Spring Security3源码分析(15)-ExceptionTranslationFilter分析

最新推荐文章于 2023-05-28 17:03:19 发布
最新推荐文章于 2023-05-28 17:03:19 发布
阅读量2.9k 收藏 1
点赞数
分类专栏: Spring-Security 文章标签: ExceptionTranslation
ExceptionTranslationFilter过滤器对应的类路径为 
org.springframework.security.web.access.ExceptionTranslationFilter 
从类名就看出这个过滤器用于异常翻译的。但是从这个过滤器在filterchain中的位置来看,它仅仅处于倒数第三的位置(这个filter后面分为是FilterSecurityInterceptor、SwitchUserFilter),所以ExceptionTranslationFilter只能捕获到后面两个过滤器所抛出的异常。 
这里需要强调一下,spring security中的异常类基本上都继承RuntimeException。 

接着看ExceptionTranslationFilter执行过程 
Java代码   收藏代码
  1. //doFilter拦截到请求时,不做处理。仅仅处理后面filter所抛出的异常  
  2. public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)  
  3.         throws IOException, ServletException {  
  4.     HttpServletRequest request = (HttpServletRequest) req;  
  5.     HttpServletResponse response = (HttpServletResponse) res;  
  6.   
  7.     try {  
  8.         chain.doFilter(request, response);  
  9.     }  
  10.     catch (IOException ex) {  
  11.         throw ex;  
  12.     }  
  13.     catch (Exception ex) {  
  14.         //这里主要是从异常堆栈中提取SpringSecurityException  
  15.         Throwable[] causeChain = throwableAnalyzer.determineCauseChain(ex);  
  16.         RuntimeException ase = (AuthenticationException)  
  17.                 throwableAnalyzer.getFirstThrowableOfType(AuthenticationException.class, causeChain);  
  18.   
  19.         if (ase == null) {  
  20.             ase = (AccessDeniedException)throwableAnalyzer.getFirstThrowableOfType(AccessDeniedException.class, causeChain);  
  21.         }  
  22.         //如果提取到安全异常,则进行处理  
  23.         if (ase != null) {  
  24.             handleException(request, response, chain, ase);  
  25.         } else {  
  26.             //没有安全异常,继续抛出  
  27.             // Rethrow ServletExceptions and RuntimeExceptions as-is  
  28.             if (ex instanceof ServletException) {  
  29.                 throw (ServletException) ex;  
  30.             }  
  31.             else if (ex instanceof RuntimeException) {  
  32.                 throw (RuntimeException) ex;  
  33.             }  
  34.             throw new RuntimeException(ex);  
  35.         }  
  36.     }  
  37. }  
  38. //处理安全异常  
  39. private void handleException(HttpServletRequest request, HttpServletResponse response, FilterChain chain,  
  40.         RuntimeException exception) throws IOException, ServletException {  
  41.     //如果是认证异常,由sendStartAuthentication处理  
  42.     if (exception instanceof AuthenticationException) {  
  43.         sendStartAuthentication(request, response, chain, (AuthenticationException) exception);  
  44.     }  
  45.     //如果是访问拒绝异常,由访问拒绝处理类的handle处理  
  46.     else if (exception instanceof AccessDeniedException) {  
  47.         if (authenticationTrustResolver.isAnonymous(SecurityContextHolder.getContext().getAuthentication())) {  
  48.             sendStartAuthentication(request, response, chain, new InsufficientAuthenticationException(  
  49.                     "Full authentication is required to access this resource"));  
  50.         }  
  51.         else {  
  52.             accessDeniedHandler.handle(request, response, (AccessDeniedException) exception);  
  53.         }  
  54.     }  
  55. }  

先分析如何处理认证异常 
Java代码   收藏代码
  1. //处理认证异常  
  2. protected void sendStartAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,  
  3.         AuthenticationException reason) throws ServletException, IOException {  
  4.     // SEC-112: Clear the SecurityContextHolder's Authentication, as the  
  5.     // existing Authentication is no longer considered valid  
  6.     //首先把SecurityContext中的认证实体置空  
  7.     SecurityContextHolder.getContext().setAuthentication(null);  
  8.     //通过cache保存当前的请求信息(分析RequestCacheAwareFilter时再深入)  
  9.     requestCache.saveRequest(request, response);  
  10.     logger.debug("Calling Authentication entry point.");  
  11.     //由认证入口点开始处理  
  12.     authenticationEntryPoint.commence(request, response, reason);  
  13. }  

这里补充一下 
authenticationEntryPoint是由配置http标签时,通过什么认证入口来决定注入相应的入口点bean的。请看下面的对应关系列表 
form-login认证:LoginUrlAuthenticationEntryPoint 
http-basic认证:BasicAuthenticationEntryPoint 
openid-login认证:LoginUrlAuthenticationEntryPoint 
x509认证:Http403ForbiddenEntryPoint 

