如何处理Filter中的异常

已于 2023-10-07 20:25:49 修改
阅读量1.8k 收藏 3
点赞数 1
文章标签: java
于 2022-11-10 13:24:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49648855/article/details/127786980
版权

一、问题场景

  • 在SpringBoot程序中,使用Shiro框架进行权限校验,使用Filter进行判断,当不符合条件时进行抛出异常,拦截用户的请求
  • Filter中的抛出的Shiro异常无法被异常拦截器所拦截

二、Shiro中会出现的异常

(一)AuthencationException

AuthenticationException 异常是Shiro在登录认证过程中,认证失败需要抛出的异常。

AuthenticationException包含以下子类:

  • CredentitalsException 凭证异常
    IncorrectCredentialsException 不正确的凭证
    ExpiredCredentialsException 凭证过期
  • AccountException 账号异常
    ConcurrentAccessException 并发访问异常(多个用户同时登录时抛出)
    UnknownAccountException 未知的账号
    ExcessiveAttemptsException 认证次数超过限制
    DisabledAccountException 禁用的账号
    LockedAccountException 账号被锁定
  • UnsupportedTokenException 使用了不支持的Token

(二)AuthorizationException

AuthorizationException异常是Shiro在登录授权过程中或授权后可能出现的异常。

AuthorizationException包含以下子类

  • UnauthorizedException 请求的操作或对请求的资源的访问是不允许的。
  • UnanthenticatedException 当尚未完成成功认证时,尝试执行授权操作时引发异常。

二、为什么无法被全局异常处理器处理

在这里插入图片描述
以上是我们捕获异常的地方,是shiro整合jwt后的过滤器,继承了BasicHttpAuthenticationFilter

下面是它完成的继承链路

在这里插入图片描述
最终继承到了 servlet 的 Filter 类, Filter 处理是在控制器之前的, 所以由 @ControllerAdvice注解的全局异常处理器无法处理这里的异常(@ControllerAdvice是由spring 提供的增强控制器) 。

三、解决方案

1、把统一返回的信息写入response中

@Log4j2
public class JWTFilter extends BasicHttpAuthenticationFilter {
    // 登录标识
    private static String LOGIN_SIGN = "Authorization";
    /**
     * 执行登录认证
     *
     * @param request
     * @param response
     * @param mappedValue
     * @return
     */
    @Override
    protected boolean isAccessAllowed(ServletRequest request, ServletResponse response, Object mappedValue) {
        if (isLoginAttempt(request, response)) {
            //进行Shiro的登录UserRealm
            try {
                return executeLogin(request, response);
            } catch (IOException e) {
                log.error("执行response.getWriter()方法异常");
            }
        }
        this.sendChallenge(request, response);
        return false;
    }
    /**
     * 检测用户是否登录
     * 检测header里面是否包含Authorization字段即可
     *
     * @param request
     * @param response
     * @return
     */
    @Override
    protected boolean isLoginAttempt(ServletRequest request, ServletResponse response) {
        HttpServletRequest req = (HttpServletRequest) request;
        String authorization = req.getHeader(LOGIN_SIGN);
        return authorization != null;
    }
    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws IOException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String token = httpServletRequest.getHeader("Authorization");
        JwtToken jwtToken = new JwtToken(token);
        // 提交给realm进行登入,如果错误他会抛出异常并被捕获
        try {
            getSubject(request, response).login(jwtToken);
        } catch (AuthenticationException e) {
            response.setContentType("application/json;charset=utf-8");
            response.getWriter().write(JSON.toJSONString(BaseResponseUtil.error(CodeEnum.NOT_SUPPORT,e.getMessage())));
            return false;
        }
        // 如果没有抛出异常则代表登入成功,返回true
        return true;
    }
    /**
     *  isAccessAllowed()返回false便会执行这个方法,
     * @param request
     * @param response
     * @return 返回false,则过滤器的流程结束且不会执行访问controller的方法
     * @throws Exception
     */
    @Override
    public boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        return false;
    }
}

此处需要注意的是过滤器中方法执行的流程:isAccessAllowed -> isLoginAttempt -> executeLogin
如果isAccessAllowed 的返回值是false的话便会执行onAccessDenied方法,这里如果不重写的话就会执行父类的方法

protected boolean onAccessDenied(ServletRequest request, ServletResponse response) throws Exception {
        boolean loggedIn = false;
        if (this.isLoginAttempt(request, response)) {
            loggedIn = this.executeLogin(request, response);
        }
        if (!loggedIn) {
            this.sendChallenge(request, response);
        }
        return loggedIn;
    }

