Автор оригинала: Justin Albano.
1. введение
REST-это архитектура без состояния, в которой клиенты могут получать доступ к ресурсам на сервере и управлять ими. Как правило, службы REST используют HTTP для объявления набора ресурсов, которыми они управляют, и предоставляют API, который позволяет клиентам получать или изменять состояние этих ресурсов.
В этом уроке мы познакомимся с некоторыми из лучших практик обработки ошибок REST API, включая полезные подходы для предоставления пользователям соответствующей информации, примеры из крупномасштабных веб-сайтов и конкретную реализацию с использованием примера приложения Spring REST.
Дальнейшее чтение:
Обработка ошибок для ОТДЫХА с пружиной
Пользовательская обработка сообщений об ошибках для REST API
Spring ResponseStatusException
2. Коды состояния HTTP
Когда клиент делает запрос к HTTP — серверу — и сервер успешно получает запрос – сервер должен уведомить клиента, был ли запрос успешно обработан или нет . HTTP выполняет это с помощью пяти категорий кодов состояния:
- 100-уровневый (информационный) — Сервер подтверждает запрос
- 200-уровень (Успех) — Сервер выполнил запрос, как и ожидалось
- 300-уровень (Перенаправление) — Клиенту необходимо выполнить дальнейшие действия для завершения запроса
- 400-level (Ошибка клиента) — Клиент отправил неверный запрос
- 500-level (Server error) — Серверу не удалось выполнить допустимый запрос из-за ошибки с сервером
Основываясь на коде ответа, клиент может предположить результат конкретного запроса.
3. Обработка Ошибок
Первым шагом в обработке ошибок является предоставление клиенту правильного кода состояния. Кроме того, нам может потребоваться предоставить дополнительную информацию в теле ответа.
3.1. Основные Ответы
Самый простой способ обработки ошибок-это ответить соответствующим кодом состояния .
Некоторые распространенные коды ответов включают в себя:
- 400 Плохой запрос — Клиент отправил недопустимый запрос — например, отсутствует требуемое тело запроса или параметр
- 401 Неавторизованный — Клиенту не удалось пройти аутентификацию на сервере
- 403 Forbidden — Клиент аутентифицирован, но не имеет разрешения на доступ к запрошенному ресурсу
- 404 Не найден — Запрошенный ресурс не существует
- 412 Ошибка предварительного условия — одно или несколько условий в полях заголовка запроса оцениваются как ложные.
- 500 Внутренняя ошибка сервера — На сервере произошла общая ошибка
- 503 Услуга Недоступна — Запрошенная услуга недоступна
Будучи базовыми, эти коды позволяют клиенту понять широкий характер возникшей ошибки. Например, мы знаем, если получаем ошибку 403, что у нас нет разрешений на доступ к запрошенному ресурсу.
Во многих случаях, однако, мы должны предоставить дополнительные детали в наших ответах.
500 ошибок сигнализируют о том, что при обработке запроса на сервере возникли некоторые проблемы или исключения. Как правило, эта внутренняя ошибка не является делом нашего клиента.
Следовательно, чтобы свести к минимуму такого рода ответы клиенту, мы должны усердно пытаться обрабатывать или улавливать внутренние ошибки и отвечать другими соответствующими кодами состояния, где это возможно . Например, если исключение возникает из-за того, что запрошенный ресурс не существует, мы должны выставить это как ошибку 404, а не 500.
Это не означает, что 500 никогда не должны быть возвращены, только то, что он должен использоваться для непредвиденных условий – таких как отключение службы – которые мешают серверу выполнить запрос.
3.2. Ответы На Весенние ошибки По Умолчанию
Эти принципы настолько распространены, что Spring кодифицировала их в своем механизме обработки ошибок по умолчанию .
