Coding Man在 Spring 中为 REST API 实现异常处理
1.概述
本教程将说明如何使用 Spring 为 REST API 实现异常处理。我们还将获得一些历史概览,并查看不同版本引入了哪些新选项。 在 Spring 3.2 之前,在 Spring MVC 应用程序中处理异常的两种主要方法是HandlerExceptionResolver或@ExceptionHandler注解。**两者都有一些明显的缺点。 *从 3.2 开始,我们有了@ControllerAdvice注解来解决前两个解决方案的局限性,并在整个应用程序中促进统一的异常处理。 现在Spring 5 引入了 ResponseStatusException类*——一种在我们的 REST API 中进行基本错误处理的快速方法。 所有这些都有一个共同点:它们很好地处理了**关注点的分离。**该应用程序可以正常抛出异常以指示某种失败,然后将单独处理。
最后,我们将看到 Spring Boot 带来了什么,以及我们如何配置它以满足我们的需求。
2.方案一:Controller级*@ExceptionHandler*
第一个解决方案适用于*@Controller级别。我们将定义一个方法来处理异常并使用@ExceptionHandler*对其进行注释:
public class FooController{
//...
@ExceptionHandler({ CustomException1.class, CustomException2.class })
public void handleException() {
//
}
}
这种方法有一个主要缺点:** @ExceptionHandler注释方法仅对特定的 Controller 有效**,而不是对整个应用程序全局有效。当然,将它添加到每个控制器使其不太适合一般的异常处理机制。 我们可以通过让所有控制器扩展一个基本控制器类来解决这个限制。 然而,这种解决方案对于应用程序来说可能是个问题,无论出于何种原因,这是不可能的。例如,控制器可能已经从另一个基类扩展而来,该基类可能在另一个 jar 中或不可直接修改,或者它们本身可能不可直接修改。
接下来,我们将研究另一种解决异常处理问题的方法——一种全局的并且不包括对现有工件(例如控制器)的任何更改。
3.解决方案2:HandlerExceptionResolver
第二种解决方案是定义一个HandlerExceptionResolver。这将解决应用程序抛出的任何异常。它还将允许我们在 REST API 中实现统一的异常处理机制。 在使用自定义解析器之前,让我们回顾一下现有的实现。
3.1. ExceptionHandlerExceptionResolver
这个解析器是在 Spring 3.1 中引入的,默认情况下在DispatcherServlet中启用。这实际上是前面介绍的*@ExceptionHandler*机制如何工作的核心组件。
3.2. DefaultHandlerExceptionResolver
这个解析器是在 Spring 3.0 中引入的,默认情况下它在DispatcherServlet中启用。
它用于解决相应的HTTP 状态代码 的标准 Spring 异常,即客户端错误4xx和服务器错误5xx状态代码。这是它处理的 Spring 异常的完整列表 以及它们如何映射到状态代码。 虽然它确实正确设置了响应的状态代码,但一个**限制是它没有为响应的正文设置任何内容。**对于 REST API——状态码实际上不足以提供给客户端的信息——响应也必须有一个主体,以允许应用程序提供有关失败的附加信息。 这可以通过ModelAndView配置视图和渲染错误内容来解决,但该解决方案显然不是最优的。这就是为什么 Spring 3.2 引入了一个更好的选项,我们将在后面的部分讨论。
3.3. ResponseStatusExceptionResolver
这个解析器也在 Spring 3.0 中引入,默认情况下在DispatcherServlet中启用。 它的主要职责是使用自定义异常上可用的*@ResponseStatus*注释并将这些异常映射到 HTTP 状态代码。 这样的自定义异常可能如下所示:
@ResponseStatus(value = HttpStatus.NOT_FOUND)
public class MyResourceNotFoundException extends RuntimeException {
public MyResourceNotFoundException() {
super();
}
public MyResourceNotFoundException(String message, Throwable cause) {
super(message, cause);
}
public MyResourceNotFoundException(String message) {
super(message);
}
public MyResourceNotFoundException(Throwable cause) {
super(cause);
}
}
与DefaultHandlerExceptionResolver相同,此解析器在处理响应主体的方式上受到限制——它确实将状态代码映射到响应上,但主体仍然为null。
3.4. 自定义HandlerExceptionResolver
DefaultHandlerExceptionResolver和ResponseStatusExceptionResolver的组合在为 Spring RESTful 服务提供良好的错误处理机制方面大有帮助。如前所述,缺点是无法控制响应的主体。
理想情况下,我们希望能够输出 JSON 或 XML,具体取决于客户端要求的格式(通过Accept标头)。 仅此一项就证明了创建一个新的自定义异常解析器是合理的:
@Component
public class RestResponseStatusExceptionResolver extends AbstractHandlerExceptionResolver {
@Override
protected ModelAndView doResolveException(
HttpServletRequest request,
HttpServletResponse response,
Object handler,
Exception ex) {
try {
if (ex instanceof IllegalArgumentException) {
return handleIllegalArgument(
(IllegalArgumentException) ex, response, handler);
}
...
