spring security中自定义AccessDeniedHandler不生效的实验记录

最新推荐文章于 2024-04-26 17:51:10 发布
最新推荐文章于 2024-04-26 17:51:10 发布
阅读量9.6k 收藏 7
点赞数 9
分类专栏: spring boot 文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liuyuncd/article/details/103863695
版权

首先编写自定的AccessDeniedHandler,代码如下:

public class MyAccessDeniedHandler implements AccessDeniedHandler{
	@Override
	public void handle(HttpServletRequest request, HttpServletResponse response,
			AccessDeniedException accessDeniedException) throws IOException, ServletException {
		// TODO Auto-generated method stub
		response.setCharacterEncoding("UTF-8");
		response.setContentType("text/html;charset=utf-8");
		ObjectMapper mapper = new ObjectMapper();
		String result= mapper.writeValueAsString(new JsonResult(ResultCode.USER_NO_PERMISSION,ResultCode.USER_NO_PERMISSION.msg()));
		response.getWriter().print(result);
	}

}

目的:当用户访问了不属于自己权限的访问路径的时候,返回json格式的异常错误提示代码

下一步:在继承了WebSecurityConfigurerAdapter的类中添加相应的配置,配置如下:

@Override
	protected void configure(HttpSecurity http) throws Exception {
		// TODO Auto-generated method stub
		System.out.println(deniedHandler);
		http.authorizeRequests().antMatchers("/login/**").permitAll().anyRequest().authenticated().and().formLogin()// .loginPage("/login")
				.successHandler(successHandler).failureHandler(failureHandler).and()
				.exceptionHandling().authenticationEntryPoint(entryPoint)// json提示用户没有登录不需要用户跳转到登录页面去
				.accessDeniedHandler(deniedHandler)// 权限拦截器,提示用户没有当前权限
				.and().csrf().disable();
	}

然后开开心心的重启服务,等待实验结果:
结果,不管怎么样都不能返回之前定义MyAccessDeniedHandler类中所期待的结果

最后发现:配置,代码都没问题,问题出现在之前定义好的异常统一处理类中,看下边的代码:

@RestControllerAdvice
public class ControllerExceptionAdvice {
	
    @ResponseBody
	@ExceptionHandler(java.lang.Exception.class)
	public JsonResult handleRE(Exception ex){
    	System.out.println(ex.getMessage());
		return new JsonResult(ResultCode.EXCEPTION, ResultCode.EXCEPTION.msg());
	}

在这个位置,Exception捕获了我们所期待的AccessDeniedException,导致每次其实返回的是@ExceptionHandler中返回的结果,而不是我们希望提示的ResultCode.USER_NO_PERMISSION.msg()里边的类容

也就说这个异常被Exception抓捕了(但是其他异常都是spring security自己抛出,没有被这个位置的处理类统一处理了)

最后只能在这个异常处理类中添加下面代码:

@ResponseBody
	@ExceptionHandler(AccessDeniedException.class)
	public JsonResult handleAccessRE(AccessDeniedException ex){
    	System.out.println(ex.getMessage());
		return new JsonResult(ResultCode.USER_NO_PERMISSION, ResultCode.USER_NO_PERMISSION.msg());
	}

我们手工在这里捕获AccessDeniedException 异常,免得被Exception捕获了,实验最终返回了如下数据:

