史上最简单的Spring Security教程(三十九):ExceptionTranslationFilter自动化配置及其简介

最新推荐文章于 2023-09-21 11:44:10 发布
最新推荐文章于 2023-09-21 11:44:10 发布
阅读量1.4k 收藏 3
点赞数 2
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuminglei1987/article/details/109398304
版权

 

前面我们讲了 Spring Security 框架中承载着承上启下的作用的 Filter:ExceptionTranslationFilter。其中,当后续 Filter 发生 AuthenticationException 异常,或者是 AccessDeniedException 异常且此时为未登录状态或者是记住我状态,则调用 AuthenticationEntryPoint 来处理。

一般情况下,如无特殊需求,我们不会对 Spring Security 的异常处理做什么配置,那么系统又是如何自动化配置 ExceptionTranslationFilter 的呢?

本文我们就来说一下 ExceptionTranslationFilter 的自动化配置,顺带简介一下 AuthenticationEntryPoint,以及 Spring Security 框架是如何配置 AuthenticationEntryPoint 到 ExceptionTranslationFilter 中的。

其在 Spring Security 中异常处理的配置如下。

http.exceptionHandling()
    .accessDeniedPage()
    .accessDeniedHandler()
    .authenticationEntryPoint()
    .defaultAccessDeniedHandlerFor()
    .defaultAuthenticationEntryPointFor();

那么,默认情况下是如何配置的呢?

这就要看一下其配置类 ExceptionHandlingConfigurer 了

正如其在 Spring Security 中异常处理的配置所述,可以设置 accessDeniedPage、accessDeniedHandler、authenticationEntryPoint 等参数。

配置完成后,和其它 Spring Security 中的配置类一样,进行初始化配置。

public void configure(H http) throws Exception {
    AuthenticationEntryPoint entryPoint = getAuthenticationEntryPoint(http);
    ExceptionTranslationFilter exceptionTranslationFilter = new ExceptionTranslationFilter(
        entryPoint, getRequestCache(http));
    AccessDeniedHandler deniedHandler = getAccessDeniedHandler(http);
    exceptionTranslationFilter.setAccessDeniedHandler(deniedHandler);
    exceptionTranslationFilter = postProcess(exceptionTranslationFilter);
    http.addFilter(exceptionTranslationFilter);
}

可以看到,正是在此处,Spring Security 框架创建了 ExceptionTranslationFilter,并为其赋了属性的初始化值。

其中,AuthenticationEntryPoint 的初始化逻辑由getAuthenticationEntryPoint 方法完成。

AuthenticationEntryPoint getAuthenticationEntryPoint(H http) {
    AuthenticationEntryPoint entryPoint = this.authenticationEntryPoint;
    if (entryPoint == null) {
        entryPoint = createDefaultEntryPoint(http);
    }
    return entryPoint;
}

如果没有设置 authenticationEntryPoint 属性,则由 createDefaultEntryPoint 方法创建默认值。

private AuthenticationEntryPoint createDefaultEntryPoint(H http) {
    if (this.defaultEntryPointMappings.isEmpty()) {
        return new Http403ForbiddenEntryPoint();
    }
    if (this.defaultEntryPointMappings.size() == 1) {
        return this.defaultEntryPointMappings.values().iterator().next();
    }
    DelegatingAuthenticationEntryPoint entryPoint = new DelegatingAuthenticationEntryPoint(
        this.defaultEntryPointMappings);
    entryPoint.setDefaultEntryPoint(this.defaultEntryPointMappings.values().iterator()
                                    .next());
    return entryPoint;
}

这里我们可以看到,如果默认的 defaultEntryPointMappings 入口映射为空,会创建403类型的入口,返回403状态码。

public void commence(HttpServletRequest request, HttpServletResponse response,
      AuthenticationException arg2) throws IOException, ServletException {
    if (logger.isDebugEnabled()) {
        logger.debug("Pre-authenticated entry point called. Rejecting access");
    }
    response.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied");
}

如果只有一个,则就取此入口作为初始化值;如果为多个,则创建 DelegatingAuthenticationEntryPoint 处理多入口逻辑。

而 AccessDeniedHandler 的初始化逻辑也是类似的。首先,也会判断 accessDeniedHandler 参数是否赋值。

AccessDeniedHandler getAccessDeniedHandler(H http) {
    AccessDeniedHandler deniedHandler = this.accessDeniedHandler;
    if (deniedHandler == null) {
        deniedHandler = createDefaultDeniedHandler(http);
    }
    return deniedHandler;
}

