如何处理Filter中的异常

已于 2023-10-07 20:25:49 修改
阅读量2.2k 收藏 3
点赞数 1
文章标签: java
于 2022-11-10 13:24:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49648855/article/details/127786980
版权

一、问题场景

  • 在SpringBoot程序中,使用Shiro框架进行权限校验,使用Filter进行判断,当不符合条件时进行抛出异常,拦截用户的请求
  • Filter中的抛出的Shiro异常无法被异常拦截器所拦截

二、Shiro中会出现的异常

(一)AuthencationException

AuthenticationException 异常是Shiro在登录认证过程中,认证失败需要抛出的异常。

AuthenticationException包含以下子类:

  • CredentitalsException 凭证异常
    IncorrectCredentialsException 不正确的凭证
    ExpiredCredentialsException 凭证过期
  • AccountException 账号异常
    ConcurrentAccessException 并发访问异常(多个用户同时登录时抛出)
    UnknownAccountException 未知的账号
    ExcessiveAttemptsException 认证次数超过限制
    DisabledAccountException 禁用的账号
    LockedAccountException 账号被锁定
  • UnsupportedTokenException 使用了不支持的Token

(二)AuthorizationException

AuthorizationException异常是Shiro在登录授权过程中或授权后可能出现的异常。

AuthorizationException包含以下子类

  • UnauthorizedException 请求的操作或对请求的资源的访问是不允许的。
  • UnanthenticatedException 当尚未完成成功认证时,尝试执行授权操作时引发异常。

二、为什么无法被全局异常处理器处理

在这里插入图片描述
以上是我们捕获异常的地方,是shiro整合jwt后的过滤器,继承了BasicHttpAuthenticationFilter

下面是它完成的继承链路

在这里插入图片描述
最终继承到了 servlet 的 Filter 类, Filter 处理是在控制器之前的, 所以由 @ControllerAdvice注解的全局异常处理器无法处理这里的异常(@ControllerAdvice是由spring 提供的增强控制器) 。

三、解决方案

1、把统一返回的信息写入response中

@Log4j2
public class JWTFilter extends BasicHttpAuthenticationFilter {
    // 登录标识
    private static String LOGIN_SIGN = "Authorization";
    /**
     * 执行登录认证
     *
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if (isLoginAttempt(request, response)) {
            //进行Shiro的登录UserRealm
            try {
                return executeLogin(request, response);
            } catch (IOException e) {
                log.error("执行response.getWriter()方法异常");
            }
        }
        this.sendChallenge(request, response);
        return false;
    }
    /**
     * 检测用户是否登录
     * 检测header里面是否包含Authorization字段即可
     *
     * @param request
     * @param response
     * @return
     */
    @Override
    protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
        HttpServletRequest req = (HttpServletRequest) request;
        String authorization = req.getHeader(LOGIN_SIGN);
        return authorization != null;
    }
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws IOException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String token = httpServletRequest.getHeader("Authorization");
        JwtToken jwtToken = new JwtToken(token);
        // 提交给realm进行登入,如果错误他会抛出异常并被捕获
        try {
            getSubject(request, response).login(jwtToken);
        } catch (AuthenticationException e) {
            response.setContentType("application/json;charset=utf-8");
            response.getWriter().write(JSON.toJSONString(BaseResponseUtil.error(CodeEnum.NOT_SUPPORT,e.getMessage())));
            return false;
        }
        // 如果没有抛出异常则代表登入成功,返回true
        return true;
    }
    /**
     *  isAccessAllowed()返回false便会执行这个方法,
     * @param request
     * @param response
     * @return 返回false,则过滤器的流程结束且不会执行访问controller的方法
     * @throws Exception
     */
    @Override
    public boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        return false;
    }
}

此处需要注意的是过滤器中方法执行的流程:isAccessAllowed -> isLoginAttempt -> executeLogin
如果isAccessAllowed 的返回值是false的话便会执行onAccessDenied方法,这里如果不重写的话就会执行父类的方法

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        boolean loggedIn = false;
        if (this.isLoginAttempt(request, response)) {
            loggedIn = this.executeLogin(request, response);
        }
        if (!loggedIn) {
            this.sendChallenge(request, response);
        }
        return loggedIn;
    }

