Spring @ExceptionHandler没有捕获AccessDeniedException

Question

我有一个使用以下代码设置的异常处理程序

@ExceptionHandler(Throwable.class)
public @ResponseBody CustomResponse handleException(Throwable throwable){
    // handles exception, returns a JSON
}

我正在使用Spring Security 3.1。 当我尝试在没有身份验证的情况下执行操作时，应用程序会抛出AccessDeniedException。 它永远不会出现这种方法。 但其他例外可以正常工作。 这是应该工作的方式吗？ 或者我的代码有问题吗？

这看起来像一个解决方案。 但如果我能在一个点处理异常会更好。

这是我的配置文件

<global-method-security secured-annotations="enabled" pre-post-annotations="enabled" />
<http auto-config="true" use-expressions="true">
    //intercept urls
    <form-login login-page="/signin" default-target-url="/" always-use-default-target="true"/>
</http>

<authentication-manager>
    <authentication-provider user-service-ref="userDetailsService">
        <password-encoder ref="encoder" />
    </authentication-provider>
</authentication-manager>

<!-- This encoder doesn't require a salt -->
<beans:bean id="encoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

UPDATE

这里用户未经过身份验证（ROLE_ANONYMOUS）。 当我尝试访问受保护的页面时，它会将我重定向到登录URL。 我的问题在于，我进行了一次AJAX调用。 因此，重定向到返回ModelAndView的方法不起作用。 这附近有工作吗？

Answer 1

在调度调度程序servlet之前，Spring Security的请求处理全部发生在过滤器链中，因此它对Spring MVC异常处理程序一无所知，实际上可以在没有Spring MVC的情况下使用它。

您所看到的是未经身份验证的用户的预期行为 ，但您不希望将Ajax调用重定向到UI代码。 很难确切地说出最佳解决方案是什么，因为对于未经身份验证的ajax调用，您想要的行为并不明显。 例如，如果您希望它们仅使用403失败，那么您可以将ajax api分离为单独的过滤器链。 例如，如果你的ajax调用是/ajaxapi可以在现有的之前添加以下链定义：

<http pattern="/ajaxapi/**" create-session="never" use-expressions="true" entry-point-ref="entryPoint">
    <intercept-url pattern="/**" access="isAuthenticated()" />
</http>

<bean entryPoint="org.springframework.security.web.authentication.Http403ForbiddenEntryPoint" />

然后，ajax调用只会获得403响应，直到用户通过浏览器界面进行身份验证。

Answer 2

我猜你在spring安全配置中定义了一个<access-denied-handler> 。 此处理程序正在捕获AccessDeniedException 。 这可能就是为什么你没有在你的通用ExceptionHandler得到它。

有一个默认的AccessDeniedHandler（默认的弹簧安全设置）。 请阅读此内容以获取更多详情。