没有赋值的话,会调用 createDefaultDeniedHandler 方法创建默认的 AccessDeniedHandler。

private AccessDeniedHandler createDefaultDeniedHandler(H http) {
    if (this.defaultDeniedHandlerMappings.isEmpty()) {
        return new AccessDeniedHandlerImpl();
    }
    if (this.defaultDeniedHandlerMappings.size() == 1) {
        return this.defaultDeniedHandlerMappings.values().iterator().next();
    }
    return new RequestMatcherDelegatingAccessDeniedHandler(
        this.defaultDeniedHandlerMappings,
        new AccessDeniedHandlerImpl());
}

同 AuthenticationEntryPoint 的默认值创建逻辑相同,如果 defaultDeniedHandlerMappings 属性为空,即 deniedHandler 映射为空,则直接返回 AccessDeniedHandlerImpl 实例;如果只有一个,则就取此值;如果为多个,则创建 RequestMatcherDelegatingAccessDeniedHandler 处理多 Handler 情况。

最后,简单的来说一下 AuthenticationEntryPoint 、AccessDeniedHandler。

关于 AuthenticationEntryPoint,简单点来说,就是 ExceptionTranslationFilter 用于处理不用认证方案的。其实现共有6中。

有些从类名命名即可明白大致何意,感兴趣的可自行查看。

关于 AccessDeniedHandler,则是 ExceptionTranslationFilter 用于处理 AccessDeniedException 异常时使用的。

/**
 * Used by {@link ExceptionTranslationFilter} to handle an
 * <code>AccessDeniedException</code>.
 */

其实现共有4个。

Spring Security 框架默认配置的即为第一个 AccessDeniedHandlerImpl。其它的,感兴趣的可自行查看。

其它详细源码,请参考文末源码链接,可自行下载后阅读。

我是银河架构师,十年饮冰,难凉热血,愿历尽千帆,归来仍是少年! 

如果文章对您有帮助,请举起您的小手,轻轻【三连】,这将是笔者持续创作的动力源泉。当然,如果文章有错误,或者您有任何的意见或建议,请留言。感谢您的阅读!

 

源码

 

github

https://github.com/liuminglei/SpringSecurityLearning/tree/master/39

gitee

https://gitee.com/xbd521/SpringSecurityLearning/tree/master/39

 

 

 

