版本:
spring security 2.1.0.RELEASE
出现情况的配置:
在接口中增加了注解:
@PreAuthorize("hasRole('ROLE_AAA')")
@RequestMapping("/hello0")
public String hello(){
return "HELLO";
}
在WebSecurityConfigurerAdapter配置了代码:
http.exceptionHandling()
.authenticationEntryPoint(this.securityAuthenticateFailureHandler)
.accessDeniedHandler(this.securityAccessDeniedHandler);
http.cors().and()
// 访问所有的URL都需要登录
.anyRequest().authenticated();
访问接口:/hello0, 报无法访问错误,没有执行设置的accessDeniedHandler
原因:@PreAuthorize 注解的异常,抛出AccessDeniedException异常,不会被accessDeniedHandler捕获,而是会被全局异常捕获。
示例代码:
@RestControllerAdvice
public class GlobalExceptionHandler {
// 会执行该方法
@ExceptionHandler(AccessDeniedException.class)
public BaseResponse handleAccessDeniedException(AccessDeniedException e){
return BaseResponse.failure(403, "无权限访问该接口");
}
}
如果想要被accessDeniedHandler捕获处理,则需要代码这么写:
http.cors().and()
.authorizeRequests()
//.antMatchers("/hello0").permitAll()
// 注意hasRole ,如果出现异常,会调用设置的accessDeniedHandler方法,
.antMatchers("/hello0").hasRole("AAA")
.anyRequest().authenticated();