这里记录一个生产中遇到的一个问题。

现有环境是基于SpringBoot 2.6.8，然后是前后台一体化的项目。

安全框架使用的是内置版本的SpringSecurity。

在实际使用过程中遇到一个问题。

就是当用户登陆失效后，前端操作JSON请求获取列表数据，但因为登陆失效了。导致请求过不去返回结果

同时服务端也没有任何的异常日志。

后来发现是因为Security内置的一个过滤器CsrfFilter。这个过滤器

this.accessDeniedHandler.handle(request, response, exception);

有个处理起对这个请求进行了处理，同时转发到了error页面。

解决方案如下：

1.首先需要实现上述过滤器内调用的处理器

import cn.com.seecom.vnumber.common.Result;
import cn.com.seecom.vnumber.common.ResultEnum;
import cn.com.seecom.vnumber.utils.RequestUtil;
import com.alibaba.fastjson.JSON;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;
import org.springframework.util.Assert;import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;/*** @author lvshiyu* @description: 重写当请求访问被拒绝处理* 在基于角色的访问控制（RBAC）或基于权限的访问控制（PBAC）系统中，当用户尝试访问他们没有权限的资源时，* Spring Security 会触发 AccessDeniedHandler 来处理这种情况。* @date 2024年03月13日 17:55*/
@Component
@Slf4j
public class CustomAccessDeniedHandler implements AccessDeniedHandler {private String errorPage;@Overridepublic void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {if (response.isCommitted()) {log.trace("Did not write to response since already committed");return;}if (RequestUtil.isAjaxRequest(request)) {// 重点是这里，判断如果是ajax请求，则返回对应的登陆失效JSON。response.setContentType("application/octet-stream;charset=UTF-8");response.getWriter().println(JSON.toJSON(new Result(ResultEnum.TOKEN_EXPIRED)));return;}if (this.errorPage == null) {log.debug("Responding with 403 status code");response.sendError(HttpStatus.FORBIDDEN.value(), HttpStatus.FORBIDDEN.getReasonPhrase());return;}// Put exception into request scope (perhaps of use to a view)request.setAttribute(WebAttributes.ACCESS_DENIED_403, accessDeniedException);// Set the 403 status code.response.setStatus(HttpStatus.FORBIDDEN.value());// forward to error page.request.getRequestDispatcher(this.errorPage).forward(request, response);}public void setErrorPage(String errorPage) {Assert.isTrue(errorPage == null || errorPage.startsWith("/"), "errorPage must begin with '/'");this.errorPage = errorPage;}}

2.在配置类中引入该处理器，这里涉及到部分的业务代码，所以采用截图的方式，只需要将上面的失效处理器配置到config中即可。

3.在前端JS内对发起请求的地方做统一拦截处理。

$.ajaxSetup({complete: function(xhr, status) {if (xhr.responseText == 'invalidSession') {if(window.parent){window.parent.location.reload();}else{window.location.reload();}}//优化统一AJAX拦截if (xhr.status == 200 && xhr.responseJSON != null) {let data = xhr.responseJSON;if (data.code == 1000) {console.log("登陆失效")//登陆超时window.location.reload();}}}});

这里就解决了上述所说的问题，如果对您有帮助 请帮忙点个赞。

注意：这里重写了原来的403异常信息，会导致原有出现403的异常都会通过JSON的方式发送所改造的响应字符串。