父类的方法会重新执行executeLogin方法,然后导致再次抛出异常被捕获到,返回头里面的信息就会重复,且返回的状态码为401,不会是200,这是因为如果不是登录方法的话会执行this.sendChallenge(request, response);返回状态码为401。
onAccessDenied方法返回值为false表示过滤器的工作结束。

2、使用重定向到处理该错误的controller中

在JWTFilter 新增responseError方法,修改executeLogin方法,在过滤器中捕获到异常时,httpServletResponse.sendRedirect 使用重定向到一个我们自定义的处理过滤器错误的一个controller中,返回自定义格式的对象到前端。

    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws IOException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String token = httpServletRequest.getHeader("Authorization");
        JwtToken jwtToken = new JwtToken(token);
        // 提交给realm进行登入,如果错误他会抛出异常并被捕获
        try {
            getSubject(request, response).login(jwtToken);
        } catch (AuthenticationException e) {
            responseError(response,401,e.getMessage())
            return false;
        }
        // 如果没有抛出异常则代表登入成功,返回true
        return true;
    }
	/**
     * 将非法请求跳转到 /filterError/**中
     */
    private void responseError(ServletResponse response, int code,String message) {
        try {
            HttpServletResponse httpServletResponse = (HttpServletResponse) response;
            //设置编码,否则中文字符在重定向时会变为空字符串
            message = URLEncoder.encode(message, "UTF-8");
            //如果有项目名称路径记得加上
            httpServletResponse.sendRedirect("/filterError/" + code + "/" + message);
        } catch (IOException e1) {
            log.error(e1.getMessage());
        }
    }
}	

@RestController
public class FilterErrorController {
    @ResponseBody
    @RequestMapping("/filterError/{code}/{message}")
    public Map<String,Object> error(@PathVariable("code")Integer code, @PathVariable("message")String message){
    	Map<String,Object> map = new HashMap<>();
        map.put("code",code);
        map.put("message",message);
        return map;
    }
}

