自定义AccessDeniedHandler

在Spring默认的AccessDeniedHandler中只有对页面请求的处理，而没有对Ajax的处理。而在项目开发是Ajax又是我们要常用的技术，所以我们可以通过自定义AccessDeniedHandler来处理Ajax请求。我们在Spring默认的AccessDeniedHandlerImpl上稍作修改就可以了。

1. public class DefaultAccessDeniedHandler implements AccessDeniedHandler {
2. /* (non-Javadoc)
3. * @see org.springframework.security.web.access.AccessDeniedHandler#handle(javax.servlet.http.HttpServletRequest, javax.servlet.http.HttpServletResponse, org.springframework.security.access.AccessDeniedException)
4. */
5. private String errorPage;
6. //~ Methods ========================================================================================================
7. public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException)
8. throws IOException, ServletException {
9. boolean isAjax = ControllerTools.isAjaxRequest(request);
10. if(isAjax){
11. Message msg = MessageManager.exception(accessDeniedException);
12. ControllerTools.print(response, msg);
13. }else if (!response.isCommitted()) {
14. if (errorPage != null) {
15. // Put exception into request scope (perhaps of use to a view)
16. request.setAttribute(WebAttributes.ACCESS_DENIED_403, accessDeniedException);
17. // Set the 403 status code.
18. response.setStatus(HttpServletResponse.SC_FORBIDDEN);
19. // forward to error page.
20. RequestDispatcher dispatcher = request.getRequestDispatcher(errorPage);
21. dispatcher.forward(request, response);
22. } else {
23. response.sendError(HttpServletResponse.SC_FORBIDDEN, accessDeniedException.getMessage());
24. }
25. }
26. }
27. /**
28. * The error page to use. Must begin with a "/" and is interpreted relative to the current context root.
29. *
30. * @param errorPage the dispatcher path to display
31. *
32. * @throws IllegalArgumentException if the argument doesn't comply with the above limitations
33. */
34. public void setErrorPage(String errorPage) {
35. if ((errorPage != null) && !errorPage.startsWith("/")) {
36. throw new IllegalArgumentException("errorPage must begin with '/'");
37. }
38. this.errorPage = errorPage;
39. }
40. }

这里我们直接将异常信息通过PrintWriter输出到前台，然后在前台做统一的处理就可以了。在前台对后台消息统一处理的方法可以参考我的这篇文章http://blog.csdn.net/jaune161/article/details/18135607

最后在配置文件中配置下

1. <sec:http auto-config="true" access-decision-manager-ref="accessDecisionManager">
2. <sec:access-denied-handler ref="accessDeniedHandler"/>
3. <sec:session-management invalid-session-url="/login.jsp" />
4. <sec:intercept-url pattern="/app.jsp" access="AUTH_LOGIN"/>
5. <sec:intercept-url pattern="/**" access="AUTH_GG_FBGBGG"/>
6. <sec:form-login login-page="/login.jsp" authentication-failure-url="/login.jsp"
7. default-target-url="/index.jsp"/>
8. </sec:http>
9. <!-- 自定义权限不足处理程序 -->
10. <bean id="accessDeniedHandler" class="com.zrhis.system.security.RequestAccessDeniedHandler">
11. <property name="errorPage" value="/WEB-INF/error/403.jsp"></property>
12. </bean>