关于Security抛出异常AccessDeniedException: 不允许访问

于 2022-10-24 14:58:35 发布
阅读量5.6k 收藏 4
点赞数 1
分类专栏: SpringSecurity 文章标签: 1024程序员节
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_49194578/article/details/127492839
版权

这个异常是由@PreAuthorize抛出的,通过我们定义的

// 处理异常
http.exceptionHandling()
        .accessDeniedHandler((request, response, accessDeniedException) -> {
            response.setStatus(HttpStatus.FORBIDDEN.value());
            ResponseUtils.writeAndFlush(response, new Result<>(false, 403, "访问被拒绝", accessDeniedException.getMessage()));
        })
        .authenticationEntryPoint((request, response, authException) -> {
            response.setStatus(HttpStatus.UNAUTHORIZED.value());
            ResponseUtils.writeAndFlush(response, new Result<>(false, 401, "未完成身份认证", authException.getMessage()));
        });

可以访问,可是一旦我们配置了全局异常处理,并且添加了Exception处理未匹配异常时,异常就会被全局处理器捕获,而到不了Security
解决办法1:
直接在全局处理器里处理这个异常了
解决办法2:
直接把这个异常捕获以后继续向上抛出,让Security处理
在这里插入图片描述

人形bug制造机9527
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
spring-security_examples:Spring 安全示例
06-18
当认证或授权失败时,Spring Security 将抛出相应的异常。开发者可以自定义异常处理器来控制这些异常的显示方式。项目中可能包含如何处理 `AccessDeniedException` 和 `AuthenticationException` 的例子。 7. **...
Spring Security如何使用URL地址进行权限控制
08-25
5. 如果用户没有权限访问某个资源,我们可以抛出AccessDeniedException异常,以便阻止用户访问该资源。 代码实现 以下是一个简单的示例代码,演示如何实现自定义的accessDecisionManager: ```java package org....
Spring security 配置的AccessDeniedHandler无效,抛出AccessDeniedException允许访问
热门推荐
单筱风的博客
12-17 2万+
1.Spring Security 中的异常处理 我们在 Spring Security 实战干货系列文章中的 自定义配置类入口 WebSecurityConfigurerAdapter 一文中提到 HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口: AuthenticationEntryPoint 该类用来统一处理 AuthenticationEx
【解决】分析SpringSecurity访问请求权限不足AccessDeniedException问题
sunao1106的博客
08-13 6185
> 该方法中首先调用了`this.obtainSecurityMetadataSource().getAttributes(object)`方法,通过当前请求路径获取到**访问该请求所需要的权限**(object是上一步调用传过来的参数,封装了我们请求路径的一些信息)。.........
Spring Security自定义认证异常和授权异常
程序三两行
07-27 3926
Spring security中默认提供的异常处理器不一定满足项目的需求,那这时一般都会在Spring Security 的 自定义配置类( WebSecurityConfigurerAdapter )中使用HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。AuthenticationEntryPoint 该类用来统一处理 AuthenticationException 异常。
org.springframework.security.access.AccessDeniedException: 不允许访问
louis_lee7812的专栏
10-22 7757
org.springframework.security.access.AccessDeniedException: 不允许访问。原因是:@PreAuthorize 注解的异常,抛出AccessDeniedException异常,不会被accessDeniedHandler捕获,而是会被全局异常捕获。
SpringSecurity问题分析之AccessDeniedException: Access is denied 源码分析
weixin_43180484的博客
04-10 1万+
问题描述 org.springframework.security.access.AccessDeniedException: Access is denied 2021-04-10 16:17:01.950 DEBUG [authorization-server,8c5f48650de0f659,83580d93d6acb342,false] 7328 — [nio-8000-exec-1] o.s.s.w.u.matcher.AntPathRequestMatcher : Checking matc
Spring security 自定义的AccessDeniedHandler无效,抛出AccessDeniedException允许访问
m0_37257009的博客
08-16 1101
security异常