需要注意的是,在shiro的配置类中需要配置对重定向的路径访问无需授权,否侧重定向后会重新进入JWTFilter 中继续判断,死循环。

c1z
关注
SpringBoot 实践-Filter 异常处理和 Controller 异常处理
02-15 2454
本篇主要是记录如何使用 SpringBoot 所提供的 ErrorController 这个接口能力;其内置了一个 BasicErrorController 对异常进行统一的处理,当在 Controller 发生异常的时候会自动把请求 forward 到 /error 这个请求 path 下(/error 是 SpringBoot 提供的一个默认的mapping)。BasicErrorContro...
Springboot使用@ControllerAdvice全局异常处理Filter
stareylix的博客
09-16 903
Springboot使用@ControllerAdvice全局异常处理,包括处理FIlter抛出的异常
当在filter出现系统异常时,如何定制化返回数据(比如返回给客户端json数据)
热门推荐
HelloWorld的专栏
04-27 1万+
当在filter出现系统异常时,如何定制化返回数据(比如返回给客户端json数据) 需求描述: 一般的情况下Spring的@ExceptionHandler注解用于统一处理在Controller层抛出的异常。二通常情况下在项目会使用到很多个第三方的框架,例如Spring,Struts等,有些框架需要配置其过滤器到项目,当在过滤器出现异常时,返回给调用端(可以是node,也可以是基...
处理filter里抛出的异常
最新发布
jsxztshaohaibo的博客
08-16 452
最终是会被org.apache.catalina.core.StandardWrapperValve#invoke(Request, Response) 捕获,执行[212行代码]exception(request, response, e);再继续执行的话,就会执行到 custom()方法里,进行 377行代码的 rd.forward(request.getRequest(), response.getResponse());也验证了 ,Interceptor 在 Filter 后面 调用执行的。
利用java filter 实现业务异常拦截源码
10-15
利用java filter 实现业务异常拦截 跳转到错误信息提示页面 我们在做项目肯定都会遇到自定义业务异常 ,然后将业务异常信息跳转的统一的信息提示页面的情况,比如我们在struts的时候我们会用到struts的异常处理机制,我们在业务层会跑出我们遇到业务处理异常 ,然后交由struts处理将提示信息到一个页面进行显示,来提示用户的相关操作,这里我们会根据以上情景设计一下怎么来显示该功能
Spring Boot 处理过滤器(filter )抛出的异常
weixin_42118323的博客
04-16 2416
看起来代码显示的抛出了异常,也设置了全局异常处理器,但是并没有返回想要的异常状态码,至此感觉走到了死胡同,此时想到了老办法,debug 调试,经过多次 debug 调试,发现全局异常处理器没有拦截到任何异常,这就很能说明问题了,也就是全局异常处理器,根本捕获不到过滤器 filter 抛出的异常,那怎么办呢?技术方案拟定后,就着手开始改造,一切都很顺畅,可是在异常场景模拟的时候,怎么也得不到想要的异常 code,我在过滤器的校验明明是抛出了异常,为什么没有得到想要的结果呢?如有错误的地方欢迎指出纠正。
【Spring MVC】Filter 过滤器异常处理 HandlerExceptionResolver 分析
MichelleChung的星球
11-26 1870
基于 Demo 的 Filter 过滤器异常处理 HandlerExceptionResolver 源码分析
使用Filter处理异常
llhhh的博客
10-25 724
@Override public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException {     Filter为什么只抛出IOException、ServletExcepti...
SpringBoot对Filter过滤器异常进行全局处理
lans_g的博客
09-19 2463
SpringBoot对过滤器的异常进行全局处理
Spring Cloud zuul自定义统一异常处理实现方法
08-28
在Spring Cloud zuul,使用自定义的ErrorFilter可以提供更好的异常处理机制,提高系统的可靠性和可维护性。同时,也可以根据需要,扩展和修改自定义的ErrorFilter,以满足特殊的业务需求。 知识点: 1、zuul在...
Spring Cloud Gateway全局异常处理的方法详解
08-26
然而,在实际应用,Spring Cloud Gateway的全局异常处理不能直接用@ControllerAdvice来处理。因此,本文将详细介绍Spring Cloud Gateway全局异常处理的方法。 一、Spring Cloud Gateway简介 Spring Cloud ...
优雅地在Java 8处理异常的方法详解
08-26
Java 8异常处理有了新的方式,特别是在使用流(Stream) API和lambda表达式时。传统的try-catch块在lambda表达式显得不够优雅,因为它们会破坏代码的简洁性。本文将介绍如何在Java 8更优雅地处理异常。 ...
Filter抛出异常处理
追逐消失的记忆
07-16 3543
Feile import java.io.IOException; import java.util.ArrayList; import java.util.Collection; import java.util.LinkedList; import java.util.List; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax
关于SpringBoot,我有话要讲(Filter和Controller异常处理
m0_64363449的博客
08-19 555
这里定义一个 TokenErrorController ,继承自 SpringBoot 提供的 BasicErrorController 这个类,然后重写 error 这个方法(如果是页面的话,重写 errorHtml 这个方法),用于返回自定义的 Response 数据。
Filter,线程事务异常处理
qq_33755492的博客
07-16 161
当线程出现异常,过滤器会自动拦截 ,并抛出异常且进行事务回滚,当程序检查到异常被抛出,则自动跳转到提示页面 Servlet类: package servlet; import service.test_jdbcutils; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.
java 异常 过滤器_springboot如何处理过滤器filter抛出的异常
weixin_35934226的博客
02-24 519
importcom.yzf.enterprise.market.common.constant.HttpStatus;importcom.yzf.enterprise.market.common.exception.BaseException;importcom.yzf.enterprise.market.common.exception.CustomException;importcom.yzf...
java 过滤器异常处理_Spring下Filter过滤器配置全局异常处理的详细步骤
weixin_39963287的博客
02-16 1582
Spring下Filter过滤器配置全局异常处理Filter出现的异常,spring的全局异常处理器是无法捕获的,所以filter拦截器出现的异常会直接的抛向浏览器,在浏览器显示500错误。而我当前的项目,是在Filter判断用户是否有携带Token访问,如果没有,则抛出异常,让其做登录操作。而且异常信息要处理成json格式返回给前端。这就很尴尬了。好了废话说多了,上解决方案:结局方案:...
Spring boot 统一处理Filter异常
当个码农写bug
03-18 8830
由于Filter异常Spring MVC无法进行统一处理,所以需要手动处理一下异常 定义一个Filter,这个Filter位于所有Filter的最前面,当其他Filter发生异常,捕获异常栈,然后转发到ErrorController @Slf4j public class ExceptionFilter implements Filter { @Override public vo...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值