JAX-RS (Jersey) 如何处理XML数据

JAXB注解POJO可自动收发XML，需@XmlRootElement、无参构造函数；集合须包装；大文件用StreamSource；需禁用XXE；异常响应须用@Provider统一XML化。

用 JAXB 注解 POJO 就能自动收发 XML

Jersey 默认通过 JAXB（JaxbXmlProvider）处理 XML，只要你的 Java 类加了 @XmlRootElement 等注解，就能直接作为 @POST 参数或 @GET 返回值，无需手动解析。

• 必须有无参构造函数（JAXB 反序列化需要）
• @XmlRootElement 是必需的，否则 Jersey 会报 MessageBodyReader not found
• 字段默认按名称映射，用 @XmlElement(name = "user-id") 可自定义 XML 标签名
• 集合类型如 List 不能直接返回，需包装成 GenericEntity> 或用根元素类（如 Users）包裹

@XmlRootElement(name = "user")
public class User {
    private Long id;
    private String name;

    public User() {} // 必须

    @XmlElement
    public Long getId() { return id; }
    public void setId(Long id) { this.id = id; }

    @XmlElement
    public String getName() { return name; }
    public void setName(String name) { this.name = name; }
}

不推荐手写 DOM/SAX/StAX，除非要流式处理大文件

JAXP 提供的 Document、SAXSource、StreamSource 确实能接收原始 XML，但代价是失去类型安全和开发效率——你得自己写解析逻辑，而 Jersey 已经帮你做了。

• 仅在需要校验/转换/过滤超大 XML（>10MB）且不能全量加载内存时才考虑 StreamSource
• @Consumes(MediaType.APPLICATION_XML) + StreamSource 参数能拿到原始输入流，但后续解析完全由你负责
• 用 StreamSource 返回时，Jersey 不会再做 JAXB 序列化，适合代理转发或生成动态 XML 片段

@POST
@Path("stream")
@Consumes(MediaType.APPLICATION_XML)
@Produces(MediaType.APPLICATION_XML)
public StreamSource handleRawXml(StreamSource source) {
    // 你得自己 new StAX parser 或 XSLT transformer 处理 source.getInputStream()
    return source; // 直接透传，不走 JAXB
}

XML 安全性默认开启，大 XML 或特殊字符要主动关

JAXB 内置的 XML 解析器（如 Xerces）默认启用 DTD 和外部实体，遇到含 或 &xx; 的恶意 XML 会触发 XXE 攻击或拒绝服务。Jersey 2.x 开始默认禁用，但老项目或自定义 Provider 可能没生效。

• 显式关闭：在资源方法或全局配置中设 MessageProperties.XML_SECURITY_DISABLE = true
• 若需保留 DTD（极少见），应配合白名单实体解析器，而非全局放开
• 中文、emoji 等 Unicode 字符在 UTF-8 编码下正常，但若客户端未声明 encoding="UTF-8"，JAXB 可能误判为 ISO-8859-1 导致乱码

异常响应也得 XML 化，别让 JSON 和 XML 混乱共存

当接口声明 @Produces({ MediaType.APPLICATION_XML })，但抛出未处理异常时，Jersey 默认返回 HTML 错误页或 JSON（取决于环境），破坏契约。必须用 @Provider 实现 ExceptionMapper 统一输出 XML。

• Mapper 类必须加 @Provider 注解，且被 Jersey 扫描到（包路径需在 packages 配置里）
• 返回 Response.status(400).entity(new AccountExceptionConverter(...)).build()，确保 entity 是 JAXB 可序列化的 POJO
• 避免在 ExceptionMapper 中抛新异常，否则可能陷入无限 fallback

最易忽略的是：XML 异常响应体没有根元素名匹配时，客户端 JAXB 反序列化会失败——@XmlRootElement(name = "error") 必须和实际返回的 XML 根标签一致。