目录

• 一、全局异常捕获不到realm异常的原因
• 二、使用HttpAuthenticationFilter过滤器的onAccessDenied方法捕获报错
• • *最终解决方案*
• 三、简单来讲

一、全局异常捕获不到realm异常的原因

前提：在整合shiro和jwt中的过程中，测试token过期时发现，token过期的异常全局异常是捕获不到的，返回的只有401状态码，不满足前后端分离的需求

在调试过程中发现了原因：

• 由于是多realm登录，会先走到ModularRealmAuthenticator类中的认证器方法
• 在该方法中会调用getAuthenticationInfo方法验证token是否过期，若过期此处异常会被try捕获然后进入afterAttempt方法中
• 此处afterAttempt方法的作用就是: 对Realm中的异常进行处理, 聚合新的Info，赋给aggregate
• 简单来讲，若token验证失败报错，此处aggregate会为空
  
• aggregate为空，进入afteAllAttempts，此时会调用多realm中的默认认证策略AtLeastOneSuccessfulStrategy中的afteAllAttempts方法，直接抛出AuthenticationException异常，把我们前面的异常覆盖了
  
• 接着该异常会继续抛出，最终在认证过滤器中被捕获转为布尔值false，因此最终没有异常抛出，由于过滤器在controller前，因此异常也没被全局异常捕获
  

二、使用HttpAuthenticationFilter过滤器的onAccessDenied方法捕获报错

• 在以上调试过程中发现一个有意思的地方，即在进入多realm认证器前，都是先调用了HttpAuthenticationFilter类的onAccessDenied方法，也就是说我们可以在此处理报错

• 可以看到，该类是shiro1.8内置jwt过滤器 BearerHttpAuthenticationFilter 的父类

• 我们写自己的filter类继承BearerHttpAuthenticationFilter类，并重写OnAccessDenied方法

• 原来的情况是经过该方法之后会进行token的过期验证，但我们上面的分析也可以发现其异常会被层层抛出最后被捕获，因此我们可以提前在该方法中进行token的过期验证，从而可以在此处理异常

• 对于异常的处理，发现以下方法是失败的

  • 使用aop，以该方法为切面，通过afterThrowing进行捕获异常
  • 由于aop只能拦截Spring管理Bean的访问，因此从执行顺序来看：filter>aop，即在filter抛出的异常aop是捕获不到的

• 最终解决方案

  • 通过使用重定向解决
  • 在该类中对token过期进行验证，捕获异常后重定向到error接口
  • 在接口中返回正确的参数
    
  • ##最终规范了返回的格式

三、简单来讲

就是shiro内置jwt过滤器中的OnAccessDenied中调用的登录方法里面会验证token过期，过期异常直接被捕获

因此解决方法就是使token异常在onAccessDenied方法就被处理掉