http api接口返回码的最佳实践

是使用http的状态码，还是使用状态码嵌入到业务之中呢？我们来深入分析一下两种模式的优劣和最佳实践。

核心原则：HTTP状态码和业务错误码扮演不同的角色

1. HTTP状态码：描述HTTP协议层面的请求结果。它告诉客户端（浏览器、HTTP客户端库）这次通信本身是成功、失败，还是需要进一步操作。
2. 业务错误码：描述应用程序层面的业务逻辑处理结果。它告诉开发者具体的业务失败原因。

两种主流设计模式

模式一：严格分层（推荐的主流RESTful实践）

这是当前主流RESTful API设计更推荐的方式，特别是对外的公共API。

• HTTP状态码 用于表示请求的整体状态。
• 响应体中的业务码（code） 用于表示业务逻辑的详细结果。

你的例子按照这种模式应该调整为：

HTTP/1.1 404 Not Found
Content-Type: application/json

{
    "code": 10001, // 自定义的业务错误码，表示“用户不存在”
    "msg": "User not found",
    "data": null
}

或者对于业务成功，但数据为空的情况（更常见）：

HTTP/1.1 200 OK
Content-Type: application/json

{
    "code": 0,
    "msg": "success",
    "data": null // 或者直接是 null，或者不包含 data 字段
}

这种模式的优点：

1. 清晰分离：HTTP客户端（如Axios、Fetch）可以首先根据状态码判断网络/协议请求是否成功（2xx），是否需要重定向（3xx），是否是客户端错误（4xx），还是服务端错误（5xx）。这符合HTTP标准。
2. 符合标准库和中间件预期：网关、负载均衡器、监控系统、HTTP客户端库等基础设施都依赖HTTP状态码工作。如果你把所有业务错误都返回200，监控系统会认为所有请求都成功了，无法发现错误。
3. 易于排查问题：运维人员看到404、500等状态码，能立刻对问题有个大致的定位。
4. 避免语义冲突：HTTP的404有明确含义——“请求的资源在服务器上未找到”。如果你的API路径 /api/user/123 本身是有效的，只是用户ID为123的用户不存在，严格来说，资源（用户接口）是存在的，只是资源实例（用户123）不存在。用404可能会让调用者困惑“到底是接口路径错了，还是用户不存在？”。

模式二：HTTP状态码全部返回200，业务细节完全靠业务码

一些大型公司（如早期的腾讯、阿里部分接口）曾采用此模式。

HTTP/1.1 200 OK
Content-Type: application/json

{
    "code": 404, // 业务码，直接用了404这个数字
    "msg": "User not found",
    "data": null
}

这种模式的出发点：

1. “防穿透”：某些古老的浏览器、代理或客户端库可能会拦截非2xx的响应并直接抛错，导致前端无法获取到响应体中的详细错误信息。统一返回200可以确保响应体总能被前端代码接收到。
2. 简化客户端处理：客户端只需要检查一个地方（body.code），而不需要先检查状态码再检查业务码。

这种模式的缺点在现代开发中日益突出：

1. 破坏HTTP语义：这违反了HTTP协议的设计初衷，让监控、调试、网关处理变得困难。
2. 现代客户端库已无必要：现代的前端框架和HTTP库（如Axios、Fetch API）完全可以正确处理非2xx状态码，并允许你读取完整的响应体。
3. 误导基础设施：如前所述，所有监控告警系统都会失效。

结论与最佳实践建议

对于新设计的、对外的HTTP API，强烈建议采用“模式一：严格分层”。

1. 正确使用HTTP状态码家族：

   • 2xx：业务请求成功处理（业务code可以是0表示成功，或其他正数表示带状态的业务成功）。
   • 400 Bad Request：客户端请求参数错误（如格式、类型不对）。响应体中用业务码（如1001）细化。
   • 401 Unauthorized：身份未认证。
   • 403 Forbidden：身份已认证，但权限不足。
   • 404 Not Found：请求的接口端点（URL）本身不存在。对于“用户不存在”这种业务逻辑错误，建议不要用404，而用200 + 错误业务码，或者更精确地用422 Unprocessable Entity（无法处理的实体）或400。
   • 409 Conflict：资源状态冲突（如重复创建）。
   • 422 Unprocessable Entity：请求格式正确，但语义错误（如“用户不存在”、“邮箱已注册”）。这是一个非常好的、专门用于业务逻辑错误的状态码。
   • 429 Too Many Requests：请求频率超限。
   • 5xx：服务器内部错误。

2. 设计清晰的业务响应体：

   {
       "code": 0, // 0 表示成功，非0表示失败。可以按模块划分，如 1xxxx 用户模块，2xxxx 订单模块
       "msg": "success", // 面向开发者的错误信息，英文或中英文编码
       "data": {} // 成功时返回的数据
       // 可选："traceId": "xxx" // 用于链路追踪，排查问题非常有用
   }
   

   对于错误：

   {
       "code": 10001,
       "msg": "用户不存在",
       "data": null
   }
   

3. 针对“资源未找到”的具体建议：

   • 如果查询单个资源（如GET /api/users/123），而ID为123的用户不存在：返回 200 OK，并在data中返回null或空对象，或者返回 404 Not Found。两种都可以，但业界更倾向于前者，因为接口路径是有效的。为了更精确，使用 422 或 400 配合业务码是更优解。
   • 永远不要在接口路径正确但业务失败时，返回 HTTP 404 但业务码又是 0（成功）。这会非常混乱。

总结：
不要将HTTP状态码的数字直接用作业务码。为你的业务定义一套独立的、有体系的错误码。让HTTP状态码做好它协议层的工作，让你的业务码做好业务层的工作。两者协同，才能构建出语义清晰、易于维护和集成的API。对于“用户不存在”这类错误，推荐使用 400、422 或 200 + 错误业务码，避免使用 HTTP 404。