父类的方法会重新执行executeLogin方法,然后导致再次抛出异常被捕获到,返回头里面的信息就会重复,且返回的状态码为401,不会是200,这是因为如果不是登录方法的话会执行this.sendChallenge(request, response);返回状态码为401。
onAccessDenied方法返回值为false表示过滤器的工作结束。

2、使用重定向到处理该错误的controller中

在JWTFilter 新增responseError方法,修改executeLogin方法,在过滤器中捕获到异常时,httpServletResponse.sendRedirect 使用重定向到一个我们自定义的处理过滤器错误的一个controller中,返回自定义格式的对象到前端。

    @Override
    protected boolean executeLogin(ServletRequest request, ServletResponse response) throws IOException {
        HttpServletRequest httpServletRequest = (HttpServletRequest) request;
        String token = httpServletRequest.getHeader("Authorization");
        JwtToken jwtToken = new JwtToken(token);
        // 提交给realm进行登入,如果错误他会抛出异常并被捕获
        try {
            getSubject(request, response).login(jwtToken);
        } catch (AuthenticationException e) {
            responseError(response,401,e.getMessage())
            return false;
        }
        // 如果没有抛出异常则代表登入成功,返回true
        return true;
    }
	/**
     * 将非法请求跳转到 /filterError/**中
     */
    private void responseError(ServletResponse response, int code,String message) {
        try {
            HttpServletResponse httpServletResponse = (HttpServletResponse) response;
            //设置编码,否则中文字符在重定向时会变为空字符串
            message = URLEncoder.encode(message, "UTF-8");
            //如果有项目名称路径记得加上
            httpServletResponse.sendRedirect("/filterError/" + code + "/" + message);
        } catch (IOException e1) {
            log.error(e1.getMessage());
        }
    }
}	

@RestController
public class FilterErrorController {
    @ResponseBody
    @RequestMapping("/filterError/{code}/{message}")
    public Map<String,Object> error(@PathVariable("code")Integer code, @PathVariable("message")String message){
    	Map<String,Object> map = new HashMap<>();
        map.put("code",code);
        map.put("message",message);
        return map;
    }
}

