spring security自定义AccessDeniedHandler不生效问题

已于 2023-08-10 11:24:35 修改
阅读量709 收藏 4
点赞数 1
分类专栏: springboot笔记 文章标签: spring java 后端
于 2023-08-10 11:10:30 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lizsy/article/details/132204103
版权
作者在配置SpringSecurity时遇到自定义AccessDeniedHandler未在授权失败时触发的问题,原因是默认的匿名登录和记住我功能导致。禁用匿名访问和记住我后,解决了问题并解释了如何确保AccessDeniedHandler生效。
摘要由CSDN通过智能技术生成

        作者在配置spring security授权过滤器时,添加自定义的AccessDeniedHandler(授权失败处理器)时候没有生效,问题代码如下

@Slf4j
@EnableWebSecurity
public class SecurityConfig {

    @Autowired
    private JwtAuthorizationManager jwtAuthorizationManager;

    @Autowired
    private CustomAccessDeniedHandler customAccessDeniedHandler;

    /**
     * @description: securityFilterChain <br>
     * @version: 1.0 <br>
     * @create: 2023/3/31 9:39 <br>
     * @param: http
     * @return org.springframework.security.web.SecurityFilterChain
     */
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        log.info("初始化自定义【securityFilterChain】配置");
        //禁用登录表单
        http.formLogin().disable();
        //禁用基本身份认证
        http.httpBasic().disable();
        //禁用session
        http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        //禁用跨域防护
        http.csrf().disable();
        //授权配置
        http.authorizeHttpRequests()
            //开放登录请求
            .antMatchers("/login/**").permitAll()
            //开放swagger请求
            .antMatchers("/swagger-ui/**","/swagger-resources/**","/v3/api-docs/**","/doc.html","/webjars/**","/favicon.ico").permitAll()
            //jwt授权管理器
            .anyRequest().access(jwtAuthorizationManager)
            //授权失败处理器
            .and().exceptionHandling().accessDeniedHandler(customAccessDeniedHandler);
        return http.build();
    }
}

        按照官网的说法,当授权失败时会抛出AccessDeniedException,ExceptionTranslationFilter捕获到AccessDeniedException后交给AccessDeniedHandler处理。官网流程图如下

授权流程图

 ExceptionTranslationFilter流程图

        实际情况是,作者自定义了AccessDeniedHandler后,但是在授权失败时,并没有被调用。通过调试,在ExceptionTranslationFilter中发现了以下代码

    private void handleAccessDeniedException(HttpServletRequest request, HttpServletResponse response, FilterChain chain, AccessDeniedException exception) throws ServletException, IOException {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        boolean isAnonymous = this.authenticationTrustResolver.isAnonymous(authentication);
        if (!isAnonymous && !this.authenticationTrustResolver.isRememberMe(authentication)) {
            if (this.logger.isTraceEnabled()) {
                this.logger.trace(LogMessage.format("Sending %s to access denied handler since access is denied", authentication), exception);
            }

            this.accessDeniedHandler.handle(request, response, exception);
        } else {
            if (this.logger.isTraceEnabled()) {
                this.logger.trace(LogMessage.format("Sending %s to authentication entry point since access is denied", authentication), exception);
            }

            this.sendStartAuthentication(request, response, chain, new InsufficientAuthenticationException(this.messages.getMessage("ExceptionTranslationFilter.insufficientAuthentication", "Full authentication is required to access this resource")));
        }

    }

        代码解读:在处理AccessDeniedException时,先判断当前用户是否为匿名或记住我登录的,不是则交给AccessDeniedHandler处理,是则调用sendStartAuthentication(最终结果是返回一个403错误)。

        由于作者是用的是jwt验证,所有没有配置登录验证的环节,那么所有请求进来就默认给了匿名登录的authentication。原因找到了,作者尝试禁用匿名登录和记住我,问题得以解决。

        //禁用匿名访问
        http.anonymous().disable();
        //关闭记住我
        http.rememberMe().disable();

