I love you three thousand

# Spring Security 中自定义异常处理

我们最常见的 UsernamePasswordAuthenticationFilter 和 FilterSecurityInterceptor 这 2 个 Filter 在抛异常(和处理)的逻辑是不一样的:

  • UsernamePasswordAuthenticationFilter 在做认证时,如果抛出了异常(例如认证不通过时),是它自己 try ... catch ... 处理掉了。

  • FilterSecurityInterceptor 在做鉴权时,如果抛出了异常(例如用户未登录或用户权限不够),它是将异常抛给了它前面的 ExceptionTranslationFilter ,由 ExceptionTranslationFilter 来 try ... catch ... 处理。

# 1. 认证环节的异常处理

Spring Security 的认证工作是由 UsernamePasswordAuthenticationFilter 处理的。查看它( 和它的父类 AbstractAuthenticationProcessingFilter )的源码,我们可以看到:

  • 当认证通过时,会执行它( 继承自父类 )的 successfulAuthentication 方法。successfulAuthentication 的默认行为(之前讲过):继续用户原本像访问的 URI 。

    另外,你可以通过 http.successHandler(...) 来 “覆盖” 默认的成功行为。

  • 当认证不通过时,会执行它( 继承自父类 )的 unsuccessfulAuthentication 方法。unsuccessfulAuthentication 的默认行为是再次显示登陆页面,并在页面上提示用户名密码错误。

    另外,你可以通过 http.failureHandler(...) 来 “覆盖” 默认的失败行为。

前面章节有讲过,这里不再赘述了。

# 2. 鉴权环节的异常处理

Spring Security 的认证工作是由 FilterSecurityInterceptor 处理的。FilterSecurityInterceptor 会抛出 2 种异常:

  1. 在用户 “该登录而未登录” 时,抛出 AuthenticationException 异常;

    默认情况下,抛出 AuthenticationException 异常时,Spring Security 返回 401 错误:未授权(Unauthorized)。

  2. 在用户 “权限不够” 时,抛出 AccessDeniedException 异常。

    默认情况下,抛出 AccessDeniedException 异常时,Spring Security 返回 403 错误:被拒绝(Forbidden)访问

在 Spring Security 配置中可以通过 http.exceptionHandling() 配置方法用来自定义鉴权环节的异常处理。配置风格如下:

http.exceptionHandling()
    .authenticationEntryPoint(...)
    .accessDeniedHandler(...);

其中:

  • AuthenticationEntryPoint 该类用来统一处理 AuthenticationException 异常;

  • AccessDeniedHandler 该类用来统一处理 AccessDeniedException 异常。

Spring Security 整合 JWT