Чтобы продемонстрировать это, предположим, что у нас есть простое приложение Spring REST , которое управляет книгами, с конечной точкой для извлечения книги по ее идентификатору:
curl -X GET -H "Accept: application/json" http://localhost:8082/spring-rest/api/book/1
Если нет книги с идентификатором 1, мы ожидаем, что наш контроллер выдаст исключение BookNotFoundException . Выполняя GET на этой конечной точке, мы видим, что это исключение было выброшено, и тело ответа:
{
"timestamp":"2019-09-16T22:14:45.624+0000",
"status":500,
"error":"Internal Server Error",
"message":"No message available",
"path":"/api/book/1"
}Обратите внимание, что этот обработчик ошибок по умолчанию включает метку времени возникновения ошибки, код состояния HTTP, заголовок (поле error ), сообщение (по умолчанию пустое) и URL-адрес, по которому произошла ошибка.
Эти поля предоставляют клиенту или разработчику информацию, помогающую устранить проблему , а также составляют несколько полей, составляющих стандартные механизмы обработки ошибок.
Кроме того, обратите внимание, что Spring автоматически возвращает код состояния HTTP 500 при вызове нашего BookNotFoundException . Хотя некоторые API будут возвращать код состояния 500 или другие общие коды, как мы увидим с API Facebook и Twitter — для всех ошибок ради простоты лучше всего использовать наиболее конкретный код ошибки, когда это возможно .
В нашем примере мы можем добавить @ControllerAdvice так, чтобы при возникновении BookNotFoundException наш API возвращал статус 404 для обозначения Not Found вместо 500 Internal Server Error .
3.3. Более Подробные Ответы
Как видно из приведенного выше примера Spring, иногда кода состояния недостаточно, чтобы показать специфику ошибки. При необходимости мы можем использовать тело ответа, чтобы предоставить клиенту дополнительную информацию. При предоставлении подробных ответов мы должны включать:
- Error — Уникальный идентификатор ошибки
- Сообщение — Краткое читаемое человеком сообщение
- Детализация — более подробное объяснение ошибки
Например, если клиент отправляет запрос с неверными учетными данными, мы можем отправить ответ 401 с телом:
{
"error": "auth-0001",
"message": "Incorrect username and password",
"detail": "Ensure that the username and password included in the request are correct"
}Поле error не должно совпадать с кодом ответа . Вместо этого это должен быть код ошибки, уникальный для нашего приложения. Как правило, нет никакого соглашения для поля error , ожидайте, что оно будет уникальным.
Обычно это поле содержит только буквенно-цифровые символы и соединительные символы, такие как тире или подчеркивание. Например, 0001 , auth-0001 и incorrect-user-pass являются каноническими примерами кодов ошибок.
Часть тела message обычно считается презентабельной на пользовательских интерфейсах. Поэтому мы должны перевести это название, если мы поддерживаем интернационализацию . Таким образом, если клиент отправляет запрос с заголовком Accept-Language , соответствующим французскому языку, значение title должно быть переведено на французский.
Часть detail предназначена для использования разработчиками клиентов , а не конечным пользователем , поэтому перевод не требуется.
Кроме того, мы также можем предоставить URL — адрес — например, поле help , по которому клиенты могут перейти для получения дополнительной информации:
{
"error": "auth-0001",
"message": "Incorrect username and password",
"detail": "Ensure that the username and password included in the request are correct",
"help": "https://example.com/help/error/auth-0001"
}Иногда мы можем захотеть сообщить более чем об одной ошибке для запроса . В этом случае мы должны вернуть ошибки в список:
{
"errors": [
{
"error": "auth-0001",
"message": "Incorrect username and password",
"detail": "Ensure that the username and password included in the request are correct",
"help": "https://example.com/help/error/auth-0001"
},
...
]
}И когда возникает единственная ошибка, мы отвечаем списком, содержащим один элемент. Обратите внимание, что ответ с несколькими ошибками может быть слишком сложным для простых приложений. Во многих случаях достаточно ответить на первую или самую значительную ошибку.
