • Java

  • Kotlin

@RestController
@RequestMapping("/persons")
class PersonController {

	@GetMapping("/{id}")
	public Person getPerson(@PathVariable Long id) {
		// ...
	}

	@PostMapping
	@ResponseStatus(HttpStatus.CREATED)
	public void add(@RequestBody Person person) {
		// ...
	}
}
@RestController
@RequestMapping("/persons")
class PersonController {

	@GetMapping("/{id}")
	fun getPerson(@PathVariable id: Long): Person {
		// ...
	}

	@PostMapping
	@ResponseStatus(HttpStatus.CREATED)
	fun add(@RequestBody person: Person) {
		// ...
	}
}

URI 模式

@RequestMapping 方法可以使用 URL 模式进行映射。有两种替代方案:

  • PathPattern——一种预解析模式,与也预解析为 PathContainer 的 URL 路径进行匹配。此解决方案专为 Web 使用而设计,可有效处理编码和 路径参数,并高效匹配。

  • AntPathMatcher——将字符串模式与字符串路径进行匹配。这是原始 解决方案,也用于 Spring 配置中,以选择类路径、文件系统和其他位置的资源。它的效率较低,并且字符串路径输入对于有效处理编码和 URL 的其他问题是一个挑战。

PathPattern 是 Web 应用程序的推荐解决方案,也是 Spring WebFlux 中的唯一选择。它从 5.3 版本开始在 Spring MVC 中启用,并从 6.0 版本开始默认启用。有关路径匹配选项的自定义,请参阅 MVC 配置

PathPattern 支持与 AntPathMatcher 相同的模式语法。此外,它还支持捕获模式,例如 {spring},用于匹配路径末尾的 0 个或多个路径段。PathPattern 还限制了 * 用于匹配多个路径段的使用,使其只允许在模式的末尾使用。这消除了在为给定请求选择最佳匹配模式时出现的许多歧义情况。 有关完整的模式语法,请参阅 PathPatternAntPathMatcher

一些示例模式:

  • "/resources/ima?e.png" - 匹配路径段中的一个字符

  • "/resources/*.png" - 匹配路径段中的零个或多个字符

  • "/resources/**" - 匹配多个路径段

  • "/projects/{project}/versions" - 匹配路径段并将其捕获为变量

  • "/projects/{project:[a-z]+}/versions" - 使用正则表达式匹配和捕获变量

捕获的 URI 变量可以通过 @PathVariable 访问。例如:

  • Java

  • Kotlin

@GetMapping("/owners/{ownerId}/pets/{petId}")
public Pet findPet(@PathVariable Long ownerId, @PathVariable Long petId) {
	// ...
}
@GetMapping("/owners/{ownerId}/pets/{petId}")
fun findPet(@PathVariable ownerId: Long, @PathVariable petId: Long): Pet {
	// ...
}

您可以在类级别和方法级别声明 URI 变量,如以下示例所示:

  • Java

  • Kotlin

@Controller
@RequestMapping("/owners/{ownerId}")
public class OwnerController {

	@GetMapping("/pets/{petId}")
	public Pet findPet(@PathVariable Long ownerId, @PathVariable Long petId) {
		// ...
	}
}
@Controller
@RequestMapping("/owners/{ownerId}")
class OwnerController {

	@GetMapping("/pets/{petId}")
	fun findPet(@PathVariable ownerId: Long, @PathVariable petId: Long): Pet {
		// ...
	}
}

URI 变量会自动转换为适当的类型,否则会抛出 TypeMismatchException。默认支持简单类型(intlongDate 等),您可以注册对任何其他数据类型的支持。 请参阅 类型转换DataBinder

您可以显式命名 URI 变量(例如,@PathVariable("customId")),但如果名称相同并且您的代码使用 -parameters 编译器标志编译,则可以省略此细节。

语法 {varName:regex} 声明一个带有正则表达式的 URI 变量,其语法为 {varName:regex}。例如,给定 URL "/spring-web-3.0.5.jar",以下方法提取名称、版本和文件扩展名:

  • Java

  • Kotlin

@GetMapping("/{name:[a-z-]+}-{version:\\d\\.\\d\\.\\d}{ext:\\.[a-z]+}")
public void handle(@PathVariable String name, @PathVariable String version, @PathVariable String ext) {
	// ...
}
@GetMapping("/{name:[a-z-]+}-{version:\\d\\.\\d\\.\\d}{ext:\\.[a-z]+}")
fun handle(@PathVariable name: String, @PathVariable version: String, @PathVariable ext: String) {
	// ...
}

URI 路径模式还可以包含:

  • 嵌入式 ${…​} 占位符,通过 PropertySourcesPlaceholderConfigurer 在启动时针对本地、系统、环境和其他属性源解析。这对于例如根据外部配置参数化基本 URL 非常有用。

  • SpEL 表达式 #{…​}

模式比较

当多个模式匹配一个 URL 时,必须选择最佳匹配。这取决于是否启用了解析后的 PathPattern

两者都有助于将模式按特定性排序,最特定的排在最前面。如果模式的 URI 变量(计为 1)、单个通配符(计为 1)和双通配符(计为 2)的数量较低,则模式更具特定性。如果分数相等,则选择较长的模式。如果分数和长度相同,则选择 URI 变量多于通配符的模式。

默认映射模式 (/) 不参与评分,并且始终排在最后。此外,前缀模式(例如 /public/)被认为比没有双通配符的其他模式的特定性更低。

有关完整详细信息,请点击上述链接查看模式比较器。

后缀匹配

从 5.3 版本开始,Spring MVC 默认不再执行 . 后缀模式匹配,即映射到 /person 的控制器也会隐式映射到 /person.。因此,路径扩展不再用于解释请求的响应内容类型——例如,/person.pdf/person.xml 等。

以前,当浏览器发送难以一致解释的 Accept 头部时,以这种方式使用文件扩展名是必要的。目前,这已不再是必需的,使用 Accept 头部应该是首选。

随着时间的推移,文件扩展名的使用在多种方面都证明是存在问题的。它在使用 URI 变量、路径参数和 URI 编码时可能导致歧义。对基于 URL 的授权和安全性(有关详细信息,请参阅下一节)的推理也变得更加困难。

要在 5.3 版本之前完全禁用路径扩展的使用,请设置以下内容:

除了通过 "Accept" 头部之外,仍然可以通过其他方式请求内容类型,例如在浏览器中输入 URL 时。路径扩展的一种安全替代方案是使用查询参数策略。如果您必须使用文件扩展名,请考虑通过 ContentNegotiationConfigurermediaTypes 属性将其限制为显式注册的扩展名列表。

后缀匹配与 RFD

反射文件下载(RFD)攻击类似于 XSS,因为它依赖于请求输入(例如,查询参数和 URI 变量)在响应中被反射。然而,RFD 攻击不是将 JavaScript 插入 HTML,而是依赖于浏览器切换到执行下载并将响应视为可执行脚本(在稍后双击时)。

在 Spring MVC 中,@ResponseBodyResponseEntity 方法存在风险,因为它们可以呈现不同的内容类型,客户端可以通过 URL 路径扩展请求这些内容类型。禁用后缀模式匹配并使用路径扩展进行内容协商可以降低风险,但不足以阻止 RFD 攻击。

为了防止 RFD 攻击,在渲染响应正文之前,Spring MVC 添加了一个 Content-Disposition:inline;filename=f.txt 头部,以建议一个固定且安全的下载文件。这仅在 URL 路径包含的文件扩展名既不允许作为安全扩展也不显式注册用于内容协商时才执行。然而,当 URL 直接输入浏览器时,这可能会产生副作用。

许多常见的路径扩展名默认被允许作为安全扩展名。具有自定义 HttpMessageConverter 实现的应用程序可以显式注册用于内容协商的文件扩展名,以避免为这些扩展名添加 Content-Disposition 头部。 请参阅 内容类型

有关 RFD 的其他建议,请参阅 CVE-2015-5211

可消费的媒体类型

您可以根据请求的 Content-Type 缩小请求映射范围,如以下示例所示:

Java
@PostMapping(path = "/pets", consumes = "application/json") [id="CO1-1"][id="CO1-1"][id="CO1-1"](1)
public void addPet(@RequestBody Pet pet) {
	// ...
}
<1>  使用 `consumes` 属性按内容类型缩小映射范围。
Kotlin
@PostMapping("/pets", consumes = ["application/json"]) [id="CO2-1"][id="CO1-2"][id="CO2-1"](1)
fun addPet(@RequestBody pet: Pet) {
	// ...
}
<1>  使用 `consumes` 属性按内容类型缩小映射范围。

consumes 属性也支持否定表达式——例如,!text/plain 表示除 text/plain 之外的任何内容类型。

您可以在类级别声明共享的 consumes 属性。然而,与大多数其他请求映射属性不同,当在类级别使用时,方法级别的 consumes 属性会覆盖而不是扩展类级别的声明。

MediaType 提供了常用媒体类型的常量,例如 APPLICATION_JSON_VALUEAPPLICATION_XML_VALUE

可生产的媒体类型

您可以根据 Accept 请求头部和控制器方法生成的内容类型列表缩小请求映射范围,如以下示例所示:

Java
@GetMapping(path = "/pets/{petId}", produces = "application/json") [id="CO3-1"][id="CO1-3"][id="CO3-1"](1)
@ResponseBody
public Pet getPet(@PathVariable String petId) {
	// ...
}
<1>  使用 `produces` 属性按内容类型缩小映射范围。
Kotlin
@GetMapping("/pets/{petId}", produces = ["application/json"]) [id="CO4-1"][id="CO1-4"][id="CO4-1"](1)
@ResponseBody
fun getPet(@PathVariable petId: String): Pet {
	// ...
}
<1>  使用 `produces` 属性按内容类型缩小映射范围。

媒体类型可以指定字符集。支持否定表达式——例如,!text/plain 表示除“text/plain”之外的任何内容类型。

您可以在类级别声明共享的 produces 属性。然而,与大多数其他请求映射属性不同,当在类级别使用时,方法级别的 produces 属性会覆盖而不是扩展类级别的声明。

MediaType 提供了常用媒体类型的常量,例如 APPLICATION_JSON_VALUEAPPLICATION_XML_VALUE

参数、头部

您可以根据请求参数条件缩小请求映射范围。您可以测试请求参数是否存在 (myParam)、不存在 (!myParam) 或具有特定值 (myParam=myValue)。以下示例展示了如何测试特定值:

Java
@GetMapping(path = "/pets/{petId}", params = "myParam=myValue") [id="CO5-1"][id="CO1-5"][id="CO5-1"](1)
public void findPet(@PathVariable String petId) {
	// ...
}
<1>  测试 `myParam` 是否等于 `myValue`。
Kotlin
@GetMapping("/pets/{petId}", params = ["myParam=myValue"]) [id="CO6-1"][id="CO1-6"][id="CO6-1"](1)
fun findPet(@PathVariable petId: String) {
	// ...
}
<1>  测试 `myParam` 是否等于 `myValue`。

您也可以将相同的操作用于请求头部条件,如以下示例所示:

Java
@GetMapping(path = "/pets/{petId}", headers = "myHeader=myValue") [id="CO7-1"][id="CO1-7"][id="CO7-1"](1)
public void findPet(@PathVariable String petId) {
	// ...
}
<1>  测试 `myHeader` 是否等于 `myValue`。
Kotlin
@GetMapping("/pets/{petId}", headers = ["myHeader=myValue"]) [id="CO8-1"][id="CO1-8"][id="CO8-1"](1)
fun findPet(@PathVariable petId: String) {
	// ...
}
<1>  测试 `myHeader` 是否等于 `myValue`。

您可以使用头部条件匹配 Content-TypeAccept,但最好使用 consumesproduces 代替。

HTTP HEAD, OPTIONS

@GetMapping(和 @RequestMapping(method=HttpMethod.GET))透明地支持 HTTP HEAD 用于请求映射。控制器方法无需更改。 jakarta.servlet.http.HttpServlet 中应用的响应包装器确保 Content-Length 头部设置为写入的字节数(实际上不写入响应)。

默认情况下,HTTP OPTIONS 通过将 Allow 响应头部设置为所有 @RequestMapping 方法中列出的 HTTP 方法列表来处理,这些方法具有匹配的 URL 模式。

对于没有 HTTP 方法声明的 @RequestMappingAllow 头部设置为 GET,HEAD,POST,PUT,PATCH,DELETE,OPTIONS。控制器方法应始终声明 支持的 HTTP 方法(例如,通过使用 HTTP 方法特定的变体: @GetMapping@PostMapping 等)。

您可以显式地将 @RequestMapping 方法映射到 HTTP HEAD 和 HTTP OPTIONS,但在常见情况下没有必要。

自定义注解

Spring MVC 支持使用 组合注解 进行请求映射。这些注解本身被 @RequestMapping 元注解,并组合以重新声明 @RequestMapping 属性的子集(或全部),具有更窄、更具体的用途。

@GetMapping@PostMapping@PutMapping@DeleteMapping@PatchMapping 是 组合注解的示例。它们之所以提供,是因为可以说,大多数 控制器方法应该映射到特定的 HTTP 方法,而不是使用 @RequestMapping, 默认情况下,它匹配所有 HTTP 方法。如果您需要如何实现 组合注解的示例,请查看这些注解是如何声明的。

@RequestMapping 不能与声明在同一元素(类、接口或方法)上的其他 @RequestMapping 注解一起使用。如果在同一元素上检测到多个 @RequestMapping 注解,将记录警告,并且只使用第一个映射。这也适用于组合的 @RequestMapping 注解,例如 @GetMapping@PostMapping 等。