就不一一分析每个EntryPoint了,着重看一下LoginUrlAuthenticationEntryPoint 
Java代码   收藏代码
  1. //主要目的是完成跳转任务  
  2.  //创建该bean时,只注入了loginFormUrl属性,其他类变量均为默认值  
  3. public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException)  
  4.         throws IOException, ServletException {  
  5.     HttpServletRequest httpRequest = (HttpServletRequest) request;  
  6.     HttpServletResponse httpResponse = (HttpServletResponse) response;  
  7.   
  8.     String redirectUrl = null;  
  9.     //默认为false  
  10.     if (useForward) {  
  11.         if (forceHttps && "http".equals(request.getScheme())) {  
  12.             redirectUrl = buildHttpsRedirectUrlForRequest(httpRequest);  
  13.         }  
  14.   
  15.         if (redirectUrl == null) {  
  16.             String loginForm = determineUrlToUseForThisRequest(httpRequest, httpResponse, authException);  
  17.             RequestDispatcher dispatcher = httpRequest.getRequestDispatcher(loginForm);  
  18.             dispatcher.forward(request, response);  
  19.             return;  
  20.         }  
  21.     } else {  
  22.         //返回的url为loginFormUrl配置的值,如果未配置,跳转到默认登录页面/spring_security_login  
  23.         redirectUrl = buildRedirectUrlToLoginPage(httpRequest, httpResponse, authException);  
  24.   
  25.     }  
  26.     redirectStrategy.sendRedirect(httpRequest, httpResponse, redirectUrl);  
  27. }  


接着分析访问拒绝类异常的处理过程,看AccessDeniedHandlerImpl的handle方法 
Java代码   收藏代码
  1. public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException)  
  2.         throws IOException, ServletException {  
  3.     if (!response.isCommitted()) {  
  4.         //如果配置了access-denied-page属性,跳转到指定的url  
  5.         if (errorPage != null) {  
  6.             // Put exception into request scope (perhaps of use to a view)  
  7.             request.setAttribute(SPRING_SECURITY_ACCESS_DENIED_EXCEPTION_KEY, accessDeniedException);  
  8.   
  9.             // Set the 403 status code.  
  10.             response.setStatus(HttpServletResponse.SC_FORBIDDEN);  
  11.   
  12.             // forward to error page.  
  13.             RequestDispatcher dispatcher = request.getRequestDispatcher(errorPage);  
  14.             dispatcher.forward(request, response);  
  15.         //如果没有配置,则直接响应403禁止访问的错误信息到浏览器端  
  16.         } else {  
  17.             response.sendError(HttpServletResponse.SC_FORBIDDEN, accessDeniedException.getMessage());  
  18.         }  
  19.     }  
  20. }  


通过以上分析,可以大体上认识到ExceptionTranslationFilter主要拦截两类安全异常:认证异常、访问拒绝异常。而且仅仅是捕获FilterSecurityInterceptor、SwitchUserFilter以及自定义拦截器的异常。所以在自定义拦截器时,需要注意在链中的顺序。 

