目录
- 一、全局异常捕获不到realm异常的原因
- 二、使用HttpAuthenticationFilter过滤器的onAccessDenied方法捕获报错
- *最终解决方案*
- 三、简单来讲
一、全局异常捕获不到realm异常的原因
前提:在整合shiro和jwt中的过程中,测试token过期时发现,token过期的异常全局异常是捕获不到的,返回的只有401状态码,不满足前后端分离的需求
在调试过程中发现了原因:
- 由于是多realm登录,会先走到ModularRealmAuthenticator类中的认证器方法
- 在该方法中会调用getAuthenticationInfo方法验证token是否过期,若过期此处异常会被try捕获然后进入afterAttempt方法中
- 此处afterAttempt方法的作用就是: 对Realm中的异常进行处理, 聚合新的Info,赋给aggregate
- 简单来讲,若token验证失败报错,此处aggregate会为空
- aggregate为空,进入afteAllAttempts,此时会调用多realm中的默认认证策略AtLeastOneSuccessfulStrategy中的afteAllAttempts方法,直接抛出AuthenticationException异常,把我们前面的异常覆盖了
- 接着该异常会继续抛出,最终在认证过滤器中被捕获转为布尔值false,因此最终没有异常抛出,由于过滤器在controller前,因此异常也没被全局异常捕获
二、使用HttpAuthenticationFilter过滤器的onAccessDenied方法捕获报错
- 在以上调试过程中发现一个有意思的地方,即在进入多realm认证器前,都是先调用了HttpAuthenticationFilter类的onAccessDenied方法,也就是说我们可以在此处理报错
- 可以看到,该类是shiro1.8内置jwt过滤器 BearerHttpAuthenticationFilter 的父类
- 我们写自己的filter类继承BearerHttpAuthenticationFilter类,并重写OnAccessDenied方法
- 原来的情况是经过该方法之后会进行token的过期验证,但我们上面的分析也可以发现其异常会被层层抛出最后被捕获,因此我们可以提前在该方法中进行token的过期验证,从而可以在此处理异常
- 对于异常的处理,发现以下方法是失败的
- 使用aop,以该方法为切面,通过afterThrowing进行捕获异常
- 由于aop只能拦截Spring管理Bean的访问,因此从执行顺序来看:filter>aop,即在filter抛出的异常aop是捕获不到的
最终解决方案
- 通过使用重定向解决
- 在该类中对token过期进行验证,捕获异常后重定向到error接口
- 在接口中返回正确的参数
- ##最终规范了返回的格式
三、简单来讲
就是shiro内置jwt过滤器中的OnAccessDenied中调用的登录方法里面会验证token过期,过期异常直接被捕获
因此解决方法就是使token异常在onAccessDenied方法就被处理掉