springboot~security中自定义forbidden和unauthorized返回值

最新推荐文章于 2024-05-08 15:24:52 发布
最新推荐文章于 2024-05-08 15:24:52 发布
阅读量401 收藏
点赞数
文章标签: servlet java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Gefangenes/article/details/130773309
版权

对于spring-security来说,当你访问一个受保护资源时,需要检查你的token,当没有传递,或者传递的token有错误时,将出现401unauthorized异常;当你传递的token是有效的,但解析后并没有访问这个资源的权限时,将返回403forbidden的异常,而你通过拦截器@RestControllerAdvice是不能重写这两个异常消息的,我们下面介绍重写这两种消息的方法。

两个接口

  • AccessDeniedHandler 实现重写403的消息
  • AuthenticationEntryPoint 实现重写401的消息

代码

  • CustomAccessDeineHandler
public class CustomAccessDeineHandler implements AccessDeniedHandler {

  @Override
  public void handle(HttpServletRequest request, HttpServletResponse response,
                     AccessDeniedException accessDeniedException) throws IOException, ServletException {
    response.setCharacterEncoding("utf-8");
    response.setContentType("application/json;charset=utf-8");
    response.getWriter().print(JSONObject.toJSONString(CommonResult.forbiddenFailure("没有访问权限!")));
  }

}
  • CustomAuthenticationEntryPoint
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {

  @Override
  public void commence(HttpServletRequest request, HttpServletResponse response,
                       AuthenticationException authException) throws IOException, ServletException {
    response.setCharacterEncoding("utf-8");
    response.setContentType("application/json;charset=utf-8");
    response.getWriter().print(JSONObject.toJSONString(CommonResult.unauthorizedFailure("需要先认证才能访问!")));
  }