Spring MVC 还支持带有自定义请求匹配逻辑的自定义请求映射属性。这是一个更高级的选项,需要子类化 RequestMappingHandlerMapping 并覆盖 getCustomMethodCondition 方法,您可以在其中检查自定义属性并返回自己的 RequestCondition

显式注册

您可以以编程方式注册处理程序方法,这可用于动态注册或高级情况,例如在不同 URL 下使用相同处理程序的不同实例。以下示例注册了一个处理程序方法:

Java
@Configuration
public class MyConfig {

	@Autowired
	public void setHandlerMapping(RequestMappingHandlerMapping mapping, UserHandler handler) [id="CO9-1"][id="CO1-9"][id="CO9-1"](1)
			throws NoSuchMethodException {

		RequestMappingInfo info = RequestMappingInfo
				.paths("/user/{id}").methods(RequestMethod.GET).build(); [id="CO9-2"][id="CO1-10"][id="CO9-2"](2)

		Method method = UserHandler.class.getMethod("getUser", Long.class); [id="CO9-3"][id="CO1-11"][id="CO9-3"](3)

		mapping.registerMapping(info, handler, method); [id="CO9-4"][id="CO1-12"][id="CO9-4"](4)
	}
}
<1>  注入目标处理程序和控制器的处理程序映射。
<1>  准备请求映射元数据。
<1>  获取处理程序方法。
<1>  添加注册。
Kotlin
@Configuration
class MyConfig {

	@Autowired
	fun setHandlerMapping(mapping: RequestMappingHandlerMapping, handler: UserHandler) { [id="CO10-1"][id="CO1-13"][id="CO10-1"](1)
		val info = RequestMappingInfo.paths("/user/{id}").methods(RequestMethod.GET).build() [id="CO10-2"][id="CO1-14"][id="CO10-2"](2)
		val method = UserHandler::class.java.getMethod("getUser", Long::class.java) [id="CO10-3"][id="CO1-15"][id="CO10-3"](3)
		mapping.registerMapping(info, handler, method) [id="CO10-4"][id="CO1-16"][id="CO10-4"](4)
	}
}
<1>  注入目标处理程序和控制器的处理程序映射。
<1>  准备请求映射元数据。
<1>  获取处理程序方法。
<1>  添加注册。

@HttpExchange

虽然 @HttpExchange 的主要目的是通过生成的代理抽象 HTTP 客户端代码,但 HTTP 接口 (这些注解放置在其上)是一个对客户端与服务器使用都中立的契约。 除了简化客户端代码,在某些情况下,HTTP 接口也可能成为服务器暴露其 API 以供客户端访问的便捷方式。这会导致客户端和服务器之间的耦合增加,通常不是一个好的选择,特别是对于公共 API,但对于内部 API 可能正是目标。 这是 Spring Cloud 中常用的一种方法,这也是为什么 @HttpExchange 在控制器类中被支持作为服务器端处理的替代 @RequestMapping 的原因。

例如:

  • Java

  • Kotlin

@HttpExchange("/persons")
interface PersonService {

	@GetExchange("/{id}")
	Person getPerson(@PathVariable Long id);

	@PostExchange
	void add(@RequestBody Person person);
}

@RestController
class PersonController implements PersonService {

	public Person getPerson(@PathVariable Long id) {
		// ...
	}

	@ResponseStatus(HttpStatus.CREATED)
	public void add(@RequestBody Person person) {
		// ...
	}
}
@HttpExchange("/persons")
interface PersonService {

	@GetExchange("/{id}")
	fun getPerson(@PathVariable id: Long): Person

	@PostExchange
	fun add(@RequestBody person: Person)
}

@RestController
class PersonController : PersonService {

	override fun getPerson(@PathVariable id: Long): Person {
		// ...
	}

	@ResponseStatus(HttpStatus.CREATED)
	override fun add(@RequestBody person: Person) {
		// ...
	}
}

@HttpExchange@RequestMapping 存在差异。 @RequestMapping 可以通过路径模式、HTTP 方法等映射到任意数量的请求,而 @HttpExchange 声明一个具有具体 HTTP 方法、路径和内容类型的单一端点。

对于方法参数和返回值,通常,@HttpExchange 支持 @RequestMapping 所支持的方法参数的子集。值得注意的是,它排除了任何服务器端特定的参数类型。有关详细信息,请参阅 @HttpExchange@RequestMapping 的列表。

@HttpExchange 还支持 headers() 参数,该参数接受像 @RequestMapping(headers={}) 中客户端侧的 "name=value" 这样的键值对。在服务器侧,这扩展到 <<`@RequestMapping`,mvc-ann-requestmapping-params-and-headers>> 支持的完整语法。