3.4. Стандартизированные Органы реагирования
В то время как большинство API REST следуют аналогичным соглашениям, специфика обычно варьируется, включая имена полей и информацию, включенную в тело ответа. Эти различия затрудняют единообразную обработку ошибок библиотеками и фреймворками.
Стремясь стандартизировать обработку ошибок REST API, |/IETF разработала RFC 7807 , который создает обобщенную схему обработки ошибок .
Эта схема состоит из пяти частей:
- тип — Идентификатор URI, который классифицирует ошибку
- заголовок — Краткое, читаемое человеком сообщение об ошибке
- status — Код ответа HTTP (необязательно)
- подробно — Читаемое человеком объяснение ошибки
- экземпляр — URI, идентифицирующий конкретное возникновение ошибки
Вместо того чтобы использовать наше пользовательское тело ответа на ошибку, мы можем преобразовать ваше тело в:
{
"type": "/errors/incorrect-user-pass",
"title": "Incorrect username or password.",
"status": 401,
"detail": "Authentication failed due to incorrect username or password.",
"instance": "/login/log/abc123"
}Обратите внимание, что поле type классифицирует тип ошибки, в то время как instance идентифицирует конкретное возникновение ошибки аналогично классам и объектам соответственно.
Используя URI, клиенты могут следовать этим путям, чтобы найти дополнительную информацию об ошибке таким же образом, как ссылки HATEOAS могут использоваться для навигации по REST API.
Придерживаться RFC 7807 необязательно, но выгодно, если требуется однородность.
4. Примеры
Описанные выше методы являются общими для некоторых наиболее популярных API REST. В то время как конкретные имена полей или форматов могут варьироваться между сайтами, общие шаблоны почти универсальны .
4.1. Твиттер
Например, давайте отправим запрос GET без предоставления необходимых аутентификационных данных:
curl -X GET https://api.twitter.com/1.1/statuses/update.json?include_entities=true
API Twitter отвечает ошибкой со следующим телом:
{
"errors": [
{
"code":215,
"message":"Bad Authentication data."
}
]
}Этот ответ включает в себя список, содержащий одну ошибку, с ее кодом ошибки и сообщением. В случае Twitter нет подробного сообщения, и общая ошибка — а не более конкретная ошибка 401 — используется для обозначения того, что аутентификация не удалась.
Иногда более общий код состояния проще реализовать, как мы увидим в нашем весеннем примере ниже. Это позволяет разработчикам перехватывать группы исключений и не различать код состояния, который должен быть возвращен. Однако, когда это возможно, следует использовать наиболее конкретный код состояния .
4.2. Facebook
Подобно Twitter, Facebook Graph REST API также включает подробную информацию в свои ответы.
Например, давайте выполним POST-запрос для аутентификации с помощью API Facebook Graph:
curl -X GET https://graph.facebook.com/oauth/access_token?client_id=foo&client_secret=bar&grant_type=baz
Мы получаем следующую ошибку:
{
"error": {
"message": "Missing redirect_uri parameter.",
"type": "OAuthException",
"code": 191,
"fbtrace_id": "AWswcVwbcqfgrSgjG80MtqJ"
}
}Как и Twitter, Facebook также использует общую ошибку — а не более конкретную ошибку 400-го уровня — для обозначения сбоя. В дополнение к сообщению и числовому коду Facebook также включает в себя поле type , которое классифицирует ошибку, и идентификатор трассировки ( fbtrace_id ), который действует как внутренний идентификатор поддержки .
5. Заключение
В этой статье мы рассмотрели некоторые из лучших практик обработки ошибок REST API, в том числе:
- Предоставление конкретных кодов состояния
- Включение дополнительной информации в органы реагирования
- Единообразная обработка исключений
Хотя детали обработки ошибок будут варьироваться в зависимости от приложения, эти общие принципы применимы почти ко всем API REST и должны соблюдаться, когда это возможно .
Это не только позволяет клиентам последовательно обрабатывать ошибки, но и упрощает код, который мы создаем при реализации REST API.
Код, на который ссылается эта статья, доступен на GitHub .