Spring MVC 中经常会用到 @RequestBody 和 @RequestParam 两个注解来获取请求的参数,那么这两个参数到底有什么区别呢?
首先我们要知道 GET 请求与 POST 请求的区别
GET 请求与 POST 请求的区别
GET请求的数据会附在URL之后(就是把数据放置在HTTP协议头中),以?分割URL和传输数据,参数之间以&相连,如:login.action?name=hyddd&password=idontknow&verify=%E4%BD%A0%E5%A5%BD。如果数据是英文字母或数字,则原样发送;如果是空格,转换为+;如果是中文或其他字符,则直接把字符串用BASE64加密,得出如:%E4%BD%A0%E5%A5%BD,其中%XX中的XX为该符号以16进制表示的ASCII码值。而与之对应的,POST把提交的数据放置在HTTP包的包体中。
POST的安全性要比GET的安全性高。注意:这里所说的安全性和上面GET提到的“安全”不是同个概念。上面“安全”的含义仅仅是不作数据修改,而这里安全的含义是真正的Security的含义。比如:通过GET提交数据,用户名和密码将明文出现在URL上,因为:(1)登录页面有可能被浏览器缓存,(2)其他人查看浏览器的历史纪录,那么别人就可以拿到你的账号和密码了,除此之外,使用GET提交数据还可能会造成Cross-site request forgery攻击(CSRF,跨站请求伪造,也被称为:one click attack/session riding)。
那么在 Spring MVC 中获取 GET 请求与 POST 请求的参数有什么区别呢?
获取 GET 请求参数
默认方式获取参数
@RequestMapping(value = "/message", method = RequestMethod.GET)
public String hello(String msg) {
return msg;
}
默认情况下会从URL后面的拼接参数中获取参数名是 msg 的值。
例如:http://localhost:8080/api/message?msg=hello
使用@RequestParam
@RequestMapping(value = "/message", method = RequestMethod.GET)
public String hello(@RequestParam(value = "msg",required = false) String msg) {
return msg;
}
使用HttpServletRequest
@RequestMapping(value = "/message", method = RequestMethod.GET)
public String hello(HttpServletRequest request) {
return request.getParameter("msg");
}
这个方法是获取整个URL的信息,然后手动获取参数。这个里面带的内容很多,不仅请求参数还有Header,Cookies等信息。
获取 POST 请求参数
POST 传递参数可以大致分成两种,一种是表单:在 servlet 实现中mutipart/form-data 和 application/x-www-form-urlencoded 会被特殊处理,请求参数将被放置于request.paramter中解析成map。第二种是 application/json(请求参数放在body体中),参数是存放在json中的,参数必须要用@RequestBody才能解析出来。
使用@RequestBody
@RequestMapping(value = "/message", method = RequestMethod.POST)
public String hello(@RequestBody String msg) {
return msg;
}
这种传递方式必须使用Content-Type=application/json,这个不仅可以指定msg为具体对象,也可以用Map、JSONObject、实体对象等。
使用@RequestParam
@RequestMapping(value = "/message", method = RequestMethod.POST)
public String hello(@RequestParam String msg) {
return msg;
}
这种方式只用在Content-Type=mutipart/form-data和Content-Type=application/x-www-form-urlencoded这种情况下才能使用,servlet将Body体中的key-value转成参数对。
如果是这种方式,URL后面拼接参数对,也就是类似Get请求的方式,这样的post请求,@RequestParam是能够获取后面的参数。
有一个有趣的现象,如果Content-Type=mutipart/form-data,Body中加入参数和URL后面拼接参数一起做Post请求,都可以被加载到参数对中,如果是同名的,只取用form-data(Body体)中的。
如果Content-Type=application/x-www-form-urlencoded和URL拼接的一起,如果是String类型,则两个值会被拼接,其他类型取的是URL拼接的参数。
使用 HttpServletRequest
和Get方式一样,这是个通用的方式。这个也可以和URL拼接的一起搭,但是没有RequestParam的String类型值被拼接问题,优先级 form-data高于URL拼接高于x-www-form-urlencoded。