}
  • WebSecurityConfig.configure中添加注入代码
  // 401和403自定义
  http.exceptionHandling().authenticationEntryPoint(new CustomAuthenticationEntryPoint())
      .accessDeniedHandler(new CustomAccessDeineHandler());
  • 效果
//没有传token,或者token不合法
{
    "code": 401,
    "message": "需要先认证才能访问!"
}
//token中没有权限
{
    "code": 403,
    "message": "没有访问权限!"
}
野生的狒狒
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
springboot-springsecurity-jwt-demo
01-28
一:RestApi接口增加JWT认证功能<br/> 用户填入用户名密码后,与数据库里存储的用户信息进行比对,如果通过,则认证成功。传统的方法是在认证通过后,创建sesstion,并给客户端返回cookie。 现在我们采用JWT来处理用户名密码的认证。区别在于,认证通过后,服务器生成一个token,将token返回给客户端,客户端以后的所有请求都需要在http头指定该token。 服务器接收的请求后,会对token的合法性进行验证。验证的内容包括: 内容是一个正确的JWT格式 检查签名 检查claims 检查权限 处理登录 创建一个类JWTLoginFilter,核心功能是在验证用户名密码正确后,生成一个token,并将token返回给客户端: 该类继承自UsernamePasswordAuthenticationFilter,重写了其的2个方法: attemptAuthentication :接收并解析用户凭证。 successfulAuthentication :用户成功登录后,这个方法会被调用,我们在这个方法里生成token。 二:授权验证 用户一旦登录成功后,会拿到token,后续的请求都会带着这个token,服务端会验证token的合法性。 创建JwtAuthenticationFilter类,我们在这个类实现token的校验功能。 该类继承自BasicAuthenticationFilter,在doFilterInternal方法,从http头的Authorization 项读取token数据,然后用Jwts包提供的方法校验token的合法性。 如果校验通过,就认为这是一个取得授权的合法请求。 三:SpringSecurity配置 通过SpringSecurity的配置,将上面的方法组合在一起。 这是标准的SpringSecurity配置内容,就不在详细说明。注意其的 .addFilter(new JWTLoginFilter(authenticationManager())) .addFilter(new JwtAuthenticationFilter(authenticationManager())) 这两行,将我们定义的JWT方法加入SpringSecurity的处理流程。 四:简单测试 下面对我们的程序进行简单的验证:<br/> 1.请求获取用户列表接口:http://localhost:8080/users/userList接口,会收到403错误<br/> { "timestamp": 1518333248079, "status": 403, "error": "Forbidden", "message": "Access Denied", "path": "http://localhost:8080/users/userList" } curl http://localhost:8080/users/userList<br/> 原因就是因为这个url没有授权,所以返回403<br/> ![输入图片说明](https://gitee.com/uploads/images/2018/0211/154022_8d9806ae_130820.png "jwt-1.png") 2.注册一个新用户<br/> curl -H "Content-Type: application/json" -X POST -d '{<br/> "username": "admin",<br/> "password": "password"<br/> }' http://localhost:8080/users/signup<br/> ![输入图片说明](https://gitee.com/uploads/images/2018/0211/154042_74fb2aa6_130820.png "jwt-2.png") 3.登录,会返回token,在http header,Authorization: Bearer 后面的部分就是token<br/> curl -i -H "Content-Type: application/json" -X POST -d '{<br/> "username": "admin",<br/> "password": "password"<br/> }' http://localhost:8080/login<br/> 温馨提醒:这里的login方法是spring specurity框架提供的默认登录url ![输入图片说明](https://gitee.com/uploads/images/2018/0211/154308_9576ce90_130820.png "jwt-3.png") 4.用登录成功后拿到的token再次请求/users/userList接口<br/> 4.1将请求的XXXXXX替换成拿到的token<br/> 4.2这次可以成功调用接口了<br/> curl -H "Content-Type: application/json"<br/> -H "Authorization: Bearer XXXXXX"<br/> "http://localhost:8080/users/userList" ![输入图片说明](https://gitee.com/uploads/images/2018/0211/154315_241cd6b2_130820.png "jwt-4.png")
解决Vue调用springboot接口403跨域问题
12-11
最近在做一个前后端分离的项目, 前端用的是Vue后端使用的是springboot, 在项目整合的时候发现前端调用后端接口报错403跨域请求问题 前端跨域请求已解决, 那么问题就出在后端了, 找了一些资料找到了很多种方法, 这里说两个简单粗暴的. 注意:“@CrossOrigin“注解要求jdk1.8及以上版本, SpringMVC 4.2及以上版本 1. 在controller层上添加@Configuration注解, 如果没有效果请制定RequestMapping总的method类型在试一下.(此注解也可以加在方法上) 2. 上面的方法解决的是部分功能的跨域问题, 有的时候我们需要全局跨域,
Spring Security请求oauth/token接口报401 Unauthorized
qiujing0907的博客
01-04 8199
我出现报错的原因就是这个passwordEncoder的实例类发生了变动,因为pom依赖版本升级,导致这个密码编码器在高版本发生了改变,由原来的明文编码器变为了hash编码器。返回的,请求并没有到达路径对应接口就返回了,我并没有了解过spring security过滤器具体有哪些,所以不太好打断点,这导致我浪费很多的时间。不废话,原因是走了下边过滤器的这段代码(注意,这是我的项目,走的该Filter,自己的项目还需要结合实际情况来)。密码编码器比对参数的凭证,与抽象类获取的凭证信息是否一样。
Spring Security OAuth2 自定义 token Exception
weixin_42073629的博客
06-02 788
https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/spring-security-OAuth208.png 1. 前言 在使用Spring Security Oauth2登录和鉴权失败时,默认返回的异常信息如下 { "error": "unauthorized", "error_description": "Full authentication is required to
Spring Cloud:Security OAuth2 自定义异常响应
lizhengyu891231的博客
10-09 2546
转载自:https://www.cnblogs.com/bndong/p/10275430.html 默认异常响应 在使用Spring Security Oauth2登录和鉴权失败时,默认返回的异常信息如下: { "error": "unauthorized", "error_description": "Full authentication is required to a...
Spring Boot请求403 Forbidden错误
lymboy的博客
08-04 1万+
