Spring Security自定义AccessDeniedHandler配置后不生效

最新推荐文章于 2023-12-29 09:04:48 发布
最新推荐文章于 2023-12-29 09:04:48 发布
阅读量1.9k 收藏 1
点赞数 3
分类专栏: 后端 文章标签: java spring security 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiu_yu/article/details/124681234
版权
问题遇到的现象和发生背景

我在Spring Security中配置了两个异常处理,一个是自定AuthenticationEntryPoint,一个是自定义AccessDeniedHandler。但发现无论抛什么异常都进入了AuthenticationEntryPoint。怎么样才能进入自定义AccessDeniedHandler呢?往下看

问题相关代码

认证代码

/**
 * 权限控制
 * 判断用户角色
 * @author 刘昌兴
 * 
 */
@Component
public class RoleOfAdminFilter implements AccessDecisionManager {
    /** 
     * @author 刘昌兴
     * @param authentication 调用方法的调用者(非空)
     * @param o 被调用的受保护对象
     * @param collection 与被调用的受保护对象关联的配置属性
     */
    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {
        //collection即是在UrlOfMenuJudgeRoleFilter中getAttributes返回的由角色组成的List<ConfigAttribute>
        for(ConfigAttribute configAttribute:collection){
            //当前url所需要的角色
            String urlNeedRole=configAttribute.getAttribute();
            //如果匿名可访问就不用匹配角色
            if("ROLE_anonymous".equals(urlNeedRole)){
                //如果未登录,提示登陆
                if(authentication instanceof AnonymousAuthenticationToken){
                    throw new AccessDeniedException("尚未登陆,请登录");
                }else{
                    return;//终止继续匹配角色
                }
            }
            //获得用户所授予的角色
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
            //判断用户的角色是否满足访问该url的角色
            for(GrantedAuthority grantedAuthority:authorities){
                if(grantedAuthority.getAuthority().equals(urlNeedRole)){
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足!");
    }
 
    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return false;
    }
 
    @Override
    public boolean supports(Class<?> aClass) {
        return false;
    }
}

自定义AuthenticationEntryPoint

/**
 * 用户未登录或token失效时的返回结果
 * @author 刘昌兴
 */
@Component
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint{
 
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
            AuthenticationException authException) throws IOException, ServletException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        PrintWriter printWriter=response.getWriter();
        ResultBean resultBean=ResultBean.error(authException.getMessage(), null);
        resultBean.setCode(401);
        printWriter.write(new ObjectMapper().writeValueAsString(resultBean));
        printWriter.flush();
        printWriter.close();
    }
    
}

自定义AccessDeniedHandler

/**
 * 没有权限访问时返回的结果
 * @author 刘昌兴
 * 
 */
@Component
public class RestfulAccessDeniedHandler implements AccessDeniedHandler{
 
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
            AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setCharacterEncoding("UTF-8");
        response.setContentType("application/json");
        PrintWriter printWriter=response.getWriter();
        ResultBean resultBean=ResultBean.error("权限不足,请联系管理员!", null);
        resultBean.setCode(403);
        printWriter.write(new ObjectMapper().writeValueAsString(resultBean));
        printWriter.flush();
        printWriter.close();
        
    }
 
}

Spring Security配置

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
/*            .antMatchers("/login","/doc.html","/swagger-resources/**",
                    "/v2/api-docs/**","/webjars/**","/capture","/test/**","/ws/**","/logOut",
                    "/admins/userFaces","/index.html","/css/**","/js/**","/fonts/**").permitAll()//放行相关请求和资源*/
            .anyRequest().authenticated()//除了上面的其他都需要认证
            .withObjectPostProcessor(getObjectPostProcessor())//动态权限配置
            .and()
            .addFilterBefore(getJwtAuthenticationTokenFilter(), UsernamePasswordAuthenticationFilter.class)//添加登陆过滤器
            .exceptionHandling()//添加异常处理过滤器
            .accessDeniedHandler(restfulAccessDeniedHandler)//访问拒绝处理器
            .authenticationEntryPoint(restAuthenticationEntryPoint)//权限异常过滤器
            .and()
            .csrf().disable()//使用jwt,不需要使用csrf拦截器
            .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)//不需要使用session
            .and()
            .headers().cacheControl();//禁用缓存
    }
原因分析

在ExceptionTranslationFilter源码中有如下代码

    private void handleAccessDeniedException(HttpServletRequest request, HttpServletResponse response,
            FilterChain chain, AccessDeniedException exception) throws ServletException, IOException {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        boolean isAnonymous = this.authenticationTrustResolver.isAnonymous(authentication);
        if (isAnonymous || this.authenticationTrustResolver.isRememberMe(authentication)) {
            if (logger.isTraceEnabled()) {
                logger.trace(LogMessage.format("Sending %s to authentication entry point since access is denied",
                        authentication), exception);
            }
            sendStartAuthentication(request, response, chain,
                    new InsufficientAuthenticationException(
                            this.messages.getMessage("ExceptionTranslationFilter.insufficientAuthentication",
                                    "Full authentication is required to access this resource")));
        }
        else {
            if (logger.isTraceEnabled()) {
                logger.trace(
                        LogMessage.format("Sending %s to access denied handler since access is denied", authentication),
                        exception);
            }
            this.accessDeniedHandler.handle(request, response, exception);
        }
    }

