Java拦截器403问题解决方案

一、403错误的原因分析

403 Forbidden错误通常发生在Spring Security或自定义拦截器中，主要原因包括：

1. 权限不足：用户未登录或角色权限不够
2. CSRF防护：缺少CSRF token
3. CORS策略：跨域请求被拦截
4. URL权限配置错误
5. 自定义拦截器逻辑问题

二、基础解决方案

1. Spring Security配置相关

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll() // 公开URL
                .antMatchers("/admin/**").hasRole("ADMIN") // 需要ADMIN角色
                .anyRequest().authenticated()
            .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
            .and()
            .csrf().disable(); // 临时禁用CSRF(不推荐生产环境使用)
    }
}

2. 解决跨域问题(CORS)

@Configuration
public class CorsConfig implements WebMvcConfigurer {
    @Override
    public void addCorsMappings(CorsRegistry registry) {
        registry.addMapping("/**")
                .allowedOrigins("*")
                .allowedMethods("GET", "POST", "PUT", "DELETE")
                .allowedHeaders("*")
                .allowCredentials(true)
                .maxAge(3600);
    }
}

三、自定义拦截器处理

1. 正确实现拦截器

@Component
public class AuthInterceptor implements HandlerInterceptor {

    @Override
    public boolean preHandle(HttpServletRequest request, 
                           HttpServletResponse response, 
                           Object handler) throws Exception {

        // 检查token或session
        String token = request.getHeader("Authorization");
        if (token == null || !validateToken(token)) {
            response.sendError(403, "Access Denied");
            return false;
        }
        return true;
    }

    private boolean validateToken(String token) {
        // 实现你的token验证逻辑
        return true;
    }
}

2. 注册拦截器

@Configuration
public class WebConfig implements WebMvcConfigurer {

    @Autowired
    private AuthInterceptor authInterceptor;

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(authInterceptor)
                .addPathPatterns("/api/**")
                .excludePathPatterns("/api/public/**");
    }
}

四、高级问题排查

1. 调试拦截器顺序问题

Spring中拦截器执行顺序：
1. Filter
2. Interceptor
3. AOP
4. Controller

使用@Order注解调整顺序：

@Configuration
@Order(Ordered.HIGHEST_PRECEDENCE)
public class HighPriorityConfig implements WebMvcConfigurer {
    // 配置内容
}

2. 安全相关最佳实践

1. 不要完全禁用CSRF保护，而是：

   http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
   

2. 前端需要在请求中包含CSRF token
3. 使用HTTPS确保传输安全

五、常见错误及修复

1. 错误：静态资源被拦截
   修复：

   @Override
   public void configure(WebSecurity web) throws Exception {
      web.ignoring().antMatchers("/css/**", "/js/**", "/images/**");
   }
   

2. 错误：OPTIONS请求被拦截
   修复：

   .antMatchers(HttpMethod.OPTIONS, "/**").permitAll()
   

3. 错误：会话超时导致的403
   修复：实现自定义的AuthenticationEntryPoint

六、测试验证

使用Postman或curl测试：

# 测试未授权访问
curl -I http://localhost:8080/protected

# 测试带token访问
curl -H "Authorization: Bearer your_token" http://localhost:8080/protected

七、扩展建议

1. 使用JWT进行无状态认证
2. 集成OAuth2/OIDC
3. 实现细粒度的权限控制(Pre/Post注解)
4. 使用Spring Security的最新特性

遵循以上步骤和方法，应该能够解决大多数Java拦截器导致的403问题。