在项目引入了Spring Security框架做权限控制,但是出于调试的方便,在开始的时候就禁用了Spring Security,计划到项目后期再专门开发。 但是,在调试的过程发现,Postman发出的请求后台无法正确接受处理,一直返回403错误。 除GET请求可正常访问外,POST,PUT,DELETE请求全部报403 Forbidden错误。 最初怀疑是代码有问题,检查无误后问题依然存在,最后只好使用Spring Boot自带的MockMVC测试框架来测试,所有的功能都可以正常响应,只是使用浏览器
SpringBoot 401 Unauthorized问题
qq_39323945的博客
02-22 1861
当我们使用了Spring-security 之后,Spring Security默认对所有路径进行权限认证,并且提供默认的登陆页面。如果系统最终没有使用到Spring Security,将该依赖移除即可解决问题;
SpringBoot 401 Unauthorized问题解决方案
热门推荐
最爱吃大米的博客
07-20 2万+
SpringBoot 401 Unauthorized问题 使用浏览器访问接口,自动跳转到的页面 @Api("用户信息管理") @RestController @RequestMapping("/test") public class TestController extends BaseController { private final static Map<Integer, UserEntity> users = new LinkedHashMap<Integer, User
用了SpringSecurity后怎么全是403Forbidden
weixin_43593829的博客
05-12 6808
前言 前段时间倒腾Spring Security,在实现了基于DB的权限认证之后,最终顺利的搭建了一个Spring Security项目,搭建起来第一件事先来一个用户管理列表,为后续功能开发做准备,前端页面开发完毕之后调用用户列表接口,却显示403Forbidden,刚开始以为是权限配置错误,仔细检查了N遍,配置没有错误,但是登录之后接口返回确实是403Forbidden权限不足,于是放开所有权限校验,所有请求无需校验权限,依旧403Forbidden,陷入对夜晚深深的思考~ 问题发现 确认问题肯定是由S
Nginx服务器403 forbidden的错误如何解决.docx
09-26
Nginx服务器403 forbidden的错误如何解决.docx
Spring Cloud出现Options Forbidden 403问题解决方法
08-28
本篇文章主要介绍了Spring Cloud出现Options Forbidden 403问题解决方法,具有一定的参考价值,有兴趣的可以了解一下
Nginx 出现 403 Forbidden 最终解决方法
09-30
给大家介绍了Nginx 出现 403 Forbidden 最终解决方法,下面分步骤给大家介绍的非常详细,感兴趣的的朋友一起看看吧
spring security+Oauth2密码模式认证时,报401,Unauthorized的问题排查
jll126的博客
10-22 1万+
第一种情况: 进行 /auth/token的post请求时,没有进行httpbasic认证。 什么是http Basic认证? http协议的一种认证方式,将客户端id和客户端密码按照“客户端ID:客户端密码”的格式拼接,并用base64编码,放在 header请求服务端。例子如下: Authorization:Basic ASDLKFALDSFAJSLDFKLASD= ASDLKFALDSFAJSLDFKLASD= 就是 客户端ID:客户端密码 的64编码 springsecurity的...
有关springboot Unauthorized 问题
m0_67402026的博客
04-28 1168
错误: 原因: springboot 默认的安全策略是开启的(management.security.enabled=true),所以会导致我们访问的时候没有权限,因此我们可以通过management.security.enabled=false,重新启动即可访问 问
spring security POST请求 报403 Forbidden
爱上编程2705
10-22 2803
spring security POST请求 报403 Forbidden Security配置代码: @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { /** * 配置不需要验证 * @param http * @throws Exception */ @Override protected
springsecurity配置登录接口匿名访问无效,出现403Forbidden
weixin_42260782的博客
01-13 6561
在复习springsecurity的时候,出现一个奇怪的现象,登录接口已经设置为匿名访问了,但是通过postman测试的时候,出现了403禁止访问的情况 security配置类已经关闭了csrf,并且/user/login已经设置为匿名访问: 后来发现,原来是我入参写错了,传进来的User对象,实体类里面的用户名称是userName,而不是username, 改为userName,正常登录 但是数据库里面的用户名字段是user_name,这个不匹配,难道不会出现Unknown column 的错误吗
java jar包如何运行或调用
最新发布
NLP与推荐算法
05-08 380
java服务启动
spring security 6 自定义权限过滤器
11-11
Spring Security 6自定义权限过滤器的步骤如下: 1.创建一个类并实现`org.springframework.web.filter.OncePerRequestFilter`接口。 2.覆盖`doFilterInternal`方法,该方法接收`HttpServletRequest`和`HttpServletResponse`对象作为参数,并在其编写自定义过滤器的逻辑。 3.使用`@Component`注释将自定义过滤器类标记为Spring组件。 4.在Spring Security配置类使用`http.addFilterBefore()`方法将自定义过滤器添加到过滤器链。 下面是一个示例代码,演示如何在Spring Security 6创建自定义权限过滤器: ```java import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; import org.springframework.stereotype.Component; import org.springframework.web.filter.OncePerRequestFilter; @Component public class CustomAuthorizationFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { // 在这里编写自定义过滤器的逻辑 // 检查用户是否有足够的权限访问请求的资源 // 如果没有权限,可以返回HTTP 403 Forbidden响应 // 如果有权限,可以继续处理请求 filterChain.doFilter(request, response); } } ``` 在Spring Security配置类添加以下代码: ```java import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter; @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomAuthorizationFilter customAuthorizationFilter; @Override protected void configure(HttpSecurity http) throws Exception { http.addFilterBefore(customAuthorizationFilter, UsernamePasswordAuthenticationFilter.class) .authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasRole("USER") .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic(); } } ``` 在上面的示例,我们创建了一个名为`CustomAuthorizationFilter`的自定义过滤器,并将其添加到Spring Security的过滤器链。在Spring Security配置类,我们使用`http.addFilterBefore()`方法将自定义过滤器添加到过滤器链,并使用`authorizeRequests()`方法配置了请求的授权规则。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

野生的狒狒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值