如果程序抛出了AccessDeniedException但是当前认证状态是匿名的(未认证),那么会ExceptionTranslationFilter会抛出InsufficientAuthenticationException。而所有的AuthenticationException会被配置的AuthenticationEntryPoint实现类(RestAuthenticationEntryPoint)捕获。
所以通过抛出AccessDeniedException进入自定义AccessDeniedHandler(RestfulAccessDeniedHandler)的前提是当前已完成身份认证。
修改后的认证代码

/**
 * 权限控制
 * 判断用户角色
 * @author 刘昌兴
 * 
 */
@Component
public class RoleOfAdminFilter implements AccessDecisionManager {
    /** 
     * @author 刘昌兴
     * @param authentication 调用方法的调用者(非空)
     * @param o 被调用的受保护对象
     * @param collection 与被调用的受保护对象关联的配置属性
     */
    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {
        //collection即是在UrlOfMenuJudgeRoleFilter中getAttributes返回的由角色组成的List<ConfigAttribute>
        //如果未登录,提示登陆
        if(authentication instanceof AnonymousAuthenticationToken){
            throw new BadCredentialsException("尚未登陆");
        }
        for(ConfigAttribute configAttribute:collection){
            //当前url所需要的角色
            String urlNeedRole=configAttribute.getAttribute();
            //如果URL登录即可访问就不用匹配角色
            if("ROLE_login".equals(urlNeedRole)){
                return;
            }
            //获得用户所授予的角色
            Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
            //判断用户的角色是否满足访问该url的角色
            for(GrantedAuthority grantedAuthority:authorities){
                if(grantedAuthority.getAuthority().equals(urlNeedRole)){
                    return;
                }
            }
        }
        throw new AccessDeniedException("权限不足");
    }
 
    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        return false;
    }
 
    @Override
    public boolean supports(Class<?> aClass) {
        return false;
    }
}

