如何为Spring Security的过滤器创建自定义全局异常处理程序？

你可以通过添加一个过滤器来实现自定义全局异常处理程序：

@Component
@Order(Ordered.HIGHEST_PRECEDENCE)
public class GlobalExceptionFilter extends OncePerRequestFilter {

    private final ObjectMapper mapper = new ObjectMapper();

    @Override
    protected void doFilterInternal(HttpServletRequest request, 
        HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
    try {
        filterChain.doFilter(request, response);
    } catch (Exception ex) {
        mapper.writeValue(response.getWriter(), new ErrorInfo("something bad happened"));
        response.setContentType(MediaType.APPLICATION_JSON);
        response.setStatus(HttpServletResponse.SC_INTERNAL_SERVER_ERROR);
        response.getWriter().close();
        response.getWriter().flush();
    }  
}

发送到前端的错误信息将包含在 ErrorInfo 类中：

public class ErrorInfo {

    // some custom fields as you wish

    public ErrorInfo(String error) {
        ...
    }
}

如上所示，为了让过滤器在其他所有过滤器之前执行，需要使用@Order注释，并将值设置为HIGHEST_PRECEDENCE。如果有其他相同顺序的过滤器，则必须增加它们的顺序（例如，通过将Ordered.HIGHEST_PRECEDENCE替换为Ordered.HIGHEST_PRECEDENCE + 1），使它们在我们的异常处理过滤器之后执行。
此外，您还需要确保您的过滤器在Spring Security过滤器链之前执行。因此，需要将application.properties中的security.filter-order属性设置为高于GlobalExceptionFilter顺序的某个值来更改Spring Security过滤器链的顺序。

security.filter-order=0

当过滤器链中的某个地方发生异常时，该异常将被全局异常过滤器捕获，然后创建一个包含错误信息的ErrorInfo对象，并使用Jackson ObjectMapper进行序列化。最后，使用给定的HTTP状态将响应发送到客户端。