JAVA高级面试进阶训练营视频教程

admin

当我们采用SpringSecurity进行安全控制时，除了正常的基于浏览器地址栏的请求URL安全拦截之外，还会经常遇到AJAX调用受权限拦 截的请求时返回值不能处理的情况，按照默认的配置，如果AJAX请求的url需要用户登录而用户未登录或者会话已过期了，这时会被自动拦截并转到登录界面 进行登录，这时，ajax请求实际上是返回了登录页面的html代码，这个代码是不能进行json处理的。经过实验，可以有两个思路：

1、登录页面设置为某个 .do页面，在这个页面中做检验：

boolean isAjax = "XMLHttpRequest".equals(request.getHeader("X-Requested-With")); 
        //如果是ajax请求  
        if (isAjax) {         
            String jsonObject = "{\"success\":false,\"isLoginRequired\":true}";  
            String contentType = "application/json";  
            response.setContentType(contentType);  
            response.setCharacterEncoding("UTF-8");
            PrintWriter out = response.getWriter();  
            out.print(jsonObject);  
            out.flush();  
            out.close();  
            return;  
        }

判断如果是ajax过来的请求，则返回一个json格式的字符串，用于前台处理。  前台如果是采用了jquery，可以扩展ajax请求，拦截所有的ajax请求的返回结果，进行全局处理：

(function($) {
    // 备份jquery的ajax方法
    var _ajax = $.ajax;

    // 重写jquery的ajax方法
    $.ajax = function(opt) {
        // 备份opt中error和success方法
        var fn = {
            error : function(XMLHttpRequest, textStatus, errorThrown) {
            },
            success : function(data, textStatus) {
            }
        };
        if (opt.error) {
            fn.error = opt.error;
        }
        if (opt.success) {
            fn.success = opt.success;
        }

        // 扩展增强处理
        var _opt = $.extend(opt, {
            error : function(XMLHttpRequest, textStatus, errorThrown) {
                // 错误方法增强处理
                fn.error(XMLHttpRequest, textStatus, errorThrown);
            },
            success : function(data, textStatus) {
                // 成功回调方法增强处理
                if(data){
                    if (!data.success && data.isLoginRequired) {
                        showLoginWindow();
                    } else {
                        fn.success(data, textStatus);
                    }
                }


            }
        });
        _ajax(_opt);
    };
})(jQuery);

function showLoginWindow() {
    alert("请登录");  //可根据需要定制
}

这种方式有一个不太好的地方：ajax全局拦截之后，提示登录，然后就不会向下走了，这时如果弹出用户登录框进行登录，则用户登录成功之后，以前的操作不会继续执行了，用户需要重新再去操作一下。

2、 还有一种方案，原理类似： 在安全中配置一个<access-denied-handler ref="accessDeniedHandler"/>， 但这个是存取拒绝的拦截处理，如果用户还未登录，是不会被拦截的，可以考虑在用户匿名访问时，默认创建一个特殊的用户对象，这个用户权限是很低的，没有普 通用户的权限，比如ROLE_USER，而我们一般会配置有权限的资源要求最低是有ROLE_USER角色也就是普通用户身份，这样，当用户请求这个资源 时，会被安全拒绝，通常默认是转到403错误页面，如果配置了access-denied-handler，那么也可以转到这个handler配置的一 个.do上去，再在这个do中按照上面的方法进行判断处理。

这个方案不好的地方在于，不存在匿名用户的说法了，因为通过用户上下文来获取当前用户时，肯定会得到一个User对象。在这个handler中，需要处理用户是否登录的情况，如果未登录，则转到登录页面进行登录，如果已登录，则转到真正的403页面，或者json串。