JAX-RS (Jersey) 如何处理XML数据
JAXB注解POJO可自动收发XML,需@XmlRootElement、无参构造函数;集合须包装;大文件用StreamSource;需禁用XXE;异常响应须用@Provider统一XML化。
用 JAXB 注解 POJO 就能自动收发 XML
Jersey 默认通过 JAXB(JaxbXmlProvider)处理 XML,只要你的 Java 类加了 @XmlRootElement 等注解,就能直接作为 @POST 参数或 @GET 返回值,无需手动解析。
- 必须有无参构造函数(JAXB 反序列化需要)
-
@XmlRootElement是必需的,否则 Jersey 会报MessageBodyReader not found - 字段默认按名称映射,用
@XmlElement(name = "user-id")可自定义 XML 标签名 - 集合类型如
List不能直接返回,需包装成GenericEntity或用根元素类(如- >
Users)包裹
@XmlRootElement(name = "user")
public class User {
private Long id;
private Strin
g name;
public User() {} // 必须
@XmlElement
public Long getId() { return id; }
public void setId(Long id) { this.id = id; }
@XmlElement
public String getName() { return name; }
public void setName(String name) { this.name = name; }
}
g name;
public User() {} // 必须
@XmlElement
public Long getId() { return id; }
public void setId(Long id) { this.id = id; }
@XmlElement
public String getName() { return name; }
public void setName(String name) { this.name = name; }
}不推荐手写 DOM/SAX/StAX,除非要流式处理大文件
JAXP 提供的 Document、SAXSource、StreamSource 确实能接收原始 XML,但代价是失去类型安全和开发效率——你得自己写解析逻辑,而 Jersey 已经帮你做了。
- 仅在需要校验/转换/过滤超大 XML(>10MB)且不能全量加载内存时才考虑
StreamSource -
@Consumes(MediaType.APPLICATION_XML)+StreamSource参数能拿到原始输入流,但后续解析完全由你负责 - 用
StreamSource返回时,Jersey 不会再做 JAXB 序列化,适合代理转发或生成动态 XML 片段
@POST
@Path("stream")
@Consumes(MediaType.APPLICATION_XML)
@Produces(MediaType.APPLICATION_XML)
public StreamSource handleRawXml(StreamSource source) {
// 你得自己 new StAX parser 或 XSLT transformer 处理 source.getInputStream()
return source; // 直接透传,不走 JAXB
}
XML 安全性默认开启,大 XML 或特殊字符要主动关
JAXB 内置的 XML 解析器(如 Xerces)默认启用 DTD 和外部实体,遇到含 或 &xx; 的恶意 XML 会触发 XXE 攻击或拒绝服务。Jersey 2.x 开始默认禁用,但老项目或自定义 Provider 可能没生效。
- 显式关闭:在资源方法或全局配置中设
MessageProperties.XML_SECURITY_DISABLE = true - 若需保留 DTD(极少见),应配合白名单实体解析器,而非全局放开
- 中文、emoji 等 Unicode 字符在 UTF-8 编码下正常,但若客户端未声明
encoding="UTF-8",JAXB 可能误判为 ISO-8859-1 导致乱码
异常响应也得 XML 化,别让 JSON 和 XML 混乱共存
当接口声明 @Produces({ MediaType.APPLICATION_XML }),但抛出未处理异常时,Jersey 默认返回 HTML 错误页或 JSON(取决于环境),破坏契约。必须用 @Provider 实现 ExceptionMapper 统一输出 XML。
- Mapper 类必须加
@Provider注解,且被 Jersey 扫描到(包路径需在packages配置里) - 返回
Response.status(400).entity(new AccountExceptionConverter(...)).build(),确保 entity 是 JAXB 可序列化的 POJO - 避免在
ExceptionMapper中抛新异常,否则可能陷入无限 fallback
最易忽略的是:XML 异常响应体没有根元素名匹配时,客户端 JAXB 反序列化会失败——@XmlRootElement(name = "error") 必须和实际返回的 XML 根标签一致。
