Spring Security 实战内容:自定义异常处理

最新推荐文章于 2024-04-07 21:34:15 发布
最新推荐文章于 2024-04-07 21:34:15 发布
阅读量1k 收藏 6
点赞数 2
文章标签: java 程序人生 struts spring 学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/V539413949/article/details/124179083
版权

在这里插入图片描述

1. 前言

今天正好项目中 Spring Security 需要对认证授权异常的处理,就分享出来吧 。

2. Spring Security 中的异常

Spring Security 中的异常主要分为两大类:一类是认证异常,另一类是授权相关的异常。

2.1 AuthenticationException

AuthenticationException 是在用户认证的时候出现错误时抛出的异常。主要的子类如图:

[图片上传失败...(image-cc6182-1649933938789)]

根据该图的信息,系统用户不存在,被锁定,凭证失效,密码错误等认证过程中出现的异常都由 AuthenticationException 处理。

2.2 AccessDeniedException

AccessDeniedException 主要是在用户在访问受保护资源时被拒绝而抛出的异常。同 AuthenticationException 一样它也提供了一些具体的子类。如下图:

[图片上传失败...(image-f8a717-1649933938789)]

AccessDeniedException 的子类比较少,主要是 CSRF 相关的异常和授权服务异常。

3. Http 状态对认证授权的规定

Http 协议对认证授权的响应结果也有规定。

3.1 401 未授权状态

HTTP 401 错误 - 未授权(Unauthorized) 一般来说该错误消息表明您首先需要登录(输入有效的用户名和密码)。 如果你刚刚输入这些信息,立刻就看到一个 401 错误,就意味着,无论出于何种原因您的用户名和密码其中之一或两者都无效(输入有误,用户名暂时停用,账户被锁定,凭证失效等) 。总之就是认证失败了。其实正好对应我们上面的 AuthenticationException

3.2 403 被拒绝状态

HTTP 403 错误 - 被禁止(Forbidden) 出现该错误表明您在访问受限资源时没有得到许可。服务器理解了本次请求但是拒绝执行该任务,该请求不该重发给服务器。并且服务器想让客户端知道为什么没有权限访问特定的资源,服务器应该在返回的信息中描述拒绝的理由。一般实践中我们会比较模糊的表明原因。 该错误对应了我们上面的 AccessDeniedException

4. Spring Security 中的异常处理

我们在 Spring Security 提到 HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口:

  • AuthenticationEntryPoint 该类用来统一处理 AuthenticationException 异常
  • AccessDeniedHandler 该类用来统一处理 AccessDeniedException 异常

我们只要实现并配置这两个异常处理类即可实现对 Spring Security 认证授权相关的异常进行统一的自定义处理。

4.1 实现 AuthenticationEntryPoint

json 信息响应。

 import com.fasterxml.jackson.databind.ObjectMapper;
 import org.springframework.http.MediaType;
 import org.springframework.security.core.AuthenticationException;
 import org.springframework.security.web.AuthenticationEntryPoint;

 import javax.servlet.ServletException;
 import javax.servlet.http.HttpServletRequest;
 import javax.servlet.http.HttpServletResponse;
 import java.io.IOException;
 import java.io.PrintWriter;
 import java.util.HashMap;

 /**
  */
 public class SimpleAuthenticationEntryPoint implements AuthenticationEntryPoint {
     @Override
     public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {

         //todo your business
         HashMap<String, String> map = new HashMap<>(2);
         map.put("uri", request.getRequestURI());
         map.put("msg", "认证失败");
         response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
         response.setCharacterEncoding("utf-8");
         response.setContentType(MediaType.APPLICATION_JSON_VALUE);
         ObjectMapper objectMapper = new ObjectMapper();
         String resBody = objectMapper.writeValueAsString(map);
         PrintWriter printWriter = response.getWriter();
         printWriter.print(resBody);
         printWriter.flush();
         printWriter.close();
     }
 }

4.2 实现 AccessDeniedHandler

同样以 json 信息响应。

 import com.fasterxml.jackson.databind.ObjectMapper;
 import org.springframework.http.MediaType;
 import org.springframework.security.access.AccessDeniedException;
 import org.springframework.security.web.access.AccessDeniedHandler;

 import javax.servlet.ServletException;
 import javax.servlet.http.HttpServletRequest;
 import javax.servlet.http.HttpServletResponse;
 import java.io.IOException;
 import java.io.PrintWriter;
 import java.util.HashMap;

 /**
  */
 public class SimpleAccessDeniedHandler implements AccessDeniedHandler {
     @Override
     public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
         //todo your business
         HashMap<String, String> map = new HashMap<>(2);
         map.put("uri", request.getRequestURI());
         map.put("msg", "认证失败");
         response.setStatus(HttpServletResponse.SC_FORBIDDEN);
         response.setCharacterEncoding("utf-8");
         response.setContentType(MediaType.APPLICATION_JSON_VALUE);
         ObjectMapper objectMapper = new ObjectMapper();
         String resBody = objectMapper.writeValueAsString(map);
         PrintWriter printWriter = response.getWriter();
         printWriter.print(resBody);
         printWriter.flush();
         printWriter.close();
     }
 }