} catch (Exception handlerException) {
logger.warn("Handling of [" + ex.getClass().getName() + "]
resulted in Exception", handlerException);
}
return null;
}
private ModelAndView
handleIllegalArgument(IllegalArgumentException ex, HttpServletResponse response)
throws IOException {
response.sendError(HttpServletResponse.SC_CONFLICT);
String accept = request.getHeader(HttpHeaders.ACCEPT);
...
return new ModelAndView();
}
}
这里需要注意的一个细节是我们可以访问request本身,因此我们可以考虑客户端发送的Accept标头的值。 例如,如果客户端请求application/json,那么在出现错误情况的情况下,我们希望确保返回一个使用application/json编码的响应正文。 另一个重要的实现细节是我们返回一个ModelAndView——这是响应的主体,它允许我们在上面设置任何必要的东西。 这种方法是一种一致且易于配置的机制,用于Spring REST服务的错误处理。 但是,它确实有局限性:它与低级HtttpServletResponse交互并适合使用ModelAndView的旧 MVC 模型,因此仍有改进的空间。
4.解决方案3:@ControllerAdvice
Spring 3.2通过@ControllerAdvice注解支持全局@ExceptionHandler。**
这启用了一种脱离旧 MVC 模型并利用ResponseEntity以及*@ExceptionHandler*的类型安全性和灵活性的机制:
@ControllerAdvice
public class RestResponseEntityExceptionHandler
extends ResponseEntityExceptionHandler {
@ExceptionHandler(value
= { IllegalArgumentException.class, IllegalStateException.class })
protected ResponseEntity<Object> handleConflict(
RuntimeException ex, WebRequest request) {
String bodyOfResponse = "This should be application specific";
return handleExceptionInternal(ex, bodyOfResponse,
new HttpHeaders(), HttpStatus.CONFLICT, request);
}
}
@ControllerAdvice注解允许我们将之前的多个分散的*@ExceptionHandler*整合到一个单一的全局错误处理组件中。 实际的机制非常简单,但也非常灵活:
- 它使我们可以完全控制响应的主体以及状态代码。
- 它提供了多个异常到同一方法的映射,以便一起处理。
- 它充分利用了较新的 RESTful ResposeEntity响应。
这里要记住的一件事是将使用** @ExceptionHandler声明的异常与用作方法参数的异常相匹配。** 如果这些不匹配,编译器不会抱怨——没有理由应该抱怨——Spring 也不会抱怨。 但是,当在运行时实际抛出异常时,异常解析机制将失败,并显示:
java.lang.IllegalStateException: No suitable resolver for argument [0] [type=...]
HandlerMethod details: ...
5.解决方案4:ResponseStatusException(Spring 5及以上)
Spring 5 引入了ResponseStatusException类。 我们可以创建它的一个实例,提供一个HttpStatus以及一个可选的reason和cause:
@GetMapping(value = "/{id}")
public Foo findById(@PathVariable("id") Long id, HttpServletResponse response) {
try {
Foo resourceById = RestPreconditions.checkFound(service.findOne(id));
eventPublisher.publishEvent(new SingleResourceRetrievedEvent(this, response));
return resourceById;
}
catch (MyResourceNotFoundException exc) {
throw new ResponseStatusException(
HttpStatus.NOT_FOUND, "Foo Not Found", exc);
}
}
使用ResponseStatusException有什么好处?
- 非常适合原型设计:我们可以非常快速地实施基本解决方案。
- 一种类型,多种状态码:一种异常类型可能导致多种不同的响应。与@ExceptionHandler*相比,这减少了紧密耦合。*
- 我们不必创建尽可能多的自定义异常类。
- 我们可以更好地控制异常处理,因为可以通过编程方式创建异常。
那么权衡呢?
