在 nestjs 中,直接 `return` 一个异常实例(如 `new forbiddenexception()`)不会触发异常处理流程,而是被序列化为响应体并默认返回 201(post)或 200 状态码;必须使用 `throw` 才能激活全局异常过滤器并返回预期的 http 状态。
NestJS 的异常处理机制高度依赖 异常的抛出(throw)而非返回(return)。当你在服务方法中 return new ForbiddenException('...'),NestJS 并不会将其识别为“错误”,而会将该对象当作普通响应数据进行序列化——此时框架仍认为请求成功完成,因此默认为 POST 路由返回 201 Created,或为其他方法返回 200 OK,完全忽略你意图传达的授权失败语义。
✅ 正确做法是:在业务逻辑中主动 throw 标准异常类(如 ForbiddenException、UnauthorizedException、BadRequestException),让 NestJS 的全局异常过滤器(如 BaseExceptionFilter 或自定义 ExceptionFilter)自动捕获、日志记录,并生成符合 REST 规范的响应(含正确状态码、标准化错误结构)。
以下是修复后的 login 方法示例:
async login(dto: LoginDto) {
try {
const user = await this.prisma.user.findUnique({
where: { email: dto.email },
});
if (!user) {
throw new ForbiddenException('Credentials incorrect'); // ✅ 抛出,非返回
}
const pwMatches = await argon.verify(user.password, dto.password);
if (!pwMatches) {
throw new ForbiddenException('Credentials incorrect'); // ✅ 同上
}
return this.signToken(user.id, user.email); // ✅ 成功路径正常返回
} catch (error) {
// 可选:对底层未知错误做统一兜底(如数据库连接失败)
if (error instanceof Prisma.PrismaClientKnownRequestError) {
throw new InternalServerErrorException('Database error occurred');
}
// 重新抛出已知业务异常,或转换为更安全的错误提示
throw error;
}
}⚠️ 注意事项:
- 不要在 catch 块中 return error —— 这是最常见的误用,会导致状态码失真;
- 若需自定义错误响应格式(如添加 timestamp、path 字段),应通过实现 ExceptionFilter 实现,而非在业务层手动构造响应对象;
- ForbiddenException 表示「认证通过但权限不足」,而登录失败更语义准确的是 UnauthorizedException(401);建议根据场景调整:
throw new UnauthorizedException('Invalid credentials'); // 更符合 OAuth/REST 规范 - 确保已启用全局异常过滤器(通常 main.ts 中已注册):
app.useGlobalFilters(new AllExceptionsFilter()); // 自定义或默认均可
总结:NestJS 的异常流是声明式且基于 throw 的。坚持「只抛不返」原则,配合标准异常类与全局过滤器,才能保障 API 的状态码语义清晰、可测试、易调试。
