ExceptionTranslationFilter

• 1、概述
• 2、作用
• 3、工作流程
  • 3.1、拦截异常
  • 3.2、异常处理
  • 3.3、继续执行
• 4、配置与使用
  • 4.1、自定义 AuthenticationEntryPoint
  • 4.2、自定义 AccessDeniedHandler
  • 4.3、使用 ExceptionTranslationFilter 进行全局异常处理
• 5、关键类和接口
• 总结

1、概述

ExceptionTranslationFilter 是用于处理安全异常的核心过滤器之一。它的主要功能是捕获 Spring Security 中发生的异常，并根据异常类型进行适当的处理，比如重定向到登录页面、返回未授权响应、或将异常信息传递到适当的异常处理机制中。

2、作用

ExceptionTranslationFilter 主要有以下几个功能：

• 捕获异常：该过滤器拦截 Spring Security 保护过程中的所有异常，特别是与身份验证和授权相关的异常。
• 异常处理：根据捕获到的异常类型，它会执行相应的处理。例如：
  • 对于 AuthenticationException，它会尝试进行身份验证，或者重定向到登录页面。
  • 对于 AccessDeniedException，它会返回 403 Forbidden HTTP 状态码，或者跳转到拒绝访问页面。
• 异常传递：它将处理结果传递给下游过滤器（如 AuthenticationEntryPoint 或 AccessDeniedHandler），确保 Spring Security 的安全策略被遵守。

3、工作流程

3.1、拦截异常

当请求进入 Spring Security 过滤器链时，如果出现身份验证或授权错误，ExceptionTranslationFilter 会拦截到相关异常。

常见的异常包括：

• AuthenticationException：用户未认证时抛出的异常。
• AccessDeniedException：用户认证通过，但没有足够权限访问资源时抛出的异常。

3.2、异常处理

根据捕获的异常类型，ExceptionTranslationFilter 会调用配置的 AuthenticationEntryPoint 或 AccessDeniedHandler 来处理异常。

• 如果是 AuthenticationException，ExceptionTranslationFilter 会使用配置的 AuthenticationEntryPoint（通常是 LoginUrlAuthenticationEntryPoint）来重定向到登录页面。
• 如果是 AccessDeniedException，它会调用配置的 AccessDeniedHandler（默认是 SimpleAccessDeniedHandler），返回 403 Forbidden 响应或执行其他的拒绝访问操作。

3.3、继续执行

异常处理完成后，ExceptionTranslationFilter 会继续将请求传递给后续的过滤器链。

4、配置与使用

ExceptionTranslationFilter 默认是启用的，通常不需要显式配置，因为它是过滤器链的一部分。然而，可以通过自定义 Spring Security 配置来更改其行为。

4.1、自定义 AuthenticationEntryPoint

如果需要自定义登录入口点（例如，重定向到不同的登录页面），可以通过 http.formLogin() 或 http.exceptionHandling() 来进行配置。

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .exceptionHandling()
                .authenticationEntryPoint(new CustomAuthenticationEntryPoint())
            .and()
            .formLogin()
                .loginPage("/custom-login");
    }
}

在上面的例子中，CustomAuthenticationEntryPoint 可以是一个自定义的 AuthenticationEntryPoint，它定义了用户未认证时的处理逻辑。

4.2、自定义 AccessDeniedHandler

同样，AccessDeniedHandler 可以用于自定义拒绝访问的行为。例如，可以返回一个自定义的错误页面或 JSON 响应。

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .exceptionHandling()
                .accessDeniedHandler(new CustomAccessDeniedHandler());
    }
}

CustomAccessDeniedHandler 类可以是如下形式：

public class CustomAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException {
        // 自定义处理逻辑，例如返回 JSON 格式的错误信息
        response.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied");
    }
}

4.3、使用 ExceptionTranslationFilter 进行全局异常处理

ExceptionTranslationFilter 会被自动添加到 Spring Security 过滤器链中，无需手动添加。但如果你希望对它进行更细粒度的控制或扩展，你可以通过自定义过滤器链来实现。

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .addFilterBefore(new CustomExceptionTranslationFilter(), ExceptionTranslationFilter.class);
    }
}

5、关键类和接口

• ExceptionTranslationFilter：核心过滤器，负责捕获并处理身份验证和授权异常。
• AuthenticationEntryPoint：接口，用于处理身份验证失败时的响应（例如，重定向到登录页面）。
• AccessDeniedHandler：接口，用于处理授权失败时的响应（例如，返回 403 错误）。
• AuthenticationException：代表身份验证失败的异常。
• AccessDeniedException：代表授权失败的异常。

总结

• ExceptionTranslationFilter 是 Spring Security 过滤器链中的一个重要过滤器，它的主要任务是捕获和处理认证和授权相关的异常。
• 通过配置 AuthenticationEntryPoint 和 AccessDeniedHandler，可以定制异常处理的行为。
• 默认情况下，ExceptionTranslationFilter 已经配置好并启用，但可以根据需要进一步自定义它的行为。