我认为更好的处理方法是利用现有的HTTP协议响应代码，特别是401未授权。

我是这样解决的：

服务器端：如果会话过期，请求为ajax。发送401响应代码头客户端：绑定到ajax事件$（'body'）.bind（'ajaxSuccess'，函数（事件，请求，设置）{if（401==请求状态）{window.location='/users/login'；}}).bind（'ajaxError'，函数（事件、请求、设置）{if（401==请求状态）{window.location='/users/login'；}});

IMO这是更通用的，您没有编写一些新的自定义规范/标题。您也不必修改任何现有的ajax调用。

编辑：根据@Rob下面的评论，401（验证错误的HTTP状态代码）应该是指示符。有关详细信息，请参阅403禁止与401未授权HTTP响应。尽管如此，一些web框架使用403来处理身份验证和授权错误，因此进行相应的调整。谢谢Rob。

我知道这个话题已经过时了，但我将给出另一种我已经发现并在这里描述过的方法。基本上，我使用的是ASP.MVC和WIF（但这对于本主题的上下文来说并不重要——无论使用哪种框架，答案都是足够的。线索保持不变——在执行ajax请求时处理与身份验证失败相关的问题）。

下面显示的方法可以应用于所有开箱即用的ajax请求（如果它们显然没有重新定义beforeEnd事件）。

$.ajaxSetup({
    beforeSend: checkPulse,
    error: function (XMLHttpRequest, textStatus, errorThrown) {
        document.open();
        document.write(XMLHttpRequest.responseText);
        document.close();
    }
});

在执行任何ajax请求之前，调用CheckPulse方法（可以是任何最简单的控制器方法）：

[Authorize]
public virtual void CheckPulse() {}

如果用户未经身份验证（令牌已过期），则无法访问该方法（受Authorize属性保护）。因为框架在令牌过期时处理身份验证，所以它将http状态302置于响应中。如果您不希望浏览器透明地处理302响应，请在Global.asax中捕获它，并将响应状态更改为200 OK。此外，添加header，它指示您以特殊方式处理此类响应（稍后在客户端）：

protected void Application_EndRequest()
{
    if (Context.Response.StatusCode == 302
        && (new HttpContextWrapper(Context)).Request.IsAjaxRequest())
    {                
        Context.Response.StatusCode = 200;
        Context.Response.AddHeader("REQUIRES_AUTH", "1");
    }
}

最后在客户端检查这样的自定义头。如果存在，则应该完成到登录页面的完全重定向（在我的情况下，window.location被来自请求的url替换，该url由我的框架自动处理）。

function checkPulse(XMLHttpRequest) {
    var location = window.location.href;
    $.ajax({
        url: "/Controller/CheckPulse",
        type: 'GET',
        async: false,
        beforeSend: null,
        success:
            function (result, textStatus, xhr) {
                if (xhr.getResponseHeader('REQUIRES_AUTH') === '1') {
                    XMLHttpRequest.abort(); // terminate further ajax execution
                    window.location = location;
                }
            }
    });
}

我在一个我正在修补的django应用程序上遇到了这个问题（免责声明：我正在修补以学习，绝不是专家）。我想做的是使用jQueryajax向资源发送DELETE请求，在服务器端删除它，然后（基本上）将重定向返回主页。当我从python脚本发送HttpResponseRedirect（'/theRedirect/'）时，jQuery的ajax方法收到的是200而不是302。因此，我所做的是发送一个300的回复，其中包括：

response = HttpResponse(status='300')
response['Location'] = '/the-redirect/' 
return  response

然后，我使用jQuery.ajax在客户端上发送/处理请求，如下所示：

<button onclick="*the-jquery*">Delete</button>

where *the-jquery* =
$.ajax({ 
  type: 'DELETE', 
  url: '/resource-url/', 
  complete: function(jqxhr){ 
    window.location = jqxhr.getResponseHeader('Location'); 
  } 
});