在上面分析过程中,有requestCache.saveRequest(request, response);的语句,具体requestCache的用途下篇分析。

Benjamin_whx
关注
专栏目录
[12] ExceptionTranslationFilter
既无风雨也无晴
03-16 2万+
ExceptionTranslationFilter 介绍 Spring Security的异常处理不能像常规Spring MVC或者Spring Boot那样进行统一异常处理,而是在过滤器上进行了层层拦截,代码阅读起来也有些费劲。而该Filter是用于处理Spring Security部分异常的,开发者可以自定义accessDeniedHandler和authenticationEntryPo...
SpringSecurity源码分析-未登录下如何进行拦截与转发
u011439259的博客
09-16 1173
前言 基于SpringSecurity 5.1.6.RELEASE进行登录认证源码分析 1、引入库 <dependency> <groupId>org.springframework.cloud</groupId> <artifactId>spring-cloud-starter-security</artifactId> <version>2.1.3.RELEASE</version> </..
Spring Security3源码分析-ExceptionTranslationFilter分析
Dead_Knight的专栏
05-09 219
ExceptionTranslationFilter过滤器对应的类路径为 org.springframework.security.web.access.ExceptionTranslationFilter 从类名就看出这个过滤器用于异常翻译的。但是从这个过滤器在filterchain中的位置来看,它仅仅处于倒数第三的位置(这个filter后面分为是FilterSecurityIntercep...
Spring SecurityExceptionTranslationFilter
多看多听多总结
08-07 618
Spring SecurityExceptionTranslationFilter
SpringSecurity过滤器ExceptionTranslationFilter
clyu的博客
01-03 822
1、ExceptionTranslationFilter ExceptionTranslationFilter异常转换器位于整个springSecurityFilterChain的后方 ,用来转换整个链路中出现的异常。此过滤器本身不处理异常。而是将认证过程中出现的异常交给 内部维护的一些类去处理,一般处理两大异常:AccessDeniedException授权异常和 AuthenticationException认证异常 public class ExceptionTranslationFilter ext
SpringsecurityExceptionTranslationFilter
weixin_33976072的博客
11-11 1225
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringBoot_SpringSecurity-源码.rar
10-10
SpringBoot_SpringSecurity-源码.zip 这个压缩包文件主要包含了SpringBoot集成SpringSecurity源码分析SpringBoot是Java开发中一个流行的轻量级框架,它简化了配置和应用部署,使得开发者可以快速搭建应用程序。...
spring security源码分析.pdf
07-11
### Spring Security 源码分析知识...以上内容涵盖了 Spring Security 3 的源码分析中几个关键点的具体内容。通过对这些内容的深入学习和理解,可以更好地掌握 Spring Security 的工作原理及其在实际项目中的应用技巧。
Spring Security源码分析二:Spring Security授权过程
郑龙飞
01-05 8093
前言本文是接上一章Spring Security源码分析一:Spring Security认证过程进一步分析Spring Security用户名密码登录授权是如何实现得;类图调试过程使用debug方式启动https://github.com/longfeizheng/logback该项目,浏览器输入http://localhost:8080/persons,用户名随意,密码123456即可;源码分析
spring-security3.1源码
02-28
3. **Filter安全链**:Spring SecurityWeb安全功能主要通过一系列过滤器实现,这些过滤器构成了安全链。其中关键的过滤器有`DelegatingFilterProxy`、`ChannelProcessingFilter`、`...
org.springframework.security.access.AccessDeniedException: 不允许访问
louis_lee7812的专栏
10-22 8451
org.springframework.security.access.AccessDeniedException: 不允许访问。原因是:@PreAuthorize 注解的异常,抛出AccessDeniedException异常,不会被accessDeniedHandler捕获,而是会被全局异常捕获。
ExceptionTranslationFilter详解
小汤圆
08-11 1617
ExceptionTranslationFilter异常转换过滤器位于整个springSecurityFilterChain的后方,用来转换整个链路中出现的异常,将其转化,顾名思义,转化以意味本身并不处理。一般其只处理两大类异常:AccessDeniedException访问异常和AuthenticationException认证异常。 这个过滤器非常重要,因为它将Java中的异常和HTTP的响应连接在了一起,这样在处理异常时,我们不用考虑密码错误该跳到什么页面,账号锁定该如何,只需要关注自己的业务逻辑,抛
spring security异常记录:org.springframework.security.access.AccessDeniedException: Access is denied
热门推荐
qq_56769991的博客
02-11 2万+
最近在做ssm项目的时候用到spring security时遇到了异常,如下所示: 15:06:28,144 DEBUG FilterSecurityInterceptor:348 - Previously Authenticated: org.springframework.security.authentication.AnonymousAuthenticationToken@52dd6d71: Principal: anonymousUser; Credentials: [PROTECTED]; .
org.springframework.security.access.AccessDeniedException: Access is denied异常
qq_33014331的博客
06-02 1055
在搭建spring oauth2.0 授权码模式demo时,使用code获取token时,一直提示这个错误,后来发现是因为配置问题: [DEBUG] ExceptionTranslationFilter - Access is denied (user is anonymous); redirecting to authentication entry point <org.springframework.security.access.AccessDeniedException: Access is
史上最简单的Spring Security教程(三十九):ExceptionTranslationFilter自动化配置及其简介
银河架构师的博客
10-31 1543
前面我们讲了Spring Security框架中承载着承上启下的作用的 FilterExceptionTranslationFilter。其中,当后续 Filter 发生 AuthenticationException 异常,或者是 AccessDeniedException 异常且此时为未登录状态或者是记住我状态,则调用 AuthenticationEntryPoint 来处理。 一般情况下,如无特殊需求,我们不会对 Spring Security 的异常处理做什么配置,那么系统又是如何自动...
SpringSecurity - 启动流程分析(十二)- ExceptionTranslationFilter 过滤器
业精于勤荒于嬉
09-13 480
SpringSecurity - ExceptionTranslationFilter 过滤器
史上最简单的Spring Security教程(三十八):ExceptionTranslationFilter详解
银河架构师的博客
10-24 1414
这是Spring Security框架FilterChain中倒数第二个 Filter,承载着承上启下的作用。还记得 FilterSecurityInterceptor 吗?史上最简单的Spring Security教程(十六):FilterSecurityInterceptor详解。 如当用户未登录时抛出的 AccessDeniedException 异常、或者其它 AuthenticationException 异常。此时,系统会跳转到固定的页面,如 403 页面、或者执行其它操作。 ...
SpringSecurity安全框架通俗详解与使用示例
最新发布
某位奇思妙想的IT人员
05-28 3623
有关Spring Security的原理介绍和使用详解,结合相关实例进行解释,通俗易懂。
Spring Security拦截器加载流程分析--练气中期
qq_43788185的博客
09-05 622
写在前面 上回我们讲了spring security整合spring springmvc的流程,并且知道了spring security是通过过滤器链来进行认证授权操作的。今天我们来分析一下springsecurity过滤器链的加载流程。读者在阅读本文时可以边阅读边跟着操作,这样子会理解的更清楚一些。 Spring Security过滤器链 spring security的过滤器非常多,这里简单介绍几个常用的过滤器。 spring security常过滤器链介绍 org.springframework.se
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值