我有一个简单的过滤器来检查请求是否包含带有静态键的特殊标头 - 没有用户身份验证 - 仅用于保护端点。这个想法是如果密钥不匹配,则会抛出AccessForbiddenException
,然后将映射到带有注解为@ControllerAdvice
的类的响应。然而,我无法让它工作。我的@ExceptionHandler
未被调用。使用@ControllerAdvice创建简单的servlet过滤器
ClientKeyFilter
import org.springframework.beans.factory.annotation.Value
import org.springframework.stereotype.Controller
import javax.servlet.*
import javax.servlet.http.HttpServletRequest
@Controller //I know that @Component might be here
public class ClientKeyFilter implements Filter {
@Value('${CLIENT_KEY}')
String clientKey
public void init(FilterConfig filterConfig) {}
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) {
req = (HttpServletRequest) req
def reqClientKey = req.getHeader('Client-Key')
if (!clientKey.equals(reqClientKey)) {
throw new AccessForbiddenException('Invalid API key')
}
chain.doFilter(req, res)
}
public void destroy() {}
}
AccessForbiddenException
public class AccessForbiddenException extends RuntimeException {
AccessForbiddenException(String message) {
super(message)
}
}
ExceptionController
@ControllerAdvice
class ExceptionController {
static final Logger logger = LoggerFactory.getLogger(ExceptionController)
@ExceptionHandler(AccessForbiddenException)
public ResponseEntity handleException(HttpServletRequest request, AccessForbiddenException e) {
logger.error('Caught exception.', e)
return new ResponseEntity<>(e.getMessage(), I_AM_A_TEAPOT)
}
}
我错在哪里?简单的servlet过滤器可以使用spring-boot的异常映射吗?
这绝不会发生过滤器。 '@ ControllerAdvice'只对请求到达'DispatcherServlet'有用,'Filter's总是在那之前执行。要么把这个逻辑放在过滤器中,要么代替过滤器使用'HandlerInterceptor'。 –
@ M.Deinum,我终于使用了'HandlerInterceptor'。如果您想将其添加为答案,我会很乐意接受它。 – Opal