spring security刚打开页面报org.springframework.security.access.AccessDeniedException: Access is denied
jhbjhbk的博客
02-20 2530
spring securityAccess is denied异常处理      访问时刚打开也面报错,但可以登录,下面是我遇到这个情况的解决 org.springframework.security.access.AccessDeniedException: Access is denied at org.springframework.se...
Spring security AccessDeniedException & 403 被拒绝状态
Miao_Yue_LIN的博客
03-05 5593
Spring security AccessDeniedException & 403 被拒绝状态
spring-security-demo:这是简单的Spring Security演示
05-16
5. **异常处理**:当认证或授权失败时,Spring Security会抛出相应的异常,如AuthenticationExceptionAccessDeniedException。这些异常可以被捕获并自定义处理,例如返回错误页面或JSON响应。 6. **logout功能**...
spring security自定义决策管理器
08-29
// 如果用户没有权限访问资源,则抛出 AccessDeniedException throw new AccessDeniedException("访问资源失败"); } } ``` 在上面的实现中,我们首先获取用户的 principal 对象,然后判断用户是否有访问资源所需...
话说Spring Security权限管理(源码详解)
08-31
`AccessDecisionManager`是Spring Security授权流程的核心接口,它负责决定一个认证的用户是否被允许访问特定的受保护资源。`AccessDecisionManager`的`decide()`方法是授权过程的关键,它接收三个参数:`...
前后端分离版的oauth2.0第三方登录,做个总结
m0_49194578的博客
01-27 6545
场景搭建过程adv向授权服务器发送申请授权码请求授权和资源授权服务器SecurityConfigAuthorizationServerConfigCustomJwtTokenFilter资源服务器SecurityConfigResourceServerConfig一些当前场景的奇怪自定义配置UserLoadCustomJwtTokenEncoder执行流程获取授权码授权码兑换access_token授权码访问资源 场景 1.提供登录服务的平台adv 2.第三方app生成state通过拉起adv传输客户端i.
复习oauth2.0后续
m0_49194578的博客
01-25 3012
之前使用的时候跑偏了; 被我给弄成了错误的流程;爱 现在打算重新改造一下 目前: 服务A:授权+资源服务 服务B:开放平台服务 服务C:第三方服务; 目前已有: 直接在A服务登录,获取授权码直接返回; 用自定义的方式在A服务登录,获取授权码返回; C从B获取特殊的Token到A建立登录状态,获取授权码直接返回; 错误: 错误的把授权服务当成了登录的目标,至少这里不该这样,,, 目前的情况是: B是一个现有平台,使用jwt维持登录状态, 现在需要添加一个使用B平台登录的情况, 为了减小对原来的项目的干涉,不引
重温一次oath2.0的配置
m0_49194578的博客
01-24 2477
准备工作针对资源和认证服务器分别进行不同的配置授权服务器配置资源服务器配置基本依赖 准备工作 首先需要实现UserDetailsService接口,完成用户的加载;注意这里的密码需要加密,如果数据库是明文则需要加密以后设置进去 再者需要实现一个UserDetails接口,在里面完成用户信息的对外输出; 再者需要实现一个GrantedAuthority接口,在里面完成用户权限的对外输出; 创建一个@bean返回PasswordEncode的加解密实现类,推荐使用现成的BCryptPasswordEncode.
SpringSecurity学习笔记之 入门 十六 ( 基于JJWT 无状态会话管理的【前后端分离】)
m0_49194578的博客
08-26 2362
之前的项目都是基于session的会话,用户的信息数据储存在session中; 但是有两个弊端,1.session不是很安全,2.在分布式项目中session的管理是个问题; 所以尝试使用jjwt来解决问题 由于security原生支持的是session。所以改jwt我们就需要手动完成框架自动完成的部分; 手动加入过滤器,拦截请求进行token认证; 手动调用登录请求调用loadUser,进行登录认证; 手动完成用户Conext的创建,并设进线程域对象; 至于用户信息的管理: 直接在载荷里存入用户信息
SpringSecurity学习笔记之 入门 八 (Access表达式权限控制&注解权限控制)
m0_49194578的博客
08-10 985
uri通过传参导入请求数据以及权限信息,导出数据进行逻辑判断。
org.springframework.security.access.accessdeniedexception: 不允许访问
最新发布
04-30
org.springframework.security.access.accessdeniedexception是Spring Security框架中的一个异常类。当用户尝试访问被保护的资源,但是由于缺乏必要的授权或权限不足而被拒绝访问时,该异常将被抛出。例如,在通过Spring Security对应用程序进行安全配置后,可能会针对某些特定用户或角色限制访问某些URL或操作,这些用户或角色如果没有相应的访问权限,那么Spring Security就会抛出accessdeniedexception进行提示。 通常情况下,可以通过向对应的URL、方法或资源添加所需的角色/权限来解决这个问题。例如,可以使用@PreAuthorize注解在控制器方法上指定要求的权限,或通过使用Spring Security配置文件指定不同角色的授权级别。 总体而言,Spring Security框架提供了一系列安全配置选项,包括认证(验证用户身份)、授权(管理用户访问权限)等功能,以此保护应用程序不受安全攻击和违规访问。在开发中,应该对不同的资源和操作进行适当的安全保护和授权管理,同时对可能出现的异常情况进行预期和处理。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值