在 nestjs 中,直接 `return` 异常实例(如 `new forbiddenexception()`)不会触发异常处理流程,导致响应状态码仍为默认的 201;必须使用 `throw` 才能激活全局异常过滤器并返回正确的 http 状态码。
NestJS 的异常处理机制高度依赖 异常抛出(throw) 而非 异常返回(return)。当你在服务方法中 return new ForbiddenException('...'),NestJS 会将该对象视为普通响应体进行序列化(JSON 化),并沿用当前路由的默认状态码——对 POST 请求即为 201 Created,即使内容是错误信息。
✅ 正确做法:始终使用 throw 抛出异常,让 NestJS 的全局异常过滤器(如内置的 BaseExceptionFilter 或自定义 ExceptionFilter)捕获、日志记录并生成标准化错误响应(含正确状态码、error 字段和可选 timestamp)。
以下是修复后的 login 方法示例:
async login(dto: LoginDto) {
try {
const user = await this.prisma.user.findUnique({
where: { email: dto.email },
});
if (!user) {
throw new ForbiddenException('Credentials incorrect'); // ✅ 抛出,非返回
}
const pwMatches = await argon.verify(user.password, dto.password);
if (!pwMatches) {
throw new ForbiddenException('Credentials incorrect'); // ✅ 同上
}
return this.signToken(user.id, user.email); // ✅ 正常成功路径
} catch (error) {
// ⚠️ 注意:此处仅捕获底层异常(如数据库连接失败、Prisma 错误等)
// 不应吞掉业务逻辑异常(如上面的 ForbiddenException),它们应在 try 内 throw 并透出
this.logger.error(`Login failed for ${dto.email}:`, error);
throw new InternalServerErrorException('Login process failed');
}
}? 关键注意事项:
- ForbiddenException 属于 NestJS 的标准异常类,继承自 HttpException,抛出后自动映射为 403 Forbidden;
- 不要在 catch 块中“兜底”所有异常并统一 return —— 这会绕过异常过滤器,丧失状态码语义与错误标准化能力;
- 若需自定义错误响应格式(如添加 errorCode 字段),应通过实现 ExceptionFilter 并使用 useGlobalFilters() 注册;
- 全局管道(GlobalPipes)用于请求验证(如 ValidationPipe),不处理异常状态码,异常处理由 ExceptionFilter 负责。
总结:NestJS 的 HTTP 状态码由异常类型决定,而非响应内容。牢记 —— throw 是触发正确状态码的唯一可靠方式;return 永远只产生 200/201 响应。
