spring-security(十九)核心Filter-ExceptionTranslationFilter

最新推荐文章于 2023-09-21 11:44:10 发布
最新推荐文章于 2023-09-21 11:44:10 发布
阅读量1.3k 收藏
点赞数
分类专栏: spring security 文章标签: spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fengyilin_henu/article/details/84916729
版权
ExceptionTranslationFilter是Spring Security的重要过滤器,它处理FilterSecurityInterceptor抛出的异常,如AuthenticationException和AccessDeniedException。当遇到这些异常时,它会进行重定向或返回合适的HTTP响应。过滤器主要涉及AuthenticationEntryPoint、AccessDeniedHandler、RequestCache等组件,用于处理重新认证、访问拒绝等情况。在Spring Boot环境中,这个过滤器是通过Java Config机制追加到Servlet中,参与到请求拦截过程。
摘要由CSDN通过智能技术生成
前言:
在spring的安全过滤器链中ExceptionTranslationFilter在FilterSecurityInterceptor的前面,这个过滤器自身并不执行具体的安全防护,他主要处理FilterSecurityInterceptor这个过滤器抛出的各种异常,并返回给客户端一个合适的http响应。
一、ExceptionTranslationFilter功能和属性
1.在类中主要有以下几个属性
[list]
[*]AuthenticationEntryPoint-处理需要重新认证的逻辑
[*]AccessDeniedHandler-处理请求被拒绝的逻辑
[*]AuthenticationTrustResolver-判断处理类型
[*]RequestCache-缓存客户端请求,当认证完成后能继续执行引发认证的原始请求
[/list]
2.这个过滤器的主要逻辑在handleSpringSecurityException方法中,步骤如下
[list]
[*]如果捕获到的异常是AuthenticationException,就重新执行认证
[*]如果捕获到的异常是AccessDeniedException,再进一步执行下面的判断
■ 如果当前的认证形式是Anonymous或者RememberMe,则重新执行认证
■ 否则就是当前认证用户没有权限访问被请求资源,调用accessDeniedHandler.handle方法
[/list]
下面看下重新认证的方法sendStartAuthentication 

protected void sendStartAuthentication(HttpServletRequest request,
	HttpServletResponse response, FilterChain chain,
	AuthenticationException reason) throws ServletException, IOException {
  
	// SEC-112: Clear the SecurityContextHolder's Authentication, as the
	// existing Authentication is no longer considered valid
	SecurityContextHolder.getContext().setAuthentication(null);
	requestCache.saveRequest(request, response);
	logger.debug("Calling Authentication entry point.");
	authenticationEntryPoint.commence(request, response, reason);
}

