# Spring Security 中自定义异常处理
我们最常见的 UsernamePasswordAuthenticationFilter 和 FilterSecurityInterceptor 这 2 个 Filter 在抛异常(和处理)的逻辑是不一样的:
UsernamePasswordAuthenticationFilter 在做认证时,如果抛出了异常(例如认证不通过时),是它自己
try ... catch ...处理掉了。FilterSecurityInterceptor 在做鉴权时,如果抛出了异常(例如用户未登录或用户权限不够),它是将异常抛给了它前面的 ExceptionTranslationFilter ,由 ExceptionTranslationFilter 来
try ... catch ...处理。
# 1. 认证环节的异常处理
Spring Security 的认证工作是由 UsernamePasswordAuthenticationFilter 处理的。查看它( 和它的父类 AbstractAuthenticationProcessingFilter )的源码,我们可以看到:
当认证通过时,会执行它( 继承自父类 )的 successfulAuthentication 方法。successfulAuthentication 的默认行为(之前讲过):继续用户原本像访问的 URI 。
另外,你可以通过
http.successHandler(...)来 “覆盖” 默认的成功行为。当认证不通过时,会执行它( 继承自父类 )的 unsuccessfulAuthentication 方法。unsuccessfulAuthentication 的默认行为是再次显示登陆页面,并在页面上提示用户名密码错误。
另外,你可以通过
http.failureHandler(...)来 “覆盖” 默认的失败行为。
前面章节有讲过,这里不再赘述了。
# 2. 鉴权环节的异常处理
Spring Security 的认证工作是由 FilterSecurityInterceptor 处理的。FilterSecurityInterceptor 会抛出 2 种异常:
在用户 “该登录而未登录” 时,抛出 AuthenticationException 异常;
默认情况下,抛出 AuthenticationException 异常时,Spring Security 返回 401 错误:未授权(Unauthorized)。
在用户 “权限不够” 时,抛出 AccessDeniedException 异常。
默认情况下,抛出 AccessDeniedException 异常时,Spring Security 返回 403 错误:被拒绝(Forbidden)访问
在 Spring Security 配置中可以通过 http.exceptionHandling() 配置方法用来自定义鉴权环节的异常处理。配置风格如下:
http.exceptionHandling()
.authenticationEntryPoint(...)
.accessDeniedHandler(...);
其中:
AuthenticationEntryPoint 该类用来统一处理 AuthenticationException 异常;
AccessDeniedHandler 该类用来统一处理 AccessDeniedException 异常。