在 spring boot 3 升级后,开发者可能会遇到一个问题:原本旨在返回 302 重定向状态码的接口,却被 spring 内部处理并直接返回了目标 uri 的内容,而非期望的重定向响应。本文将深入探讨这一现象,分析其可能的原因,并提供一个通过自定义异常和全局异常处理器来强制返回 302 状态码的专业解决方案,确保客户端能够正确接收重定向指令。
在 Spring Boot 3 环境中,当一个控制器方法尝试通过 HttpServletResponse.sendRedirect() 或 ResponseEntity 配合 HttpHeaders.setLocation() 来发送一个 302 (Found) 重定向响应时,系统可能不会如预期般将 302 状态码返回给客户端。相反,Spring 框架似乎在服务器内部执行了重定向操作,并直接返回了目标 URI 对应的资源内容。这意味着客户端不会收到 302 状态码及 Location 头,而是直接获取到重定向目标的内容,这与期望的外部服务重定向行为不符。
开发者在尝试解决此问题时,即使配置 TestRestTemplate 禁用客户端重定向,也无法观察到 302 状态码,进一步证实了问题出在服务器端。通过开启 TRACE 级别的日志,可以发现 FilterChainProxy 在 DispatcherServlet 完成 302 响应后,再次尝试匹配请求并处理重定向,这表明 Spring Security 或其他过滤器链中的组件可能在拦截并内部处理 3xx 响应。
为了明确问题,开发者通常会尝试以下几种方式来触发 302 重定向:
使用 HttpServletResponse.sendRedirect():
@GetMapping("/callback")
public void callback(HttpServletResponse httpResponse) throws IOException {
// ... 业务逻辑 ...
httpResponse.addCookie(jwtTokenCookie); // 添加 Cookie
httpResponse.sendRedirect(state.targetUri()); // 期望发送 302
}这种方法在 Spring Boot 3 中可能无法按预期工作,而是被内部处理。
使用 ResponseEntity 配合 HttpHeaders.setLocation():
@GetMapping("/callback")
public ResponseEntity<Void> callback() throws URISyntaxException {
// ... 业务逻辑 ...
HttpHeaders httpHeaders = new HttpHeaders();
httpHeaders.setLocation(new URI(ssoState.targetUri()));
// 注意:这里无法直接添加 HttpServletResponse 的 Cookie,需要通过 Set-Cookie 头
// httpHeaders.add(HttpHeaders.SET_COOKIE, "cookieName=cookieValue; Path=/; HttpOnly");
return new ResponseEntity<>(httpHeaders, HttpStatus.FOUND); // 期望发送 302
}即使采用这种更 Spring 风格的方式,问题依然存在,表明并非简单的 API 使用不当。
日志分析: 开启 TRACE 级别的日志后,可以观察到以下关键信息:
这强烈暗示在 DispatcherServlet 发出 302 响应之后,Spring Security 的 FilterChainProxy 或其他自定义过滤器在响应被发送到客户端之前,拦截了该 3xx 响应并触发了内部的请求转发。
为了绕过这种内部重定向行为,我们可以采用一种策略,即在控制器方法中不直接发送重定向,而是抛出一个自定义异常。然后,通过全局异常处理器 (@ControllerAdvice) 捕获这个异常,并在异常处理器中显式地构建并返回一个包含 302 状态码和 Location 头的 ResponseEntity。这种方式能够确保响应在 Spring 过滤器链的更后期阶段被精确控制,从而避免被意外拦截。
首先,创建一个自定义的 RuntimeException,用于携带重定向目标 URI 和任何需要随重定向一起发送的 Set-Cookie 头信息。
import java.util.Collections;
import java.util.List;
public class RedirectException extends RuntimeException {
private final String targetUri;
private final List<String> setCookieHeaders; // 用于携带 Set-Cookie 头的值
public RedirectException(String targetUri) {
this(targetUri, Collections.emptyList());
}
public RedirectException(String targetUri, List<String> setCookieHeaders) {
super("Redirect to " + targetUri);
this.targetUri = targetUri;
this.setCookieHeaders = setCookieHeaders;
}
public String getTargetUri() {
return targetUri;
}
public List<String> getSetCookieHeaders() {
return setCookieHeaders;
}
}在需要进行重定向的控制器方法中,不再调用 sendRedirect 或返回 ResponseEntity,而是抛出上面定义的 RedirectException。
import jakarta.servlet.http.Cookie;
import jakarta.servlet.http.HttpServletResponse;
