Spring Security Web应用中用户访问自己无权访问的资源时发生了什么?

最新推荐文章于 2023-04-12 15:32:42 发布
最新推荐文章于 2023-04-12 15:32:42 发布
阅读量1.5k 收藏 1
点赞数
分类专栏: Java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/andy_zhang2007/article/details/81486401
版权
spring 同时被 2 个专栏收录
115 篇文章 26 订阅
订阅专栏
Java
26 篇文章 3 订阅
订阅专栏

在应用Spring Security的Web应用中,假定全部采用缺省配置,如果用户已经登录(且未超时过期),但试图访问一个自己没有权限的HTTP资源,此时:

  • Spring Security会抛出一个异常AccessDeniedException;
    • AccessDecisionManager的实现类AffirmativeBased在判断出访问应该被拒绝时抛出该异常;
  • ExceptionTranslationFilter过滤器会调用其属性accessDeniedHandler对象(类型为AccessDeniedHandler)的方法handle来处理这种情况;
    • 缺省情况下,这里属性对象accessDeniedHandler的实现类是AccessDeniedHandlerImpl
  • accessDeniedHandler.handle方法会返回HTTP 403 给用户浏览器;
    • 并且如果属性accessDeniedHandler对象上指定了属性errorPage(错误页面URL)的话,服务器会同时将浏览器forward到该错误页面URL(注意这里是forward而不是redirect)