总结

        spring security过滤器的执行顺序默认是先登录认证再授权认证,并且登录认证模块默认是开启匿名登录的,如果请求没有携带登录认证信息,那么默认的登录认证结果就是匿名登录,匿名登录的授权失败时回调用sendStartAuthentication方法,而不是accessDeniedHandler。所以要使授权失败时调用accessDeniedHandler,则要保证当前用户不是匿名和记住我登录的。至于要调用自定义的accessDeniedHandler,重写下就行

@Component
public class CustomAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
        AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setStatus(HttpStatus.UNAUTHORIZED.value());
        response.setHeader("Content-type", "text/html;charset=UTF-8");
        response.setCharacterEncoding("UTF-8");
        response.getWriter().write(accessDeniedException.getMessage());
    }
}

小花卷的dad
关注
专栏目录
Springboot +spring security自定义认证和授权异常处理器
weixin_40991408的博客
05-26 1923
Springboot +spring security自定义认证和授权异常处理器
Spring Security自定义AccessDeniedHandler配置后不生效
jiu_yu的博客
05-10 2028
问题遇到的现象和发生背景 我在Spring Security中配置了两个异常处理,一个是自定AuthenticationEntryPoint,一个是自定义AccessDeniedHandler。但发现无论抛什么异常都进入了AuthenticationEntryPoint。怎么样才能进入自定义AccessDeniedHandler呢?往下看 问题相关代码 认证代码 /** * 权限控制 * 判断用户角色 * @author 刘昌兴 * */ @Component public class Role
SpringSecurity 自定义 AccessDeniedHandler 不生效问题解决
大雪冬至的博客
07-06 4377
问题描述 出现这种问题的原因一般都是因为项目中还配置了 GlobalExceptionHandler 。 GlobalExceptionHandler 全局异常处理器会比 AccessDeniedHandler 先捕获 AccessDeniedException 异常,因此当配置了 GlobalExceptionHandler 后,会发现 AccessDeniedHandler 失效了。 解决方案 原有的 GlobalExceptionHandler 不用修改,只需要增加一个 自定义AccessD
Spring Security中配置AccessDeniedHandler没有生效
编程札记
10-27 3142
在 WebSecurityConfigurerAdapter 配置了如下代码: // 自定义未授权和未登录异常 http.exceptionHandling() .accessDeniedHandler(new RestAccessDeniedHandler()) .authenticationEntryPoint(new RestAuthenticationEntryPoint()); 在 Controller 层 REST 接口中添加有 @PreAuthorize
Spring security AccessDeniedHandler 不被调用
jmppok的专栏
04-02 1万+
在使用Spring Security时,在applicationContext-security.xml中配置了accecc-denied-handler,但是AccessDecisionManager模块明明抛出了AccessDeniedException却不被捕获。是因为只有确实的访问失败才会进入AccessDeniedHandler,如果是未登陆或者会话超时等,不会触发AccessDeniedHandler,而是会直接跳转到登陆页面。所以使用时还是要注意区分登陆失败和没有权限访问的情况。
Spring security 配置的AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
热门推荐
单筱风的博客
12-17 2万+
1.Spring Security 中的异常处理 我们在 Spring Security 实战干货系列文章中的 自定义配置类入口 WebSecurityConfigurerAdapter 一文中提到 HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口: AuthenticationEntryPoint 该类用来统一处理 AuthenticationEx
Security 自定义异常 AccessDeniedHandler不生效解决
qq_39535439的博客
06-06 1333
ControllerAdvice\Security\AccessDeniedHandler\自定义异常不生效
spring security自定义AccessDeniedHandler不生效的实验记录
liuyuncd的博客
01-06 9703
首先编写自定的AccessDeniedHandler,代码如下: public class MyAccessDeniedHandler implements AccessDeniedHandler{ @Override public void handle(HttpServletRequest request, HttpServletResponse response, AccessDe...
SpringSecurity抛出异常但AccessDeniedHandler不生效
