Spring Security 自定义状态码，防止正常状态码被 403 覆盖

在项目中加入 Spring Security 后，它会将所有的错误状态码覆盖为 403，例如 400, 405 和 500，我们也可能需要将 403 改为 401 作为未登录的状态码。本文将介绍如何自定义 AuthenticationEntryPoint 以解决此问题。

背景情况

我根据这个视频配置了基础的 Spring Security 和 JWT 鉴权：

并且参考了此回答：https://stackoverflow.com/a/47507342/19420247
在以上的基础上，由于版本更新，所以作了一些修改，请注意文章时间是否过旧。

解决方案

将 exceptionHandling 添加到 SecurityFilterChain。

import lombok.RequiredArgsConstructor;
import org.springframework.http.HttpStatus;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.HttpStatusEntryPoint;

@Configuration
@EnableWebSecurity
@EnableMethodSecurity
@RequiredArgsConstructor
public class AuthConfig {
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
                .exceptionHandling(
                        exceptionHandling -> exceptionHandling
                                .accessDeniedHandler(
                                        (request, response, accessDeniedException) -> response
                                                .sendError(HttpStatus.UNAUTHORIZED.value())
                                )
                                .authenticationEntryPoint(new HttpStatusEntryPoint(HttpStatus.UNAUTHORIZED))
        return http.build();
    }
}

技术 > 软件开发 > 后端开发

#Spring #Spring Boot #Spring Security #HTTP

Spring Security 自定义状态码，防止正常状态码被 403 覆盖

https://blog.zhanganzhi.com/zh-CN/2023/07/2d4f8ccace6c/

作者

Andy Zhang

发布于

2023年7月5日

许可协议

Spring Security customizing status code, and prevent other codes overridden by 403 上一篇

Element UI 通用图片骨架屏组件下一篇