4.3 个人实践建议

其实我个人建议 Http 状态码 都返回 200 而将 401 状态在 元信息 Map 中返回。因为异常状态码在浏览器端会以 error 显示。我们只要能捕捉到 401403 就能认定是认证问题还是授权问题。

4.4 配置

实现了上述两个接口后,我们只需要在 WebSecurityConfigurerAdapterconfigure(HttpSecurity http) 方法中配置即可。相关的配置片段如下:

 http.exceptionHandling().accessDeniedHandler(new SimpleAccessDeniedHandler()).authenticationEntryPoint(new SimpleAuthenticationEntryPoint())

5. 总结

今天我们对 Spring Security 中的异常处理进行了讲解。分别实现了自定义的认证异常处理和自定义的授权异常处理。

愿与诸君共进步,大量的面试题及答案还有资深架构师录制的视频录像:有Spring,MyBatis,Netty源码分析,高并发、高性能、分布式、微服务架构的原理,JVM性能优化、分布式架构等这些成为架构师必备的知识体系
可以进交流群539413949获取,最后祝大家都能拿到自己心仪的offer

Lydia Bess
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
定义Spring Security的身份验证失败处理方法
08-25
在本篇文章里小编给大家整理了一篇关于自定义Spring Security的身份验证失败的处理方法,有需要的朋友们学习下。
Spring Security 实战干货:自定义异常处理
码农小胖哥
11-07 2624
1. 前言 最近实在比较忙,很难抽出时间来继续更 Spring Security 实战干货系列。今天正好项目中 Spring Security 需要对认证授权异常处理,就分享出来吧 。 2. Spring Security 中的异常 Spring Security 中的异常主要分为两大类:一类是认证异常,另一类是授权相关的异常。 2.1 AuthenticationException Auth...
Spring Security——08,自定义失败处理
最新发布
weixin_42858422的博客
04-07 448
一、自定义实现类1.1 实现AccessDeniedHandler1.2 实现AuthenticationEntryPoint二、配置SpringSecurity三、测试3.1 认证失败3.2 权限不足一键三连有没有捏~~我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity异常处理机制。
Spring Security定义异常处理
zongzhibin117的博客
09-15 520
http.exceptionHandling().authenticationEntryPoint( new AuthenticationEntryPoint() ).
SpringSecurity定义异常处理
热门推荐
Twilight blog
09-01 1万+
以下为SpringSecurity默认自带的异常处理机制 两个重要的异常类 1. AccessDeniedException 该异常实现了很多子类。子类都是涉及到权限校验问题的。 2. AuthenticationEntryPoint 同样该异常类也实现了很多子类。springSecurity异常划分的很细。概括来说都是身份校验问题。 自定异常处理类 public class My...
java中自定义Spring Security权限控制管理示例(实战篇)
08-31
本篇文章主要介绍了java中自定义Spring Security权限控制管理示例(实战篇) ,具有一定的参考价值,感兴趣的小伙伴们可以参考一下。
spring-boot-demo:Spring Boot和Spring Cloud和Spring Security演示案例(Spring学习示例实战项目)
01-29
SpringBoot + SpringCloud + SpringSecurity学习过程中的二进制汇总,沉淀记录下学习历程 1.知识点图谱 所有博文集中发布在个人博客网站: 大致规划的内容包括以下章节,希望能用半年到一年(严重超期)的时间完成....
基于SpringBoot3.1SpringSecurity6.1Mybatis-Plus等框架,开发的一套企业级低代码开发平台
10-14
采用SpringBoot3.1、SpringSecurity6.1、Mybatis-Plus等框架,开发的一套企业级低代码开发平台,使用门槛极低,且采用MIT开源协议,完全免费开源,可免费用于商业项目等场景,采用组件模式,扩展不同的业务功能,...
spring-boot-study:SpringBoot框架源码实战(已更新到springboot2版本实现)〜基本用法,Rest,Controller,事件监听,连接数据库MySQL,jpa,redis集成,mybatis集成(声明式与xml两种方式〜对应的添删查改功能),日志处理,devtools配置,拦截器用法,资源配置读取,测试集成,网络层实现请求映射,安全安全验证,rabbitMq集成,kafka集成,分布式id生成器等。实战:https:github.comhemin1003yfax-pare
01-29
springboot学习实战 全新内容 新增全新的springboot2的框架技术点(代码位于当前仓库的spring-boot2-study目录下) 基于springboot 2.0.6.RELEASE版本实现的代码演示集合,欢迎使用star / fork 新子项目列表 介绍...
xmljava系统源码-spring-boot-demo:springbootdemo是一个用来深度学习并实战springboot的项目,该项
06-06
Security(实现动态权限的实现||Spring Cloud Security OAuth2)、websocket(服务端向客户端推送消息)。 开发计划 网上部分项目demo太过基本,只适合平时学习demo,无法实际用到生产环境中。故开出次项目,希
拒绝访问异常处理(AccessDeniedException)_spring security例子
09-23
拒绝访问异常处理(AccessDeniedException)_spring security例子 博客:blog.csdn.net/dsundsun
定义处理springboot异常的四种方式
12-25
