我的项目中有一个控制器,它处理所有定义的异常,如下所示：

@ControllerAdvice
public class GlobalExceptionHandlingController {

    @ResponseBody
    @ExceptionHandler(value = AccessDeniedException.class)
    public ResponseEntity accessDeniedException() {
        Logger.getLogger("#").log(Level.SEVERE, "Exception caught!");
        return new ResponseEntity("Access is denied", HttpStatus.FORBIDDEN);
    }

}

我在这里专注于一个特定的异常,那就是Spring Security对未经授权的请求抛出的AccessDeniedException.这适用于“普通”又称非ajax请求.我可以点击链接或直接在位置栏中输入网址,如果请求未经授权,我会看到此消息.

但是在AJAX请求上(使用Angular)我得到标准403错误页面作为响应,但有趣的是我可以看到AccessDeniedException被这个控制器捕获！

我做了一些研究,似乎我需要自定义AccessDeniedHandler,所以我做了这个：

在我的Spring Security配置中添加了以下行：

.and()
.exceptionHandling().accessDeniedPage("/error/403/");

我做了一个特殊的控制器只是为了处理这个：

@Controller
public class AjaxErrorController {

    @ResponseBody
    @RequestMapping(value = "/error/403/", method = RequestMethod.GET)
    public ResponseEntity accessDeniedException() {
        return new ResponseEntity("Access is denied (AJAX)", HttpStatus.FORBIDDEN);
    }

}

现在这工作正常,但异常仍然在第一个控制器中被捕获,但该方法的返回值被忽略.为什么？

这是应该怎么做的？我有一种感觉,我在这里遗漏了一些东西.

我在Spring Security 4.0.4中使用Spring 4.2.5.

最佳答案 虽然我不知道所有细节,但我的理论是它可能是一个内容类型问题.

通常在执行AJAX请求时,响应应该是JSON,因此浏览器会在请求中添加Accept：application / json标头.

另一方面,您的回复实体：

new ResponseEntity("Access is denied", HttpStatus.FORBIDDEN)

是一个文本响应,默认的Content-Type与典型的Spring设置是text / plain.

当Spring检测到它无法提供客户端所需类型的响应时,它将回退到默认错误页面.