这种情况如果开发人员想做定制处理,可以实现自己的AccessDeniedHandler

安迪源文
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurityWeb应用和指纹登录实践
02-24
Java开发人员在解决Web应用安全相关的问题,通常会采用两个非常流行的安全框架,Shiro和SpringSecurity。Shiro配置简单,上手快,满足一般应用的安全需求,但是功能相对单一。SpringSecurity安全粒度细,与Spring...
Spring security自定义403页面(没有权限跳转自定义页面)
godkzz的博客
08-31 1492
在configure(HttpSecurity http)方法加入 http.exceptionHandling().accessDeniedPage("/error.html");//配置没有权限访问跳转的自定义页面 整体方法如下 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService user
Spring——Security安全框架之没有权限访问处理
专注写bug
02-23 6713
文章目录前言本篇博客做的内容项目创建环境、配置等增加未认证跳转页面配置类增加无权访问页面跳转配置请求测试前后分离配置先创建无权监测类修改配置类测试代码下载 前言 前面的博客,针对基于内存、基于数据库的方式实现了用户的校验操作。 同也对于基于内存、针对部分请求设定访问权限的操作,也做了大致的配置和测试展示。 本篇博客做的内容 自定义403 无权访问的页面; 以及前后分离 403的提示。 项目创建 springboot-security-07。 环境、配置等 参照springboot-security-0
spring security oauth2 资源服务/客户端无法正确获取权限
路过君的博客
08-05 8104
异常现象 当资源服务使用token-info-uri校验token无法获取全部的授权权限,只能获取其一个权限,使用user-info-uri则可以获取全部的授权权限 spring security 版本2.3.8 资源服务配置 security: oauth2: client: client-id: client1 client-secret: client1pwd access-token-uri: 'http://localhost:11000/oau
Spring Security 403统一返回,(匿名或已认证)的用户访问无权资源的403异常
yuguang的博客
10-14 4037
1、匿名用户访问某个接口 /** * @author yuguang * @date 2020/10/14 13:08 * @desc 403 forbidden处理 * 用来解决匿名用户访问无权资源的异常 */ @Component class MyAuthenticationEntryPoint implements AuthenticationEntryPoint { @Override public void commence(HttpServletReq...
博客使用方法
justwaityou1314的博客
06-09 1507
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
【解决】分析SpringSecurity访问请求权限不足AccessDeniedException问题
sunao1106的博客
08-13 5961
> 该方法首先调用了`this.obtainSecurityMetadataSource().getAttributes(object)`方法,通过当前请求路径获取到**访问该请求所需要的权限**(object是上一步调用传过来的参数,封装了我们请求路径的一些信息)。.........
SpringSecurity静态资源放行,登陆页面配置,权限访问控制,自定义403
hd_cash的博客
05-13 9651
1:静态资源和无需权限页面放行 如果是static下的静态资源或者无需验证身份即可访问的页面,可以通过在SpringSecurity的配置类配置放行: @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() //无需认证的为static下的静态资源,以及/index请求 .antMa
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
spring security http无权访问 页面跳转(求助)
sdafasdfsadfsadf的博客
07-25 2773
最近在做spring-security权限控制,http里配置intercept-url进行权限控制的候,当用户无权访问该页面的候显示空白页,我想跳转到指定页面,在网上找了一下都说是配置access-denied-page即可跳转到指定页面,可我按此方法还是显示空白页,那位大侠用过此框架的,希望站出来说两句。在此万分感谢。。。,代码如下: <?xml version="1.0" e...
使用SpringSecurity保护Web应用的安全
03-03
SpringSecurity为使用Spring框架的Web应用提供了良好的支持。本文将详细介绍如何使用SpringSecurity框架为Web应用提供安全支持。在Web应用开发,安全一直是非常重要的一个方面。安全虽然属于应用的非功能性需求,...
spring-security-web-5.2.0.RELEASE-API文档-文版.zip
07-13
赠送jar包:spring-security-web-5.2.0.RELEASE.jar; 赠送原API文档:spring-security-web-5.2.0.RELEASE-javadoc.jar; 赠送源代码:spring-security-web-5.2.0.RELEASE-sources.jar; 赠送Maven依赖信息文件:...
Spring Security Oauth2 无法访问资源服务接口问题分析
oPeiJie1的博客
04-12 1408
在搭建认证服务器,完成Spring Security Oauth2的四种模式的获取token的测试后,预示着我们已经将认证服务器搭建成功,紧接着我们搭建了一个用于测试的资源服务。相关的配置和测试接口如下。
使用Spring Security 限制URL访问
热门推荐
neweastsun的专栏
02-13 2万+
使用Spring Security 限制URL访问 通常保护url方式有以下几种: 允许每个人访问的url 基于角色保护url 基于多个角色保护url 基于IP地址保护url 本文介绍如何通过spring security 实现这些功能。 指定URL 指定url最常用的方法是通过antMatcher,如果我们想保护下列url: url 访问限制 http...
spring security登陆认证成功后无法控制权限
正在看的博客
09-01 3301
刚接触spring security不久便遇到成功登陆但是无法控制权限的问题,一直找资料都没找到原因,之后才发现是个小坑。。 我们在定义角色表的候要在角色的前面加上 ROLE_ 前缀 不然security会认为这是权限, 或者在获取数据库角色的候加上 “ROLE_”+数据库的角色名(例如:ADMIN)。...
KeyStore 和 TrustStore
Details Inside Spring
12-14 1万+
简介 KeyStore 和 TrustStore是JSSE使用的两种文件。这两种文件都使用java的keytool来管理,他们的不同主要在于用途和相应用途决定的内容的不同。 这两种文件在一个SSL认证场景,KeyStore用于服务器认证服务端,而TrustStore用于客户端认证服务器。 比如在客户端(服务请求方)对服务器(服务提供方)发起一次HTTPS请求,服务器需要向客户端提...
如何配置Spring Security访问权限?
最新发布
04-17
配置Spring Security访问权限可以通过以下步骤实现: 1. 添加Spring Security依赖:在项目的pom.xml文件添加Spring Security的依赖项。 2. 创建Security配置类:创建一个继承自WebSecurityConfigurerAdapter的配置类,并使用@EnableWebSecurity注解标记。 3. 配置认证信息:在配置类重写configure(AuthenticationManagerBuilder auth)方法,通过auth对象配置用户的认证信息。可以使用内存用户、数据库用户或自定义的用户认证服务。 4. 配置访问权限:在配置类重写configure(HttpSecurity http)方法,通过http对象配置URL的访问权限。可以设置哪些URL需要认证,哪些URL不需要认证,以及不同角色的用户可以访问哪些URL。 5. 配置登录页面:如果需要自定义登录页面,可以在配置类重写configure(HttpSecurity http)方法,通过http对象配置登录页面的URL和相关参数。 6. 配置注销功能:如果需要支持用户注销功能,可以在配置类重写configure(HttpSecurity http)方法,通过http对象配置注销功能的URL和相关参数。 7. 配置跨域资源共享(CORS):如果需要支持跨域访问,可以在配置类重写configure(HttpSecurity http)方法,通过http对象配置CORS相关参数。 8. 配置其他安全特性:根据需求,可以在配置类重写configure(HttpSecurity http)方法,通过http对象配置其他安全特性,如CSRF保护、HTTP方法的安全性等。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值