import jakarta.validation.constraints.NotNull;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.RestController;
import lombok.SneakyThrows; // 如果使用 Lombok
import java.util.Collections;
import java.util.List;
@RestController
public class SsoController {
// 假设 cookieService 和 userContext 已经定义
// private final CookieService cookieService;
// private final UserContext userContext;
@GetMapping("/callback")
@SneakyThrows // 简化异常处理,实际项目中应更精细处理
public void callback(@NotNull @RequestParam(name = "code") String authorizationCode,
@NotNull @RequestParam(name = "state") String state,
HttpServletResponse httpResponse) { // 尽管不直接用sendRedirect,但可能需要创建Cookie
try {
// ... 业务逻辑,例如验证授权码,获取用户上下文 ...
// userContext = ...;
// 假设 cookieService.createJwtCookie 返回一个 jakarta.servlet.http.Cookie
// Cookie jwtTokenCookie = cookieService.createJwtCookie(userContext);
// 示例:手动创建一个 Cookie
Cookie jwtTokenCookie = new Cookie("jwtToken", "some_jwt_value");
jwtTokenCookie.setPath("/");
jwtTokenCookie.setHttpOnly(true);
jwtTokenCookie.setMaxAge(3600); // 1小时
// 将 Cookie 转换为 Set-Cookie 头字符串,以便通过异常传递
String setCookieHeader = String.format("%s=%s; Path=%s; HttpOnly; Max-Age=%d",
jwtTokenCookie.getName(),
jwtTokenCookie.getValue(),
jwtTokenCookie.getPath(),
jwtTokenCookie.getMaxAge());
// 抛出自定义重定向异常,包含目标 URI 和 Set-Cookie 头
throw new RedirectException(state.targetUri(), Collections.singletonList(setCookieHeader));
} catch (IntegrationException e) { // 假设存在业务集成异常
throw new ControllerException(BAD_REQUEST, e); // 抛出其他业务异常
}
}
}创建一个 @ControllerAdvice 类,其中包含一个 @ExceptionHandler 方法来捕获 RedirectException。在这个处理器中,我们将手动构建 ResponseEntity,设置 302 状态码、Location 头和任何 Set-Cookie 头。
import org.springframework.http.HttpHeaders;
import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import java.net.URI;
import java.net.URISyntaxException;
@ControllerAdvice
public class GlobalExceptionHandler {
@ExceptionHandler(RedirectException.class)
public ResponseEntity<Void> handleRedirectException(RedirectException ex) throws URISyntaxException {
HttpHeaders headers = new HttpHeaders();
headers.setLocation(new URI(ex.getTargetUri()));
// 添加从异常中获取的 Set-Cookie 头
ex.getSetCookieHeaders().forEach(cookieHeader -> headers.add(HttpHeaders.SET_COOKIE, cookieHeader));
// 返回包含 302 状态码和 Location 头的 ResponseEntity
return new ResponseEntity<>(headers, HttpStatus.FOUND);
}
// 可以添加其他异常处理器
// @ExceptionHandler(ControllerException.class)
// public ResponseEntity<String> handleControllerException(ControllerException ex) {
// return new ResponseEntity<>(ex.getMessage(), ex.getHttpStatus());
// }
}这种方法的关键在于:
这种方法符合“OnlyIn exchange pattern on your redirect”的理念,即确保服务器仅发送重定向响应,而不进行后续处理。
以上就是Spring Boot 3 中 302 重定向被内部处理的解决策略的详细内容,更多请关注php中文网其它相关文章!
每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。
广告Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号
227
收藏
