前言
昨天配置完了过滤器,权限检验,基本的SpringSecurity功能已经配置的差不多了,今天继续开发,明天可能会暂停一天整理一下需求,然后就进行CRUD了。
今日进度
补充SpringSecurity异常处理和全局异常处理器
详细操作
一、补充SpringSecurity异常处理器
当我们没有进行异常处理,项目如果出现了问题,我们很难排查,同时进行异常处理后,返回的数据就比较有规范,可以让前端的开发看懂。
比如我们现在使用一个错误的密码进行登录,Apifox显示403,这对吗?不太对,因为403是用户未授权,而我们这里是认证的问题,应该返回401才正确。这就导致今天检查的时候找了好久,最后才发现是密码写错了,如果返回信息是401,那不是就很快就发现问题了。因此,异常处理还是很重要的。
在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。
如果是认证过程中出现的异常会被封装成AuthenticationException然后调用AuthenticationEntryPoint 对象的方法去进行异常处理,返回401。
如果是授权过程中出现的异常会被封装成AccessDeniedException然后调用AccessDeniedHandler对象的方法去进行异常处理,返回403。
所以如果我们需要自定义异常处理,我们只需要自定义AuthenticationEntryPoint和AccessDeniedHandler然后配置给SpringSecurity即可。
听上去听复杂的?但是实现并不复杂
只要重写AuthenticationException和AccessDeniedHandler方法并添加到配置中即可。
@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {@Overridepublic void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {ResponseResult result = new ResponseResult(HttpStatus.UNAUTHORIZED.value(), "用户认证失败,请重新登录");String json = JSON.toJSONString(result);WebUtils.renderString(response,json);}
}@Component
public class AccessDeniedHandlerImpl implements AccessDeniedHandler {@Overridepublic void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {ResponseResult result = new ResponseResult(HttpStatus.FORBIDDEN.value(), "权限不足");String json = JSON.toJSONString(result);WebUtils.renderString(response,json);}
}@Overrideprotected void configure(HttpSecurity http) throws Exception {http//关闭csrf.csrf().disable()//不通过Session获取SecurityContext.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS).and().authorizeRequests()// 对于登录接口 允许匿名访问.antMatchers("/user/login").anonymous().antMatchers("/hello/**").hasRole("ADMIN")//对于/hello的路径,只有ADMIN权限的用户才能访问.antMatchers("/ok/**").hasAnyRole("ADMIN","TEACHER")//对于/ok的路径,ADMIN和USER权限的用户都可以访问// 除上面外的所有请求全部需要鉴权认证.anyRequest().authenticated();//添加自定义过滤器http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);//添加自定义异常处理http.exceptionHandling().authenticationEntryPoint(authenticationEntryPoint).accessDeniedHandler(accessDeniedHandler);}这样,我们进行测试就能很快的发现问题了,如下图:
二、全局异常处理
上面我们只进行了有关SpringSecurity的异常处理,那要是其他地方出现异常怎么办?所以我们要进行全局的异常处理。因为项目不太大,所以这里使用了一个简单的全局异常处理,要是后面项目实现功能很多的话,可以考虑使用复杂完整的全局异常处理。
首先,为了进行测试,我们先编写两个异常方法,一个是数组越界,一个是除0
@RequestMapping("/ok/t1")public int test1(){List<Integer> integers = new ArrayList<>();for (int i = 0; i < 10; i++){integers.add(i);}//故意数组过界进行异常测试for (int i = 0; i < 20; i++){System.out.println(integers.get(i));}return 1;}@RequestMapping("/ok/t2")public int test2(){int t = 10/0;System.out.println(t);return 1;}接着编写一下全局异常类
@RestControllerAdvice
public class GlobalExceptionHandler {// 捕获所有的 RuntimeException 异常@ExceptionHandler(value = {RuntimeException.class})public ResponseResult<String> handleRuntimeException(RuntimeException e) {// 这里会捕获到一些业务异常,或者其他运行时异常return new ResponseResult<>(HttpStatus.INTERNAL_SERVER_ERROR.value(), "运行时异常: " + e.getMessage());}// 捕获所有其他的 Exception 异常@ExceptionHandler(value = {Exception.class})public ResponseResult<String> handleException(Exception e) {// 处理一些无法捕获的异常return new ResponseResult<>(HttpStatus.INTERNAL_SERVER_ERROR.value(), "系统异常: " + e.getMessage());}
}并在统一返回信息中添加一个方法
public static ResponseResult<String> error(String message){return new ResponseResult<>(500,message,null);}这样就行了,是不是很简单。接下来进行测试。
密码错误:
权限异常:
数组越界:
除零:
这样项目中的异常就可以成功处理了,但是有没有发现一个小问题:
我们原先配置的SpringSecurity中的认证异常被全局异常覆盖了,但是权限异常还是SpringSecurity中我们配置的异常。
这里暂时不会出问题,就是返回的信息看上去与全局异常无关联,不整齐,我们修改一下权限异常处理即可。但是我认为这里应该有更好的处理方法,也可能是我的全局异常处理过于简单导致的,如果有大佬看到这里还请指点一下~
总结
今天首先通过自定义AuthenticationEntryPoint和AccessDeniedHandler实现了认证与授权失败的异常捕获,返回适当的状态码。随后,介在项目中实现全局异常处理,捕获运行时异常和系统异常,并统一处理返回。这样,不仅提高了系统的可维护性,还能帮助开发人员快速定位问题并保证前后端的异常响应一致性。
那今天就这样,明天可能暂停一天,整理一下url路径、返回数据等一些与业务相关的内容。如果这篇文章有帮到你的话,还希望多多支持,你的支持就是我的最大动力!