- 没有统一的异常处理方式:与提供全局方法的*@ControllerAdvice*相比,执行一些应用程序范围的约定更加困难。
- 代码复制:我们可能会发现自己在多个控制器中复制代码。
我们还应该注意到,可以在一个应用程序中组合不同的方法。 例如,我们可以全局实现@ControllerAdvice ,也可以在本地实现ResponseStatusException。**
但是,我们需要小心:如果可以以多种方式处理同一个异常,我们可能会注意到一些令人惊讶的行为。一种可能的约定是始终以一种方式处理一种特定类型的异常。
有关更多详细信息和更多示例,请参阅我们的ResponseStatusException教程 。
6、处理Spring Security中的访问被拒绝
当经过身份验证的用户尝试访问他没有足够权限访问的资源时,会发生访问被拒绝。
6.1. REST 和方法级安全性
最后,让我们看看如何处理由方法级安全注解(@PreAuthorize、@PostAuthorize和*@Secure* )引发的 Access Denied 异常。
当然,我们也会使用前面讨论过的全局异常处理机制来处理AccessDeniedException:
@ControllerAdvice
public class RestResponseEntityExceptionHandler
extends ResponseEntityExceptionHandler {
@ExceptionHandler({ AccessDeniedException.class })
public ResponseEntity<Object> handleAccessDeniedException(
Exception ex, WebRequest request) {
return new ResponseEntity<Object>(
"Access denied message here", new HttpHeaders(), HttpStatus.FORBIDDEN);
}
...
}
7. Spring Boot 支持
Spring Boot 提供了一个ErrorController实现以合理的方式处理错误。 简而言之,它为浏览器提供后备错误页面(又名 Whitelabel 错误页面),并为 RESTful、非 HTML 请求提供 JSON 响应:
{
"timestamp": "2019-01-17T16:12:45.977+0000",
"status": 500,
"error": "Internal Server Error",
"message": "Error processing the request!",
"path": "/my-endpoint-with-exceptions"
}
像往常一样,Spring Boot 允许使用属性配置这些功能:
- server.error.whitelabel.enabled:可用于禁用 Whitelabel 错误页面并依赖 servlet 容器提供 HTML 错误消息
- server.error.include-stacktrace:具有always值;在 HTML 和 JSON 默认响应中包含堆栈跟踪
- server.error.include-message:从 2.3 版本开始,Spring Boot 在响应中隐藏了message字段,以避免泄露敏感信息;我们可以使用这个属性和一个always值来启用它
除了这些属性之外,我们还可以为** /error 提供我们自己的视图解析器映射,覆盖 Whitelabel 页面。**
我们还可以通过在上下文中包含一个ErrorAttributes bean 来自定义我们希望在响应中显示的属性 。我们可以扩展 Spring Boot 提供的 DefaultErrorAttributes类以使事情变得更简单:
@Component
public class MyCustomErrorAttributes extends DefaultErrorAttributes {
@Override
public Map<String, Object> getErrorAttributes(
WebRequest webRequest, ErrorAttributeOptions options) {
Map<String, Object> errorAttributes =
super.getErrorAttributes(webRequest, options);
errorAttributes.put("locale", webRequest.getLocale()
.toString());
errorAttributes.remove("error");
//...
return errorAttributes;
}
}
如果我们想进一步定义(或覆盖)应用程序将如何处理特定内容类型的错误,我们可以注册一个 ErrorController bean。 同样,我们可以利用 Spring Boot 提供的默认 BasicErrorController来帮助我们。
例如,假设我们想要自定义我们的应用程序如何处理在 XML 端点中触发的错误。我们所要做的就是使用 @RequestMapping定义一个公共方法,并声明它产生application/xml媒体类型:
@Component
public class MyErrorController extends BasicErrorController {
public MyErrorController(
ErrorAttributes errorAttributes, ServerProperties serverProperties) {
super(errorAttributes, serverProperties.getError());
}
@RequestMapping(produces = MediaType.APPLICATION_XML_VALUE)
public ResponseEntity<Map<String, Object>> xmlError(HttpServletRequest request) {
// ...
}
}
注意:这里我们仍然依赖于 server.error.* 我们可能已经在项目中定义的引导属性,这些属性绑定到ServerProperties bean。