未登录用户访问受Spring Security保护的Web页面/API时发生了什么 ?

在应用Spring Security的Web应用中，假定全部采用缺省配置，如果用户在未登录状态试图访问一个受保护的HTTP资源，可能是我们的一个页面，也可能是一个Restful API，此时：

• Spring Security会抛出某个异常AuthenticationException;
  
  • 比如登录时用户名找不到，会导致抛出异常UsernameNotFoundException；
  • 比如登录时密码不匹配，会导致抛出异常BadCredentialsException；
• ExceptionTranslationFilter过滤器捕获到该异常，调用其属性authenticationEntryPoint对象(类型为AuthenticationEntryPoint)的方法commence;
  
  • 缺省情况下，这里的AuthenticationEntryPoint实现类为LoginUrlAuthenticationEntryPoint
• LoginUrlAuthenticationEntryPoint会将用户浏览器重定向到登录页面
  
  • 具体来讲，是返回一个HTTP 302, 重定向地址是登录页面的地址/login

从上面过程可以看出，无论被请求的是页面，还是Restful API,这种情况下，用户浏览器看到的结果都是页面即将跳转到登录页面。而现实中，通常如果请求的是页面，这种重定向到登录页面的行为是我们想要的，但是如果请求的是Restful API，我们通常希望返回的是一个JSON/XML结果给用户浏览器供浏览器端代码处理而不想要一个简单的跳转动作，那么这个效果怎样达到呢 ？方案如下 :

• 自定义一个LoginUrlAuthenticationEntryPoint,如果检测到是Restful API访问，直接向响应中写入JSON/XML结果,其他情况下采用缺省行为;
• 定义上面自定义LoginUrlAuthenticationEntryPoint的bean,并将其设置为ExceptionTranslationFilter的属性authenticationEntryPoint;