银河架构师
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
最新发布
gmHappy
12-18 7970
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring SecurityAuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
spring-security(十九)核心Filter-ExceptionTranslationFilter
高枫的博客
02-27 1365
前言: 在spring的安全过滤器链中ExceptionTranslationFilterFilterSecurityInterceptor的前面,这个过滤器自身并不执行具体的安全防护,他主要处理FilterSecurityInterceptor这个过滤器抛出的各种异常,并返回给客户端一个合适的http响应。 一、ExceptionTranslationFilter功能和属性 1.在类...
[12] ExceptionTranslationFilter
热门推荐
既无风雨也无晴
03-16 2万+
ExceptionTranslationFilter 介绍 Spring Security的异常处理不能像常规Spring MVC或者Spring Boot那样进行统一异常处理,而是在过滤器上进行了层层拦截,代码阅读起来也有些费劲。而该Filter是用于处理Spring Security部分异常的,开发者可以自定义accessDeniedHandler和authenticationEntryPo...
SpringSecurity - 启动流程分析(十二)- ExceptionTranslationFilter 过滤器
业精于勤荒于嬉
09-13 455
SpringSecurity - ExceptionTranslationFilter 过滤器
SpringSecurity过滤器ExceptionTranslationFilter
clyu的博客
01-03 780
1、ExceptionTranslationFilter ExceptionTranslationFilter异常转换器位于整个springSecurityFilterChain的后方 ,用来转换整个链路中出现的异常。此过滤器本身不处理异常。而是将认证过程中出现的异常交给 内部维护的一些类去处理,一般处理两大异常:AccessDeniedException授权异常和 AuthenticationException认证异常 public class ExceptionTranslationFilter ext
Spring Security3源码分析-ExceptionTranslationFilter分析
Dead_Knight的专栏
05-09 204
ExceptionTranslationFilter过滤器对应的类路径为 org.springframework.security.web.access.ExceptionTranslationFilter 从类名就看出这个过滤器用于异常翻译的。但是从这个过滤器在filterchain中的位置来看,它仅仅处于倒数第三的位置(这个filter后面分为是FilterSecurityIntercep...
springsecurity使用配置详解
03-24
Spring Boot应用中,Spring Security可以通过添加依赖自动配置。默认的安全配置可以满足基本需求,但通常需要自定义以满足特定应用的要求。 6. **Spring MVC集成**: Spring Security可以无缝集成到Spring MVC...
SpringSecurity5.7从入门到精通全套教程-入门篇
weixin_46040278的博客
04-26 2916
本文章主要概述SpringSecurity的使用,从入门到精通一站式学习
[SpringSecurity5.6.2源码分析二十三]:ExceptionTranslationFilter
qq_41662584的博客
09-21 104
【代码】[SpringSecurity5.6.2源码分析二十三]:ExceptionTranslationFilter
Spring SecurityExceptionTranslationFilter
多看多听多总结
08-07 592
Spring SecurityExceptionTranslationFilter
ExceptionTranslationFilter详解
小汤圆
08-11 1560
ExceptionTranslationFilter异常转换过滤器位于整个springSecurityFilterChain的后方,用来转换整个链路中出现的异常,将其转化,顾名思义,转化以意味本身并不处理。一般其只处理两大类异常:AccessDeniedException访问异常和AuthenticationException认证异常。 这个过滤器非常重要,因为它将Java中的异常和HTTP的响应连接在了一起,这样在处理异常时,我们不用考虑密码错误该跳到什么页面,账号锁定该如何,只需要关注自己的业务逻辑,抛
spring security异常捕捉过滤器ExceptionTranslationFilter源码详解
阳仔的博客
05-21 2803
最近在写后台过程中,需要用到springsecurity安全框架来完成登录及权限认证,因为是前后端分离所以需要捕捉异常,如未登录、登录失败、登录超时、缺少权限等信息,所以自定义返回数据。 这些异常在springsecurity中统一由ExceptionTranslationFilter过滤器进行捕捉,所以我们就来分析一下此过滤器源码达到我们要求。 源码解析 1.我们首先看他的构造方法 在全参构造中 我们看到 分别导入 AuthenticationEntryPoint,accessDeniedHandler,
史上简单Spring Security教程(三十八):ExceptionTranslationFilter详解
银河架构师的博客
10-24 1360
这是Spring Security框架FilterChain中倒数第二个 Filter,承载着承上启下的作用。还记得 FilterSecurityInterceptor 吗?史上简单Spring Security教程(十六):FilterSecurityInterceptor详解。 如当用户未登录时抛出的 AccessDeniedException 异常、或者其它 AuthenticationException 异常。此时,系统会跳转到固定的页面,如 403 页面、或者执行其它操作。 ...
spring security 4 filter ExceptionTranslationFilter(二)
it帝国的博客-辉
03-04 666
今天学习的filterExceptionTranslationFilter,看名字是异常翻译过滤器 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest ...
Spring Security(二十九):9.4.1 ExceptionTranslationFilter
weixin_30920597的博客
12-19 143
ExceptionTranslationFilteris a Spring Security filter that has responsibility for detecting any Spring Security exceptions that are thrown. Such exceptions will generally be thrown by anAbstractSecu...
Spring Security3源码分析(15)-ExceptionTranslationFilter分析
Benjamin
09-11 2915
ExceptionTranslationFilter过滤器对应的类路径为  org.springframework.security.web.access.ExceptionTranslationFilter  从类名就看出这个过滤器用于异常翻译的。但是从这个过滤器在filterchain中的位置来看,它仅仅处于倒数第三的位置(这个filter后面分为是FilterSecurityInterc
Spring Security--异常处理过滤器
oPeiJie1的博客
02-12 589
Spring Secutiy异常处理
SpringBoot集成Spring Security(3)——异常处理
SKT_T1_Faker的博客
11-20 394
有了前两章的铺垫,现在我们学习一下springsecurity是怎样处理异常的 SpringBoot集成Spring Security(1)——入门程序 SpringBoot集成Spring Security(2)——自动登录 不知道你有没有注意到,当我们登陆失败时候,spring security帮我们跳转到了/login?error,奇怪的是不管是控制台还是网页上都没有打印错误信息。 ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值