Spring @ExceptionHandler无法捕获AccessDeniedException
问题内容:
我用以下代码设置了异常处理程序
@ExceptionHandler(Throwable.class)
public @ResponseBody CustomResponse handleException(Throwable throwable){
// handles exception, returns a JSON
}
我正在使用Spring Security
3.1。当我尝试执行未经身份验证的操作时,应用程序将引发AccessDeniedException。它从来没有涉及到这种方法。但是在其他例外情况下也可以正常工作。这是应该工作的方式吗?还是我的代码有问题?
这看起来像一个解决方案。但是,如果我可以单点处理异常,那就更好了。
这是我的配置文件
<global-method-security secured-annotations="enabled" pre-post-annotations="enabled" />
<http auto-config="true" use-expressions="true">
//intercept urls
<form-login login-page="/signin" default-target-url="/" always-use-default-target="true"/>
</http>
<authentication-manager>
<authentication-provider user-service-ref="userDetailsService">
<password-encoder ref="encoder" />
</authentication-provider>
</authentication-manager>
<!-- This encoder doesn't require a salt -->
<beans:bean id="encoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
更新
这里用户未通过身份验证(ROLE_ANONYMOUS)。当我尝试访问受保护的页面时,它会将我重定向到登录URL。我的问题是,我拨打了AJAX。因此,重定向到返回ModelAndView的方法不起作用。这附近有工作吗?
问题答案:
Spring Security的请求处理全部在调用分派器servlet之前在过滤器链中进行,因此它对Spring
MVC异常处理程序一无所知,并且实际上完全可以在没有Spring MVC的情况下使用。
您看到的是未经身份验证的用户的预期行为,但是您不希望将Ajax调用重定向到UI代码。很难确切地说出最佳解决方案是什么,因为对于未经身份验证的ajax调用,您想要的行为并不明显。例如,如果您希望它们仅因403失败,则可以将ajax
api分成单独的过滤器链。例如,如果要进行ajax调用,则/ajaxapi可以在现有的链定义之前添加以下链定义:
<http pattern="/ajaxapi/**" create-session="never" use-expressions="true" entry-point-ref="entryPoint">
<intercept-url pattern="/**" access="isAuthenticated()" />
</http>
<bean entryPoint="org.springframework.security.web.authentication.Http403ForbiddenEntryPoint" />
然后,ajax调用将只获得403响应,直到用户通过浏览器界面进行身份验证为止。
