问题描述
在 Security配置类中 正确配置了 AccessDeniedHandler,但是发现实际运行时 AccessDeniedHandler 没有被触发!
问题原因
出现这种问题的原因一般都是因为项目中还配置了 GlobalExceptionHandler 。
由于GlobalExceptionHandler 全局异常处理器会比 AccessDeniedHandler 先捕获 AccessDeniedException 异常,因此当配置了 GlobalExceptionHandler 后,会发现 AccessDeniedHandler 失效了。
解决方案
原有的 GlobalExceptionHandler 不用修改,只需要增加一个 自定义的 AccessDeniedExceptionHandler 即可。
AccessDeniedExceptionHandler 如下
import org.springframework.security.access.AccessDeniedException;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
/**
* Created by 大雪冬至 on 2021/7/6.
* 解决 GlobalExceptionHandler 会消费掉 AccessDeniedException ,导致 AccessDeniedHandler 不会被触发的问题.
*/
@ControllerAdvice
public class AccessDeniedExceptionHandler {
@ExceptionHandler(AccessDeniedException.class)
public void accessDeniedException(AccessDeniedException e) throws AccessDeniedException {
throw e;
}
}
此时异常就可以被你自定义的 AccessDeniedHandler 处理了
更多参考
https://github.com/spring-projects/spring-security/issues/6908
https://stackoverflow.com/questions/31074040/custom-accessdeniedhandler-not-called