FullAjaxExceptionHandler在ajax按钮上不显示会话过期错误页面

在文件Spring安全（在档案中的Spring安全）

<beans:bean id="httpSessionSecurityContextRepository" class="org.springframework.security.web.context.HttpSessionSecurityContextRepository"/>

<!-- redirection strategy -->
<beans:bean id="jsfRedirectStrategy" class="com.mycompany.JsfRedirectStrategy">
    <beans:property name="invalidSessionUrl" value="/login.xhtml" />
</beans:bean>

<beans:bean id="sessionManagementFilter" class="org.springframework.security.web.session.SessionManagementFilter">
    <beans:constructor-arg name="securityContextRepository" ref="httpSessionSecurityContextRepository" />
    <beans:property name="invalidSessionStrategy" ref="jsfRedirectStrategy" />
</beans:bean>

<http auto-config='true' use-expressions="true">
    <intercept-url pattern="/login" access="permitAll"/>
    <intercept-url pattern="/ajaxErrorPage" access="permitAll"/>
    <intercept-url pattern="/pages/*" access="hasRole('admin')" />
    <intercept-url pattern="/j_spring_security_check" access="permitAll"/>        
    <logout logout-success-url="/login.xhtml" />
    <form-login login-page="/login.xhtml"
            login-processing-url="/j_spring_security_check"                                                       
            default-target-url="/pages/index.xhtml"
            always-use-default-target="true"                                                        
            authentication-failure-url="/login.xhtml"/>

     <!-- custom filter -->
    <custom-filter ref="sessionManagementFilter"  before="SESSION_MANAGEMENT_FILTER" />

</http>

自定义重定向策略（个性化重定向策略）

public class JsfRedirectStrategy implements InvalidSessionStrategy
{

    private static final String FACES_REQUEST = "Faces-Request";

    private String invalidSessionUrl;

    public void setInvalidSessionUrl(String invalidSessionUrl) {
        this.invalidSessionUrl = invalidSessionUrl;
    }

    public String getInvalidSessionUrl() {
       return invalidSessionUrl;
    }



    @Override
    public void onInvalidSessionDetected(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException {



        String contextPath = request.getContextPath();
        String urlFinal = contextPath+invalidSessionUrl;




        if ("partial/ajax".equals(request.getHeader(FACES_REQUEST))) {
            // with ajax
            response.setContentType("text/xml");
            response.getWriter()
                .append("<?xml version=\"1.0\" encoding=\"UTF-8\"?>")
                .printf("<partial-response><redirect url=\"%s\"></redirect></partial-response>", urlFinal);
        } else {

            // not ajax
            request.getSession(true);
            response.sendRedirect(urlFinal);

        }

   }

为我工作。

您正在发送一个同步重定向作为对ajax请求的响应（HTTP 302响应，使用例如response.sendRedirect（））。这是不对的。JavaScript ajax引擎将302响应视为重新发送ajax请求的新目标。然而，这反过来会返回一个普通的HTML页面，而不是一个XML文档，其中包含要更新页面的哪些部分的说明。这是令人困惑的，因此重定向的响应被完全忽略。这正好解释了你所面临的症状。

同样的问题也在以下密切相关的问题中提出和回答：

• FullAjaxExceptionHandler在无效会话后不会重定向到错误页面
• 当会话过期时，如果用户单击浏览器后退按钮，如何将用户移动到超时页面
• 获取由浏览器启动的重定向请求，但未成功
• 会话到期时的授权重定向在提交JSF表单时不起作用，页面保持不变
• JSF筛选器在初始重定向后未重定向

基本上，您需要以某种方式指示Spring Security执行以下条件检查：

if ("partial/ajax".equals(request.getHeader("Faces-Request"))) {
    // JSF ajax request. Return special XML response which instructs JavaScript that it should in turn perform a redirect.
    response.setContentType("text/xml");
    response.getWriter()
        .append("<?xml version=\"1.0\" encoding=\"UTF-8\"?>")
        .printf("<partial-response><redirect url=\"%s\"></redirect></partial-response>", loginURL);
} else {
    // Normal request. Perform redirect as usual.
    response.sendRedirect(loginURL);
}

然而，我不是Spring用户，我对使用它不感兴趣，因此无法给出如何在Spring Security性中执行此检查的更详细答案。然而，我可以看出ApacheShiro有着与本文中解释和解决的问题完全相同的问题：让Shiro JSF支持Ajax。