Spring boot json错误媒体类型和spring security

Question

我有一个声明为 produces = "text/plain" 的 Spring Boot (tomcat) REST 控制器。我的应用程序使用弹簧安全性。如果我发送一个会导致 403 的请求，那么默认的 Spring Boot json 错误处理程序将尝试返回 Content-Type 的 application/json。

这会导致客户端实际上收到406 错误org.springframework.web.HttpMediaTypeNotAcceptableException，因为客户端在请求中指定了Accept: text/plain。

显而易见的答案是要求客户端指定两个带有text/plain 和application/json 的Accept 标头。不起作用，你仍然得到406。也不适用于以逗号分隔的单个多值标头。

在所有情况下，403 与请求中的两个 Accept 标头一起一直存在到 StandardHostValve.status()，但在默认错误页面转发器中的某处失败。

有什么想法吗？

Answer 1

基于this solution，我所做的是添加一个自定义AccessDeniedHandler，它设置响应状态并写入它：

@Component
public class CustomAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException {

        response.setStatus(HttpServletResponse.SC_FORBIDDEN);
        response.getWriter().write(accessDeniedException.getMessage());
    }
}

并在WebSecurityConfigurerAdapter上进行配置：

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class ApiWebSecurityConfigurerAdapter extends WebSecurityConfigurerAdapter {
    //...

    @Autowired
    private CustomAccessDeniedHandler customAccessDeniedHandler;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests().anyRequest().authenticated().and().httpBasic()
            .authenticationEntryPoint(authenticationEntryPoint).and().exceptionHandling().accessDeniedHandler(customAccessDeniedHandler);
    }
}

因此在 Accept 请求标头上独立返回 Content-Type: text/plain。