qq_45848700的博客
01-05 1435
最近在学习SpringSecurity权限管理框架,在测试权限管理时发现在使用没有权限的接口时异常被全局异常处理器给捕获了 查询资料后,发现解决方法有很多,所以把我觉得比较方便的方法记录下来:全局异常中捕获AccessDeniedException再抛出就可以被AccessDeniedHandler捕获到了 @ExceptionHandler(AccessDeniedException.class) public void accessDeniedException(AccessDeniedExcep
Spring security 自定义AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
m0_37257009的博客
08-16 1128
security异常
spring security自定义异常处理
最新发布
05-28
实现以上两个接口之后,需要在 Spring Security 配置中进行配置,将自定义实现的类添加到配置中即可生效。下面是一个示例配置: ``` @Configuration @EnableWebSecurity public class WebSecurityConfig extends ...
SpringSecurity
weixin_45701868的博客
07-08 2074
SpringSecurity
SpringSecurity的介绍和使用
weixin_49983224的博客
12-27 1378
一、用法简介 用户登录系统时我们协助SpringSecurity把用户对应的角色、权限装配好,同时把各个资源所要求的权限信息设定好,剩下的“登录验证”和 “权限验证”都交给SpringSecurity 二、权限管理的概念 1.主体 principal 使用系统的用户或设备或从其他系统远程登录的用户等等。简单的说就是那个使用系统那个就是主体。 2.认证 authentication ...
创建Spring Security Filter Chain
m13012606980的专栏
10-09 732
springSecurityFilterChain方法块中参数的初始化 讲解基于 spring-security 4.1.0.RELEASE 和 spring-security-oauth2-2.3.5.RELEASE 版本 通过了解springSecurityFilterChain()这个方法的逻辑来详细了解 Spring Security 过滤器链的创建流程。方法里有两个变量webSecurityConfigurers和webSecurity。都是在WebSecurityConfiguration被sp
SpringSecurity自定义AuthenticationSuccessHandler不起作用被忽略,设置successHandler无效
hey_wei_ran的博客
08-30 1086
SpringSecurity自定义AuthenticationSuccessHandler不起作用被忽略,设置successHandler无效
MyBatis-Plus,MetaObjectHandler没生效,完美解决
weixin_43703519的博客
08-08 4027
若依框架集成mybatis-plus,自动填充字段不生效
AccessDeniedHandler 处理当访问被拒绝时的逻辑
wddblog的博客
03-11 1318
Spring Security 中处理访问被拒绝情况的关键组件。通过实现和配置这个接口,开发者可以定义自己的访问被拒绝处理逻辑,从而增强应用的安全性和用户体验。无论是重定向用户、记录日志还是执行其他操作,都提供了一个灵活且强大的机制来实现这些功能。
关于accessDeniedHandler与authenticationEntryPoint 全局异常处理问题
u014226080的博客
11-17 2209
会在全局异常捕获前捕获异常;会在全局异常之后捕获。
Spring Security教程(9)---- 自定义AccessDeniedHandler
z69183787的专栏
03-13 1万+
Spring默认的AccessDeniedHandler中只有对页面请求的处理,而没有对Ajax的处理。而在项目开发是Ajax又是我们要常用的技术,所以我们可以通过自定义AccessDeniedHandler来处理Ajax请求。我们在Spring默认的AccessDeniedHandlerImpl上稍作修改就可以了。 [java] view plaincopy
Spring Security6自定义放行不生效踩坑笔记
01-07
根据提供的引用内容,以下是关于Spring Security 6自定义放行不生效的踩坑笔记: 1. 确保@EnableWebSecurity注解正确配置 在Spring Security 6中,使用@EnableWebSecurity注解来启用Web安全功能。确保该注解正确配置在你的配置类上,例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { // 配置安全规则和其他相关配置 } ``` 2. 配置路径放行 在Spring Security中,可以通过配置路径来放行特定的URL。根据引用中的内容,你可以通过以下方式禁用Thymeleaf缓存,使得修改立即生效: ```yaml spring: thymeleaf: cache: false ``` 3. 检查自定义放行规则 如果自定义的放行规则不生效,可能是由于配置错误或者优先级问题导致的。请确保你的自定义放行规则正确配置在configure(HttpSecurity http)方法中,并且放行规则的顺序正确。例如: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/public/**").permitAll() // 自定义放行规则 .anyRequest().authenticated() .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .permitAll(); } ```
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值