Spring Security-34-自定义403返回

发表于 | 分类于

之后的文章会记录一些在日常使用过程中遇到的一些问题

假设有如下一段配置:

1
.antMatchers("/test/*").hasRole("USER")

表示 /test/* 这种请求只有在是USER角色的情况下才能访问,这时候如果使用了一个没有USER角色的用户去访问这个接口,系统会认为没有权限,会默认跳转到登录页, 在一般情况下这种没有权限的处理应该是返回一个403的页面,或者是一个json格式的提示信息,并不会直接跳转登录页,下面来看一下如何去实现自定义的403返回

自定义403返回数据

首先需要有一个类去实现 AccessDeniedHandler 接口, 代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
@Component("myAccessDeniedHandler")
public class MyAccessDeniedHandler implements AccessDeniedHandler {

    @Override
     public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException)throws IOException {
        // 返回json形式的错误信息
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        response.setStatus(HttpStatus.FORBIDDEN.value());

        Map<String, String> result = new HashMap<>(1);
        result.put("message", "没有操作权限");
        response.getWriter().println(new ObjectMapper().writeValueAsString(result));
        response.getWriter().flush();

    }

}

这里我就很简单的返回了一个json提示信息,当然也可以去返回一个页面,或者再做一些日志记录等额外的操作,都是可以的

完成之后,还需要做一个配置才可以正常使用,就是在资源服务器的配置中,设置一下这个处理器,这里以app项目为例, MyResourcesServerConfig 中,需要配置的代码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
@Configuration
@EnableResourceServer
public class MyResourcesServerConfig extends ResourceServerConfigurerAdapter {

    // 省略部分代码....

    @Autowired
    private AccessDeniedHandler myAccessDeniedHandler;


    @Override
    public void configure(HttpSecurity http) throws Exception {
        // 省略部分代码....

        http
                // 省略部分代码....
                .and()
                .exceptionHandling()
                .accessDeniedHandler(myAccessDeniedHandler)
                // 省略部分代码....
        ;

        // 省略部分代码....
    }

}

好了,到这里配置完成之后,就可以正常使用了