Spring MVC 中经常会用到 @RequestBody 和 @RequestParam 两个注解来获取请求的参数，那么这两个参数到底有什么区别呢？

首先我们要知道 GET 请求与 POST 请求的区别

GET 请求与 POST 请求的区别GET请求的数据会附在URL之后（就是把数据放置在HTTP协议头中），以？分割URL和传输数据，参数之间以&相连，如：login.action?name=hyddd&password=idontknow&verify=%E4%BD%A0%E5%A5%BD。如果数据是英文字母或数字，则原样发送；如果是空格，转换为+；如果是中文或其他字符，则直接把字符串用BASE64加密，得出如：%E4%BD%A0%E5%A5%BD，其中％XX中的XX为该符号以16进制表示的ASCII码值。而与之对应的，POST把提交的数据放置在HTTP包的包体中。POST的安全性要比GET的安全性高。注意：这里所说的安全性和上面GET提到的“安全”不是同个概念。上面“安全”的含义仅仅是不作数据修改，而这里安全的含义是真正的Security的含义。比如：通过GET提交数据，用户名和密码将明文出现在URL上，因为：(1)登录页面有可能被浏览器缓存，(2)其他人查看浏览器的历史纪录，那么别人就可以拿到你的账号和密码了，除此之外，使用GET提交数据还可能会造成Cross-site request forgery攻击（CSRF,跨站请求伪造，也被称为：one click attack/session riding）。

那么在 Spring MVC 中获取 GET 请求与 POST 请求的参数有什么区别呢？

获取 GET 请求参数默认方式获取参数

@RequestMapping(value = "/message", method = RequestMethod.GET)public String hello(String msg) { return msg; }

默认情况下会从URL后面的拼接参数中获取参数名是 msg 的值。例如：http://localhost:8080/api/message?msg=hello

使用@RequestParam

@RequestMapping(value = "/message", method = RequestMethod.GET)public String hello(@RequestParam(value = "msg",required = false) String msg) { return msg; }

使用HttpServletRequest

@RequestMapping(value = "/message", method = RequestMethod.GET)public String hello(HttpServletRequest request) { return request.getParameter("msg"); }

这个方法是获取整个URL的信息，然后手动获取参数。这个里面带的内容很多，不仅请求参数还有Header，Cookies等信息。

获取 POST 请求参数POST 传递参数可以大致分成两种，一种是表单：在 servlet 实现中mutipart/form-data 和 application/x-www-form-urlencoded 会被特殊处理，请求参数将被放置于request.paramter中解析成map。第二种是 application/json（请求参数放在body体中），参数是存放在json中的，参数必须要用@RequestBody才能解析出来。

使用@RequestBody

@RequestMapping(value = "/message", method = RequestMethod.POST)public String hello(@RequestBody String msg) { return msg;}

这种传递方式必须使用Content-Type=application/json，这个不仅可以指定msg为具体对象，也可以用Map、JSONObject、实体对象等。

使用@RequestParam

@RequestMapping(value = "/message", method = RequestMethod.POST)public String hello(@RequestParam String msg) { return msg;}

这种方式只用在Content-Type=mutipart/form-data和Content-Type=application/x-www-form-urlencoded这种情况下才能使用，servlet将Body体中的key-value转成参数对。如果是这种方式，URL后面拼接参数对，也就是类似Get请求的方式，这样的post请求，@RequestParam是能够获取后面的参数。有一个有趣的现象，如果Content-Type=mutipart/form-data，Body中加入参数和URL后面拼接参数一起做Post请求，都可以被加载到参数对中，如果是同名的，只取用form-data（Body体）中的。如果Content-Type=application/x-www-form-urlencoded和URL拼接的一起，如果是String类型，则两个值会被拼接，其他类型取的是URL拼接的参数。

使用 HttpServletRequest和Get方式一样，这是个通用的方式。这个也可以和URL拼接的一起搭，但是没有RequestParam的String类型值被拼接问题，优先级 form-data高于URL拼接高于x-www-form-urlencoded。