小菜家教平台（四）：基于SpringBoot+Vue打造一站式学习管理系统

前言

昨天配置完了过滤器，权限检验，基本的SpringSecurity功能已经配置的差不多了，今天继续开发，明天可能会暂停一天整理一下需求，然后就进行CRUD了。

 

今日进度

补充SpringSecurity异常处理和全局异常处理器

详细操作

一、补充SpringSecurity异常处理器

当我们没有进行异常处理，项目如果出现了问题，我们很难排查，同时进行异常处理后，返回的数据就比较有规范，可以让前端的开发看懂。

比如我们现在使用一个错误的密码进行登录，Apifox显示403，这对吗？不太对，因为403是用户未授权，而我们这里是认证的问题，应该返回401才正确。这就导致今天检查的时候找了好久，最后才发现是密码写错了，如果返回信息是401，那不是就很快就发现问题了。因此，异常处理还是很重要的。

在SpringSecurity中，如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。

​ 如果是认证过程中出现的异常会被封装成AuthenticationException然后调用AuthenticationEntryPoint 对象的方法去进行异常处理，返回401。

​ 如果是授权过程中出现的异常会被封装成AccessDeniedException然后调用AccessDeniedHandler对象的方法去进行异常处理，返回403。

​ 所以如果我们需要自定义异常处理，我们只需要自定义AuthenticationEntryPoint和AccessDeniedHandler然后配置给SpringSecurity即可。

听上去听复杂的？但是实现并不复杂

只要重写AuthenticationException和AccessDeniedHandler方法并添加到配置中即可。

@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        ResponseResult result = new ResponseResult(HttpStatus.UNAUTHORIZED.value(), "用户认证失败，请重新登录");
        String json = JSON.toJSONString(result);
        WebUtils.renderString(response,json);
    }
}

@Component
public class AccessDeniedHandlerImpl implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        ResponseResult result = new ResponseResult(HttpStatus.FORBIDDEN.value(), "权限不足");
        String json = JSON.toJSONString(result);
        WebUtils.renderString(response,json);
    }
}

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                //关闭csrf
                .csrf().disable()
                //不通过Session获取SecurityContext
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authorizeRequests()
                // 对于登录接口 允许匿名访问
                .antMatchers("/user/login").anonymous()
                .antMatchers("/hello/**").hasRole("ADMIN")//对于/hello的路径，只有ADMIN权限的用户才能访问
                .antMatchers("/ok/**").hasAnyRole("ADMIN","TEACHER")//对于/ok的路径，ADMIN和USER权限的用户都可以访问
                // 除上面外的所有请求全部需要鉴权认证
                .anyRequest().authenticated();

        //添加自定义过滤器
        http.addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class);

        //添加自定义异常处理
        http.exceptionHandling().authenticationEntryPoint(authenticationEntryPoint).accessDeniedHandler(accessDeniedHandler);
    }

这样，我们进行测试就能很快的发现问题了，如下图：

二、全局异常处理

上面我们只进行了有关SpringSecurity的异常处理，那要是其他地方出现异常怎么办？所以我们要进行全局的异常处理。因为项目不太大，所以这里使用了一个简单的全局异常处理，要是后面项目实现功能很多的话，可以考虑使用复杂完整的全局异常处理。

首先，为了进行测试，我们先编写两个异常方法，一个是数组越界，一个是除0

@RequestMapping("/ok/t1")
    public int test1(){
        List<Integer> integers = new ArrayList<>();
        for (int i = 0; i < 10; i++){
            integers.add(i);
        }
        //故意数组过界进行异常测试
        for (int i = 0; i < 20; i++){
            System.out.println(integers.get(i));
        }
        return 1;
    }

    @RequestMapping("/ok/t2")
    public int test2(){
        int t = 10/0;
        System.out.println(t);
        return 1;
    }

接着编写一下全局异常类

@RestControllerAdvice
public class GlobalExceptionHandler {

    // 捕获所有的 RuntimeException 异常
    @ExceptionHandler(value = {RuntimeException.class})
    public ResponseResult<String> handleRuntimeException(RuntimeException e) {
        // 这里会捕获到一些业务异常，或者其他运行时异常
        return new ResponseResult<>(HttpStatus.INTERNAL_SERVER_ERROR.value(), "运行时异常: " + e.getMessage());
    }

    // 捕获所有其他的 Exception 异常
    @ExceptionHandler(value = {Exception.class})
    public ResponseResult<String> handleException(Exception e) {
        // 处理一些无法捕获的异常
        return new ResponseResult<>(HttpStatus.INTERNAL_SERVER_ERROR.value(), "系统异常: " + e.getMessage());
    }
}

并在统一返回信息中添加一个方法

public static ResponseResult<String> error(String message){
        return new ResponseResult<>(500,message,null);
    }

这样就行了，是不是很简单。接下来进行测试。

密码错误：

权限异常：

数组越界：

除零：

这样项目中的异常就可以成功处理了，但是有没有发现一个小问题：

我们原先配置的SpringSecurity中的认证异常被全局异常覆盖了，但是权限异常还是SpringSecurity中我们配置的异常。

这里暂时不会出问题，就是返回的信息看上去与全局异常无关联，不整齐，我们修改一下权限异常处理即可。但是我认为这里应该有更好的处理方法，也可能是我的全局异常处理过于简单导致的，如果有大佬看到这里还请指点一下~

总结

今天首先通过自定义AuthenticationEntryPoint和AccessDeniedHandler实现了认证与授权失败的异常捕获，返回适当的状态码。随后，介在项目中实现全局异常处理，捕获运行时异常和系统异常，并统一处理返回。这样，不仅提高了系统的可维护性，还能帮助开发人员快速定位问题并保证前后端的异常响应一致性。

那今天就这样，明天可能暂停一天，整理一下url路径、返回数据等一些与业务相关的内容。如果这篇文章有帮到你的话，还希望多多支持，你的支持就是我的最大动力！

原文地址：https://blog.csdn.net/2301_77613763/article/details/143607560

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！