需要注意的是,在shiro的配置类中需要配置对重定向的路径访问无需授权,否侧重定向后会重新进入JWTFilter 中继续判断,死循环。

c1z
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
MVC异常处理详解
10-19
在MVC(Model-View-Controller)架构异常处理是一项关键任务,它确保应用程序在遇到错误时能够优雅地响应,而不是突然崩溃。全局异常处理则允许开发者集管理错误处理,避免在每个可能出现异常的代码段都添加...
关于SpringBoot,我有话要讲(Filter和Controller异常处理
m0_64363449的博客
08-19 457
这里定义一个 TokenErrorController ,继承自 SpringBoot 提供的 BasicErrorController 这个类,然后重写 error 这个方法(如果是页面的话,重写 errorHtml 这个方法),用于返回自定义的 Response 数据。
springboot 处理 filter 抛出的异常
hxj413977035的博客
07-06 6583
springboot web项目开发,全局异常处理是一个必不可少的组件,而且springboot 本身已经对此提供了很好的支持,我们只需要一个 配合 一个 就可以很好的实现全局异常的拦截处理了。今天接到一个需求,需要对用户进行过滤,满足要求的才放行。听到这个需求,第一反应是这不是一个过滤器就搞定的事嘛,so easy! 十分钟不到,代码就出来了。然而现实狠狠滴给了我一巴掌。......
springBoot 过滤器Filter自定义异常全局捕获问题
最新发布
tian_xiao_tiger的博客
05-17 212
在自定义Filter注入HandlerExceptionResolver类,通过该类的resolveException方法抛出自定义异常,如下:
Filter抛出异常处理
追逐消失的记忆
07-16 3399
Feile import java.io.IOException; import java.util.ArrayList; import java.util.Collection; import java.util.LinkedList; import java.util.List; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax
SpringBoot对Filter过滤器异常进行全局处理
lans_g的博客
09-19 1707
SpringBoot对过滤器的异常进行全局处理
SpringBoot项目处理filter抛出的异常
慕容雪_的博客
05-25 4743
SpringBoot项目处理filter抛出的异常 0、备忘记录 1、在filter抛出异常,会发现在统一异常处理里面接收不到filter抛出的这个异常信息 2、filter异常走的是BasicErrorController,通过继承这个类可以定制化返回信息 3、代码如下 import org.springframework.boot.autoconfigure.web.ErrorProperties; import org.springframework.boot.autocon
Spring boot 统一处理Filter异常
当个码农写bug
03-18 8778
由于Filter异常Spring MVC无法进行统一处理,所以需要手动处理一下异常 定义一个Filter,这个Filter位于所有Filter的最前面,当其他Filter发生异常,捕获异常栈,然后转发到ErrorController @Slf4j public class ExceptionFilter implements Filter { @Override public vo...
Spring boot集异常处理方法实例
08-19
在实际开发异常处理是一个非常重要的环节。异常处理可以帮助开发者捕获和处理异常,避免系统崩溃和数据丢失。集异常处理方法实例可以帮助开发者更好地处理异常,使系统更加可靠和稳定。 集异常处理方法实例...
Spring Cloud zuul自定义统一异常处理实现方法
08-28
在Spring Cloud zuul,使用自定义的ErrorFilter可以提供更好的异常处理机制,提高系统的可靠性和可维护性。同时,也可以根据需要,扩展和修改自定义的ErrorFilter,以满足特殊的业务需求。 知识点: 1、zuul在...
Spring Cloud Gateway全局异常处理的方法详解
08-26
然而,在实际应用,Spring Cloud Gateway的全局异常处理不能直接用@ControllerAdvice来处理。因此,本文将详细介绍Spring Cloud Gateway全局异常处理的方法。 一、Spring Cloud Gateway简介 Spring Cloud ...
基于ControllerAdvice+ErrorController+Filter,Springboot全局化处理异常信息(自定义error页面或json返回)
12-22
根据不同的异常返回不同的信息  3. 能根据请求地址(或其他信息)决策返回页面还是json  解决思路:  1. 自定义error页面 这个比较简单,继承ErrorController接口实现自己的Controller即可。 可参见:org.spring...
SpringBoot全局异常处理(Controller、interceptor、filter
FLGB
02-22 3098
1、Controller层的全局异常处理 通过对Controller添加注释@ControllerAdvice可以实现Controller层的全局异常处理 统一的拦截异常处理类AppExceptionHandler @Slf4j @RestControllerAdvice public class AppExceptionHandler { @Autowired protected MessageSource messageSource; @ExceptionHandler({Us
Spring Filter+Advice实现统一响应以及全局异常处理
热门推荐
何忆清风
01-10 5万+
springmvc + filter + Advice实现统一结果、统一异常处理
Springboot项目捕获不到Filter异常解决方案
qq_60361946的博客
12-22 2532
在使用Spring Security时用过滤器进行jwt校验时,全局的异常返回没有捕获到Filter异常。层抛出的异常,所以在filter抛出的异常异常类是没有感知的。:在过滤器异常转移到Controller
【Spring MVC】Filter 过滤器异常处理 HandlerExceptionResolver 分析
MichelleChung的星球
11-26 1352
基于 Demo 的 Filter 过滤器异常处理 HandlerExceptionResolver 源码分析
java 过滤器异常处理_Spring下Filter过滤器配置全局异常处理的详细步骤
weixin_39963287的博客
02-16 1498
Spring下Filter过滤器配置全局异常处理Filter出现的异常,spring的全局异常处理器是无法捕获的,所以filter拦截器出现的异常会直接的抛向浏览器,在浏览器显示500错误。而我当前的项目,是在Filter判断用户是否有携带Token访问,如果没有,则抛出异常,让其做登录操作。而且异常信息要处理成json格式返回给前端。这就很尴尬了。好了废话说多了,上解决方案:结局方案:...
springboot 处理filter 的运行时异常
09-24
在Spring Boot,可以使用@ControllerAdvice注解和@ExceptionHandler注解来处理Filter的运行时异常。首先,我们需要创建一个全局异常处理类,使用@ControllerAdvice注解标记该类,并在该类使用@ExceptionHandler注解来处理运行时异常。在@ExceptionHandler注解,我们可以指定要处理异常类型,以及处理异常的方法。在这个方法,我们可以定义我们希望返回给客户端的友好提示信息或错误页面。这样,当Filter发生运行时异常时,就会被全局异常处理类捕获并处理

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值