原因: AuthenticatingFilter最终继承的是 servlet 的 Filter 类, Filter 处理是在控制器之前的, 所以由 @ControllerAdvice注解的全局异常处理器无法捕获这里的异常(@ControllerAdvice是由spring 提供的增强控制器) 。 问题复现: 直接断点进入onLoginFailure方法 放行 解决方法 直接在onLoginFailure内设置响应状态值和结果就可以啦!