首先会将现在SecurityContextHolder中的认证对象清除,之后将当前的调用保存在requestCache中,以便后面认证成功后能继续进行当前的处理,接着就调用authenticationEntryPoint的commence方法,将用户重定向到认证界面,提示用户进行认证。
3. AuthenticationEntryPoint类
这个类的主要作用是呈现给用户一个合适的响应从而提示用户能够重新登录,常见的实现类有
[list]
[*]BasicAuthenticationEntryPoint-基本认证对应的EntryPoint,修改Response的header,返回用户一个401码
[*]CasAuthenticationEntryPoint-cas认证对应的EntryPoint,将用户重定向到Cas服务器的登录页面
[*]LoginUrlAuthenticationEntryPoint-form login认证对应的EntryPoint,重定向到登录页面
[*]DelegatingAuthenticationEntryPoint-当系统中有多个EntryPoint,每个EntryPoint对应各自的匹配路径时采用这个EntryPoint。这个类维护一个RequestMatcher和EntryPoint对应关系的hash表,根据传入的request找到匹配的EntryPoint执行对应的commence方法,这个类里面还有一个defaultEntryPoint,当所有的EntryPoint都不匹配当前请求时调用默认EntryPoint的commence方法。
[/list]
下面以LoginUrlAuthenticationEntr
最低0.47元/天 解锁文章
高枫-henu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
[12] ExceptionTranslationFilter
热门推荐
既无风雨也无晴
03-16 2万+
ExceptionTranslationFilter 介绍 Spring Security的异常处理不能像常规Spring MVC或者Spring Boot那样进行统一异常处理,而是在过滤器上进行了层层拦截,代码阅读起来也有些费劲。而该Filter是用于处理Spring Security部分异常的,开发者可以自定义accessDeniedHandler和authenticationEntryPo...
Spring Security对Acl的支持
weixin_30532759的博客
01-08 248
对Acl的支持 目录 1.1准备工作 1.2表功能介绍 1.2.1表acl_sid 1.2.2表acl_class 1.2.3表acl_object_identity 1.2.4表acl_entry 1.3Acl主要接口 1.4配置AclServi...
SpringSecurity过滤器ExceptionTranslationFilter
clyu的博客
01-03 780
1、ExceptionTranslationFilter ExceptionTranslationFilter异常转换器位于整个springSecurityFilterChain的后方 ,用来转换整个链路中出现的异常。此过滤器本身不处理异常。而是将认证过程中出现的异常交给 内部维护的一些类去处理,一般处理两大异常:AccessDeniedException授权异常和 AuthenticationException认证异常 public class ExceptionTranslationFilter ext
Spring Security3源码分析-ExceptionTranslationFilter分析
Dead_Knight的专栏
05-09 204
ExceptionTranslationFilter过滤器对应的类路径为 org.springframework.security.web.access.ExceptionTranslationFilter 从类名就看出这个过滤器用于异常翻译的。但是从这个过滤器在filterchain中的位置来看,它仅仅处于倒数第三的位置(这个filter后面分为是FilterSecurityIntercep...
史上最简单的Spring Security教程(三十八):ExceptionTranslationFilter详解
银河架构师的博客
10-24 1360
这是Spring Security框架FilterChain中倒数第二个 Filter,承载着承上启下的作用。还记得 FilterSecurityInterceptor 吗?史上最简单的Spring Security教程(十六):FilterSecurityInterceptor详解。 如当用户未登录时抛出的 AccessDeniedException 异常、或者其它 AuthenticationException 异常。此时,系统会跳转到固定的页面,如 403 页面、或者执行其它操作。 ...
spring-security 官方文档 中文版
10-12
- **小结**:这些组件共同构成了 Spring Security核心架构,提供了强大的身份验证和授权能力。 **5.3 验证** - **什么是 Spring Security 的验证呢?** - Spring Security 的验证机制允许开发者自定义认证过程...
spring-security-4.2.0.RELEASE-dist
12-11
3. **过滤器链(Filter Chain)**:Spring Security核心是过滤器链,它拦截HTTP请求并应用安全策略。4.2.0版本中的过滤器链包括了如`DelegatingFilterProxy`、`ChannelProcessingFilter`、`...
spring-security-login_and_registration
04-18
这里我们将深入探讨Spring Security核心概念、配置以及它如何与Spring MVC协作来提供安全的用户身份验证和授权。 1. **核心概念**: - **Authentication(认证)**:验证用户提供的凭据,如用户名和密码,以确定...
史上最简单的Spring Security教程(三十九):ExceptionTranslationFilter自动化配置及其简介
银河架构师的博客
10-31 1436
前面我们讲了Spring Security框架中承载着承上启下的作用的 FilterExceptionTranslationFilter。其中,当后续 Filter 发生 AuthenticationException 异常,或者是 AccessDeniedException 异常且此时为未登录状态或者是记住我状态,则调用 AuthenticationEntryPoint 来处理。 一般情况下,如无特殊需求,我们不会对 Spring Security 的异常处理做什么配置,那么系统又是如何自动...
ExceptionTranslationFilter详解
小汤圆
08-11 1560
ExceptionTranslationFilter异常转换过滤器位于整个springSecurityFilterChain的后方,用来转换整个链路中出现的异常,将其转化,顾名思义,转化以意味本身并不处理。一般其只处理两大类异常:AccessDeniedException访问异常和AuthenticationException认证异常。 这个过滤器非常重要,因为它将Java中的异常和HTTP的响应连接在了一起,这样在处理异常时,我们不用考虑密码错误该跳到什么页面,账号锁定该如何,只需要关注自己的业务逻辑,抛
[SpringSecurity5.6.2源码分析二十三]:ExceptionTranslationFilter
最新发布
qq_41662584的博客
09-21 104
【代码】[SpringSecurity5.6.2源码分析二十三]:ExceptionTranslationFilter
Spring SecurityExceptionTranslationFilter
多看多听多总结
08-07 592
Spring SecurityExceptionTranslationFilter
Spring Security - ExceptionTranslationFilter
qq:489366879
11-08 882
1.首先判断是不是SpringSecurity产生的异常,如果是将在handleSpringSecurityException(request, response, chain, ase)处理,否则抛出ServletException/RuntimeException; 2.handleSpringSecurityException方法首先判断是否是AuthenticationException...
SpringsecurityExceptionTranslationFilter
weixin_33976072的博客
11-11 1212
2019独角兽企业重金招聘Python工程师标准>>> ...
SpringSecurity - 启动流程分析(十二)- ExceptionTranslationFilter 过滤器
业精于勤荒于嬉
09-13 455
SpringSecurity - ExceptionTranslationFilter 过滤器
spring security异常捕捉过滤器ExceptionTranslationFilter源码详解
阳仔的博客
05-21 2803
最近在写后台过程中,需要用到springsecurity安全框架来完成登录及权限认证,因为是前后端分离所以需要捕捉异常,如未登录、登录失败、登录超时、缺少权限等信息,所以自定义返回数据。 这些异常在springsecurity中统一由ExceptionTranslationFilter过滤器进行捕捉,所以我们就来分析一下此过滤器源码达到我们要求。 源码解析 1.我们首先看他的构造方法 在全参构造中 我们看到 分别导入 AuthenticationEntryPoint,accessDeniedHandler,
spring security 4 filter ExceptionTranslationFilter(二)
it帝国的博客-辉
03-04 666
今天学习的filterExceptionTranslationFilter,看名字是异常翻译过滤器 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest ...
spring security使用filter
08-15
Spring Security 使用 Filter 来处理身份验证和授权。它提供了一组 Filter,用于拦截和处理请求。 在 Spring Security 中,最重要的 Filter 是 `FilterChainProxy`。它是一个特殊的 Filter,负责管理一组其他 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值