也许使用300并不“正确”，但至少它的工作方式和我想的一样。

PS：这是一个巨大的痛苦，在移动版SO上编辑。愚蠢的ISP在我完成我的回答后，立即通过了我的服务取消请求！

后端弹簧@ExceptionHandler。

400和业务相关异常的错误字符串（将在弹出窗口中显示）302和用于浏览器请求的应用程序异常的错误/登录页面的位置标头（由浏览器自动重定向）500/400和错误/登录页面的位置头，用于通过ajax回调重定向ajax请求

通过用户会话将异常详细信息传递到错误页

@Order(HIGHEST_PRECEDENCE)
public class ExceptionHandlerAdvise {

    private static Logger logger = LoggerFactory.getLogger(ExceptionHandlerAdvise.class);

    @Autowired
    private UserInfo userInfo;

    @ExceptionHandler(value = Exception.class)
    protected ResponseEntity<Object> handleException(Exception ex, WebRequest request) {
        HttpHeaders headers = new HttpHeaders();
        if (isBusinessException(ex)) {
            logger.warn(getRequestURL(request), ex);
            return new ResponseEntity<>(getUserFriendlyErrorMessage(ex), headers, BAD_REQUEST);
        } else {
            logger.error(getRequestURL(request), ex);
            userInfo.setLastError(ex);
            headers.add("Location", "/euc-portal/fault");
            return new ResponseEntity<>(null, headers, isAjaxRequest(request) ? INTERNAL_SERVER_ERROR : FOUND);
        }
    }
}

private boolean isAjaxRequest(WebRequest request) {
    return request.getHeader("x-requested-with") != null;
}

private String getRequestURL(WebRequest request) {
    if (request instanceof ServletWebRequest) {
        HttpServletRequest servletRequest = ((ServletWebRequest) request).getRequest();
        StringBuilder uri = new StringBuilder(servletRequest.getRequestURI());
        if (servletRequest.getQueryString() != null) {
            uri.append("?");
            uri.append(servletRequest.getQueryString());
        }
        return uri.toString();
    }
    return request.getContextPath();
}

登录手柄接口

@Service
public class LoginHandlerInterceptor implements HandlerInterceptor {

    @Autowired
    private UserInfo userInfo;

    @Override
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        if (userInfo.getPrincipal() == null && !(request.getRequestURI().contains(LOGIN_URL) || request.getRequestURI().contains(FAULT_URL) || request.getRequestURI().startsWith("/app/css"))) {
            response.addHeader("Location", LOGIN_URL);
            response.setStatus(isAjaxRequest(request) ? BAD_REQUEST.value() : FOUND.value());
            return false;
        }
        return true;
    }
}

客户端代码

$.post('/app/request', params).done(function(response) {
    ...
}).fail(function(response) {
    if (response.getResponseHeader('Location')) {
        window.top.location.href = response.getResponseHeader('Location');
        return;
    }
    alert(response);
});

这对我有用：

success: function(data, textStatus, xhr) {

        console.log(xhr.status);
}

一旦成功，ajax将获得浏览器从服务器获得的相同状态代码并执行它。

如果您使用的是Spring Security，答案似乎对人们有用，但我发现扩展LoginUrlAuthenticationEntryPoint并添加特定代码来处理AJAX更为健壮。大多数示例拦截所有重定向，而不仅仅是身份验证失败。这对于我所从事的项目来说是不可取的。如果不希望缓存失败的AJAX请求，您可能会发现还需要扩展ExceptionTranslationFilter并重写“sendStartAuthentication”方法以删除缓存步骤。

示例AjaxAwareAuthenticationEntryPoint：

public class AjaxAwareAuthenticationEntryPoint extends
    LoginUrlAuthenticationEntryPoint {

    public AjaxAwareAuthenticationEntryPoint(String loginUrl) {
        super(loginUrl);
    }

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        if (isAjax(request)) {
            response.sendError(HttpStatus.UNAUTHORIZED.value(), "Please re-authenticate yourself");
        } else {
        super.commence(request, response, authException);
        }
    }

    public static boolean isAjax(HttpServletRequest request) {
        return request != null && "XMLHttpRequest".equals(request.getHeader("X-Requested-With"));
    }
}

来源：1, 2