总结:如果想通过抛出AccessDeniedException异常进入自定义AccessDeniedHandler那么当前认证状态不应该是匿名的。

玖语巴黎
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
spring security自定义登录页面
08-29
自定义 Spring Security 的登录页面,我们需要在 Spring Security配置文件中添加相应的配置。下面是一个基本的示例: ```xml authentication-failure-url="/login.jsp" default-target-url="/index....
Spring security自定义用户认证流程详解
08-24
为了使用我们的自定义登录页面,我们需要在 Spring Security 配置类中进行配置。下面是一个示例代码: ```java @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() ....
Spring security AccessDeniedHandler 不被调用
jmppok的专栏
04-02 1万+
在使用Spring Security时,在applicationContext-security.xml中配置了accecc-denied-handler,但是AccessDecisionManager模块明明抛出了AccessDeniedException却不被捕获。是因为只有确实的访问失败才会进入AccessDeniedHandler,如果是未登陆或者会话超时等,不会触发AccessDeniedHandler,而是会直接跳转到登陆页面。所以使用时还是要注意区分登陆失败和没有权限访问的情况。
Spring security 配置AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
热门推荐
单筱风的博客
12-17 2万+
1.Spring Security 中的异常处理 我们在 Spring Security 实战干货系列文章中的 自定义配置类入口 WebSecurityConfigurerAdapter 一文中提到 HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口: AuthenticationEntryPoint 该类用来统一处理 AuthenticationEx
Spring SecurityAccessDeniedHandler 用户无权限操作接口时处理
杜小舟的博客
12-29 1704
AccessDeniedHandler 接口负责处理用户在没有足够权限访问某资源时的行为。当用户尝试访问他们没有权限的资源时,这个处理器被触发。 官方是给了几个默认的处理器,当然,我们也可以自己自定义处理器,那么先简单介绍一下官方的处理器,然后再自己写一个自定义处理器。
Spring Security中AuthenticationEntryPoint不生效的相关问题
qq_44753451的博客
01-04 8660
  之前由于项目需要比较详细地学习了Spring Security的相关知识,并打算实现一个较为通用的权限管理模块。由于项目是前后端分离的,所以当认证或授权失败后不应该使用formLogin()的重定向,而是返回一个json形式的对象来提示没有授权或认证。   这时,我们可以使用AuthenticationEntryPoint对认证失败异常提供处理入口,而通过AccessDeniedHandler对用户无授权异常提供处理入口,在这里我的代码如下: /** * 对已认证用户无权限的处理 */ @Compo
Security 自定义异常 AccessDeniedHandler不生效解决
qq_39535439的博客
06-06 1298
ControllerAdvice\Security\AccessDeniedHandler\自定义异常不生效
SpringSecurity 自定义 AccessDeniedHandler 不生效的问题解决
大雪冬至的博客
07-06 4207
问题描述 出现这种问题的原因一般都是因为项目中还配置了 GlobalExceptionHandler 。 GlobalExceptionHandler 全局异常处理器会比 AccessDeniedHandler 先捕获 AccessDeniedException 异常,因此当配置了 GlobalExceptionHandler 后,会发现 AccessDeniedHandler 失效了。 解决方案 原有的 GlobalExceptionHandler 不用修改,只需要增加一个 自定义AccessD
SpringSecurity自定义成功失败处理器的示例代码
09-07
Spring Security框架中,自定义成功失败处理器是用于定制用户登录认证后的响应行为。默认情况下,Spring Security提供了标准的处理程序来处理用户的登录成功或失败情况,但有时我们需要根据业务需求进行个性化设置...
spring security自定义认证登录的全过程记录
08-28
Spring Security 自定义认证登录全过程记录 Spring Security 是一个基于 Spring AOP 和 Servlet 过滤器的安全框架,以此来管理权限认证等。在 Spring Security 中,自定义认证登录是非常重要的,它可以满足不同的...
详解springSecurityjava配置
08-18
在本文中,我们将详细介绍 Spring SecurityJava 配置篇,包括如何使用 Java 配置 Spring Security,如何自定义登陆页面,如何使用多用户等。 一、 Java 配置 Spring Security 要使用 Java 配置 Spring ...
spring security自定义AccessDeniedHandler不生效问题
lizsy的博客
08-10 642
spring security过滤器的执行顺序默认是先登录认证再授权认证,并且登录认证模块默认是开启匿名登录的,如果请求没有携带登录认证信息,那么默认的登录认证结果就是匿名登录,匿名登录的授权失败时回调用sendStartAuthentication方法,而不是accessDeniedHandler。所以要使授权失败时调用accessDeniedHandler,则要保证当前用户不是匿名和记住我登录的。实际情况是,作者自定义AccessDeniedHandler后,但是在授权失败时,并没有被调用。
spring security 资源判断时不执行自定义AccessDecisionManager
在路上的小马达
09-02 9547
弄这个框架的时候,因为这个问题困扰了很久,一直显示无法进入AccessDecisionManager内,导致资源请求无法进行有效拦截,资料找了很久也并未找到合理解决方案,表示当时就脑子不够用,及看不懂源码,又不懂原理,搭建都是靠人家的教程,一开始也看到了一篇类似的博文,但没太在意,事实证明也正是因为那个原因导致, 博文内容如下:       原文地址:http://blog.163.com/
Spring security 自定义AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
m0_37257009的博客
08-16 1096
security异常
spring security自定义AccessDeniedHandler不生效的实验记录
liuyuncd的博客
01-06 9668
首先编写自定的AccessDeniedHandler,代码如下: public class MyAccessDeniedHandler implements AccessDeniedHandler{ @Override public void handle(HttpServletRequest request, HttpServletResponse response, AccessDe...
spring security中PreAuthorize注解中配置AccessDeniedHandler没有生效问题
shan165310175的专栏
04-09 8242
版本: spring security 2.1.0.RELEASE 出现情况的配置: 在接口中增加了注解: @PreAuthorize("hasRole('ROLE_AAA')") @RequestMapping("/hello0") public String hello(){ return "HELLO"; } 在WebSecurityConfigurerAda...
SpringSecurity实现自定义控制器Handler
m0_52931616的博客
08-30 583
自定义控制器Handler
解决org.springframework.security.access.AccessDeniedException: Access is denied at org.springframewor
qq_52227892的博客
09-15 3147
anonymous() 用于明确指定只允许未经身份验证的用户访问,如果用户进行了身份验证反而不能访问,这种配置一般用于登录、注册页面,用户未登录时候可以访问,登录之后不能访问,而 .permitAll()用于明确指定允许所有用户(包括已登录的用户)访问。
Spring Security配置AccessDeniedHandler没有生效
编程札记
10-27 3096
在 WebSecurityConfigurerAdapter 配置了如下代码: // 自定义未授权和未登录异常 http.exceptionHandling() .accessDeniedHandler(new RestAccessDeniedHandler()) .authenticationEntryPoint(new RestAuthenticationEntryPoint()); 在 Controller 层 REST 接口中添加有 @PreAuthorize
Spring Security6自定义放行不生效踩坑笔记
最新发布
01-07
根据提供的引用内容,以下是关于Spring Security 6自定义放行不生效的踩坑笔记: 1. 确保@EnableWebSecurity注解正确配置Spring Security 6中,使用@EnableWebSecurity注解来启用Web安全功能。确保该注解正确配置在你的配置类上,例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { // 配置安全规则和其他相关配置 } ``` 2. 配置路径放行 在Spring Security中,可以通过配置路径来放行特定的URL。根据引用中的内容,你可以通过以下方式禁用Thymeleaf缓存,使得修改立即生效: ```yaml spring: thymeleaf: cache: false ``` 3. 检查自定义放行规则 如果自定义的放行规则不生效,可能是由于配置错误或者优先级问题导致的。请确保你的自定义放行规则正确配置在configure(HttpSecurity http)方法中,并且放行规则的顺序正确。例如: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() // 自定义放行规则 .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

玖语巴黎

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值