当后台程序中抛出异常时,springboot默认将错误交由/error地址处理处理方式可到org.springframework.boot.autoconfigure.web.servlet.error.BasicErrorController中查看。 通过现象可以发现springboot的处理方式很简单,只是单纯的跳转到一个错误界面而该错误界面仅面向开发人员,对于用户来说是非常不友好的。所以我们需要将其进行跳转到有意义的界面进行异常提示。 下载包中包含了四种不同的异常处理方式,大家可下载下来共同学习讨论一下。
5.Spring Security定义异常
Z17839935459的博客
06-23 622
Spring Security中的异常主要分为两大类:一类是认证异常,另一类是授权相关的异常 说的通俗点: 一个是你去买票,你要提供身份证信息,才能买(也就是认证),一个是买到了票,你根据你的座位入座,否则不能入座(也就是权限) 对应到浏览器报的错误:前者是401,后者是403 代码我们去实现的话,思路就很明了了,我们只需要实现两个类,一个去捕获登陆时发生的错误,一个去捕获权限认证时发生的错误,再把两个类加到登陆配置类 里面就好了。 登陆异常捕获类 public class Simpl...
Spring Security定义认证异常和授权异常
程序三两行
07-27 3674
Spring security中默认提供的异常处理器不一定满足项目的需求,那这时一般都会在Spring Security 的 自定义配置类( WebSecurityConfigurerAdapter )中使用HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。AuthenticationEntryPoint 该类用来统一处理 AuthenticationException 异常
SpringSecurity定义响应异常信息
qq_29860591的博客
08-23 1295
SpringSecurity定义响应异常信息 此处的异常信息设置的话,其中还是有坑的,比如你想自定义token过期信息,无效token这些,如果按照SpringSecurity的设置是不会生效的,需要加到资源的配置中。 如果只是SpringSecurity的话,只需要实现AccessDeniedHandler和AuthenticationEntryPoint这2个接口就可以了。他们都是在Exc...
Spring Security(七):自定义异常
Shair911的博客
02-09 1329
TODO
SpringSecurity根据自定义异常返回登录错误提示信息
梦里花落知多少的博客
08-15 1024
SpringSecurity登录失败处理
springsecurity登录怎么抛自定义异常
04-02
Spring Security中,可以通过自定义异常处理登录过程中的异常情况。以下是实现自定义异常的步骤: 1. 创建一个自定义异常类,继承自`AuthenticationException`或其子类。例如,可以创建一个名为`CustomAuthenticationException`的异常类。 ```java public class CustomAuthenticationException extends AuthenticationException { public CustomAuthenticationException(String msg) { super(msg); } } ``` 2. 创建一个自定义的认证提供者(AuthenticationProvider)或认证过滤器(AuthenticationFilter)。 - 如果你选择创建认证提供者,需要实现`AuthenticationProvider`接口,并在`authenticate()`方法中抛出自定义异常。 ```java public class CustomAuthenticationProvider implements AuthenticationProvider { @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { // 自定义认证逻辑 if (认证失败) { throw new CustomAuthenticationException("自定义异常信息"); } // 认证成功则返回一个认证对象 return new UsernamePasswordAuthenticationToken(authentication.getPrincipal(), authentication.getCredentials(), authentication.getAuthorities()); } @Override public boolean supports(Class<?> authentication) { return authentication.equals(UsernamePasswordAuthenticationToken.class); } } ``` - 如果你选择创建认证过滤器,需要继承`AbstractAuthenticationProcessingFilter`类,并在`attemptAuthentication()`方法中抛出自定义异常。 ```java public class CustomAuthenticationFilter extends AbstractAuthenticationProcessingFilter { public CustomAuthenticationFilter() { super(new AntPathRequestMatcher("/login", "POST")); } @Override public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException { // 自定义认证逻辑 if (认证失败) { throw new CustomAuthenticationException("自定义异常信息"); } // 认证成功则返回一个认证对象 return getAuthenticationManager().authenticate(new UsernamePasswordAuthenticationToken(username, password)); } } ``` 3. 在Spring Security配置类中,将自定义的认证提供者或认证过滤器添加到认证流程中。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomAuthenticationProvider customAuthenticationProvider; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(customAuthenticationProvider); } } ``` 这样,当登录过程中发生自定义异常时,Spring Security会捕获并处理异常,你可以在登录失败的处理逻辑中进行相应的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值