返回 HTTP 错误 401 代码并跳过过滤器链

Question

使用自定义 Spring Security 过滤器，如果 HTTP 标头不包含特定的键值对，我想返回 HTTP 401 错误代码。

例子：

public void doFilter(ServletRequest req, ServletResponse res,
                     FilterChain chain) throws IOException, ServletException {

   HttpServletRequest request = (HttpServletRequest) req;
   final String val = request.getHeader(FOO_TOKEN)

   if(val == null || !val.equals("FOO")) {
       // token is not valid, return an HTTP 401 error code
       ...
   }
   else {
    // token is good, let it proceed
    chain.doFilter(req, res);
   }

据我了解，我可以执行以下操作：

(1)((HttpServletResponse) res).setStatus(401) 并跳过剩余的过滤器链

或

(2) 抛出异常，最终导致 Spring Security 向客户端抛出 401 错误。

如果 #1 是更好的选择，在响应上调用 setStatus(401) 后如何跳过过滤器链？

或者，如果 #2 是正确的方法，我应该抛出哪个异常？

Answer 1

我在下面推荐这个解决方案。

public void doFilter(ServletRequest req, ServletResponse res,
                         FilterChain chain) throws IOException, ServletException {

        HttpServletRequest request = (HttpServletRequest) req;
        final String val = request.getHeader(FOO_TOKEN)

        if (val == null || !val.equals("FOO")) {
            ((HttpServletResponse) response).sendError(HttpServletResponse.SC_UNAUTHORIZED, "The token is not valid.");
        } else {
            chain.doFilter(req, res);
        }
    }

Answer 2

从API docs for the doFilter method，您可以：

• 或者使用 FilterChain 对象 (chain.doFilter()) 调用链中的下一个实体，
• 或不将请求/响应对传递给过滤器链中的下一个实体以阻止请求处理

因此设置响应状态代码并立即返回而不调用chain.doFilter 是您想要在此处实现的最佳选择。

Answer 3

按照他们在上面的答案中所说的去做。 “所以设置响应状态码并立即返回” 这只是类型：

res.setStatus(HttpServletResponse.SC_UNAUTHORIZED);  
return;

Answer 4

所以你可以使用这样的东西。

@Override
public void doFilter() {
    if (whiteListOrigins.contains(incomeOrigin)) {
        httpResponse.setHeader("Access-Control-Allow-Origin", incomeOrigin);
        chain.doFilter(request, response);
    } else {
        ((HttpServletResponse) response).sendError(HttpServletResponse.SC_FORBIDDEN, "Not Allowed to Access. Please try with valid Origin.");
    }
}