{"success":"2008","message":"当前用户没有权限,请联系管理员","data":null}

实验完成

欧阳云
关注
  • 9
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
spring security自定义认证登录的全过程记录
08-28
Spring Security 自定义认证登录全过程记录 Spring Security 是一个基于 Spring AOP 和 Servlet 过滤器的安全框架,以此来管理权限认证等。在 Spring Security 自定义认证登录是非常重要的,它可以满足不同的...
spring security自定义登录页面
08-29
自定义 Spring Security 的登录页面,我们需要在 Spring Security 的配置文件添加相应的配置。下面是一个基本的示例: ```xml authentication-failure-url="/login.jsp" default-target-url="/index....
Spring Security配置AccessDeniedHandler没有生效
编程札记
10-27 3096
在 WebSecurityConfigurerAdapter 配置了如下代码: // 自定义未授权和未登录异常 http.exceptionHandling() .accessDeniedHandler(new RestAccessDeniedHandler()) .authenticationEntryPoint(new RestAuthenticationEntryPoint()); 在 Controller 层 REST 接口添加有 @PreAuthorize
spring security自定义AccessDeniedHandler不生效问题
lizsy的博客
08-10 642
spring security过滤器的执行顺序默认是先登录认证再授权认证,并且登录认证模块默认是开启匿名登录的,如果请求没有携带登录认证信息,那么默认的登录认证结果就是匿名登录,匿名登录的授权失败时回调用sendStartAuthentication方法,而不是accessDeniedHandler。所以要使授权失败时调用accessDeniedHandler,则要保证当前用户不是匿名和记住我登录的。实际情况是,作者自定义AccessDeniedHandler后,但是在授权失败时,并没有被调用。
关于使用SpringSecurity框架发起JSON请求,但因登陆失效导致响应403的问题。
最新发布
qq826303461的博客
04-26 286
2.在配置类引入该处理器,这里涉及到部分的业务代码,所以采用截图的方式,只需要将上面的失效处理器配置到config即可。就是当用户登陆失效后,前端操作JSON请求获取列表数据,但因为登陆失效了。导致请求过不去返回结果。有个处理起对这个请求进行了处理,同时转发到了error页面。安全框架使用的是内置版本的SpringSecurity。3.在前端JS内对发起请求的地方做统一拦截处理。这里记录一个生产遇到的一个问题。同时服务端也没有任何的异常日志。
SpringSecurity 自定义 AccessDeniedHandler 不生效的问题解决
大雪冬至的博客
07-06 4205
问题描述 出现这种问题的原因一般都是因为项目还配置了 GlobalExceptionHandler 。 GlobalExceptionHandler 全局异常处理器会比 AccessDeniedHandler 先捕获 AccessDeniedException 异常,因此当配置了 GlobalExceptionHandler 后,会发现 AccessDeniedHandler 失效了。 解决方案 原有的 GlobalExceptionHandler 不用修改,只需要增加一个 自定义AccessD
Spring Security自定义AccessDeniedHandler配置后不生效
jiu_yu的博客
05-10 1966
问题遇到的现象和发生背景 我在Spring Security配置了两个异常处理,一个是自定AuthenticationEntryPoint,一个是自定义AccessDeniedHandler。但发现无论抛什么异常都进入了AuthenticationEntryPoint。怎么样才能进入自定义AccessDeniedHandler呢?往下看 问题相关代码 认证代码 /** * 权限控制 * 判断用户角色 * @author 刘昌兴 * */ @Component public class Role
SpringSecurity抛出异常但AccessDeniedHandler不生效
qq_45848700的博客
01-05 1348
最近在学习SpringSecurity权限管理框架,在测试权限管理时发现在使用没有权限的接口时异常被全局异常处理器给捕获了 查询资料后,发现解决方法有很多,所以把我觉得比较方便的方法记录下来:全局异常捕获AccessDeniedException再抛出就可以被AccessDeniedHandler捕获到了 @ExceptionHandler(AccessDeniedException.class) public void accessDeniedException(AccessDeniedExcep
Security 自定义异常 AccessDeniedHandler不生效解决
qq_39535439的博客
06-06 1298
ControllerAdvice\Security\AccessDeniedHandler\自定义异常不生效
SpringSecurity学习之自定义过滤器的实现代码
08-26
该标题告诉我们,Spring Security学习之自定义过滤器的实现代码是本文的主题,它将详细介绍如何在Spring Security实现自定义的过滤器。 描述:"主要介绍了SpringSecurity学习之自定义过滤器的实现代码,文通过...
Spring Boot整合Spring Security自定义验证代码实例
08-30
Spring Boot应用整合Spring Security是为了提供安全控制,保护应用程序免受未经授权的访问。下面将详细解释如何在Spring Boot实现这一过程,并自定义验证逻辑。 首先,我们需要在`pom.xml`引入Spring ...
java自定义Spring Security权限控制管理示例(实战篇)
08-31
在本文,我们将深入探讨如何在Java项目自定义Spring Security的权限控制管理。这通常涉及到对URL和HTTP方法的细粒度控制,允许某些角色仅访问特定的资源或执行特定的操作。 首先,我们需要了解项目的背景。假设...
SpringSecurity自定义AuthenticationSuccessHandler不起作用被忽略,设置successHandler无效
hey_wei_ran的博客
08-30 988
SpringSecurity自定义AuthenticationSuccessHandler不起作用被忽略,设置successHandler无效
spring securityPreAuthorize注解配置了AccessDeniedHandler没有生效问题
shan165310175的专栏
04-09 8242
版本: spring security 2.1.0.RELEASE 出现情况的配置: 在接口增加了注解: @PreAuthorize("hasRole('ROLE_AAA')") @RequestMapping("/hello0") public String hello(){ return "HELLO"; } 在WebSecurityConfigurerAda...
Spring security AccessDeniedHandler 不被调用
jmppok的专栏
04-02 1万+
在使用Spring Security时,在applicationContext-security.xml配置了accecc-denied-handler,但是AccessDecisionManager模块明明抛出了AccessDeniedException却不被捕获。是因为只有确实的访问失败才会进入AccessDeniedHandler,如果是未登陆或者会话超时等,不会触发AccessDeniedHandler,而是会直接跳转到登陆页面。所以使用时还是要注意区分登陆失败和没有权限访问的情况。
swift调用oc_iOS开发swift语法梳理:访问(权限)控制、内存管理
weixin_39613540的博客
12-01 99
1.访问权限这块,Swift提供了5个不同的级别(以下是从高到低排列)open:允许在自定义实体的模块、其它模块访问,允许其它模块进行继承、重写(open只能作用在类和类成员上)public:允许在定义实体的模块、其它模块访问,不允许其它模块进行继承、重写。internal:允许在定义实体的模块进行访问,不允许其它模块访问。fileprivate:只允许在定义实体的源文件访问。privat...
Spring security 配置的AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
热门推荐
单筱风的博客
12-17 2万+
1.Spring Security 的异常处理 我们在 Spring Security 实战干货系列文章自定义配置类入口 WebSecurityConfigurerAdapter 一文提到 HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口: AuthenticationEntryPoint 该类用来统一处理 AuthenticationEx
关于accessDeniedHandler与authenticationEntryPoint 全局异常处理问题
u014226080的博客
11-17 2162
会在全局异常捕获前捕获异常;会在全局异常之后捕获。
AccessDeniedHandler 处理当访问被拒绝时的逻辑
wddblog的博客
03-11 1003
Spring Security 处理访问被拒绝情况的关键组件。通过实现和配置这个接口,开发者可以定义自己的访问被拒绝处理逻辑,从而增强应用的安全性和用户体验。无论是重定向用户、记录日志还是执行其他操作,都提供了一个灵活且强大的机制来实现这些功能。
Spring Security6自定义放行不生效踩坑笔记
01-07
根据提供的引用内容,以下是关于Spring Security 6自定义放行不生效的踩坑笔记: 1. 确保@EnableWebSecurity注解正确配置 在Spring Security 6,使用@EnableWebSecurity注解来启用Web安全功能。确保该注解正确...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值