Spring Security 鉴权的不同配置方式带来的差异

已于 2022-12-29 14:42:26 修改
阅读量304 收藏 1
点赞数 1
文章标签: spring java spring boot
于 2022-12-29 14:33:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_51512780/article/details/128481184
版权

        今天在使用 Spring Security 进行注解鉴权的时候发现一个问题,权限不足的异常居然被 SpringBoot 的全局异常处理器捕获了,而不是 Spring Security 的过滤链中负责异常处理的过滤器捕获的,返回的JSON数据如下:

{
	"code": 500,    // 全局异常处理器器中指定的自定义响应码
	"msg": "不允许访问"    // 这里在全局异常处理器中是使用 e.getMessage(),所以是 权限不足异常自己生成的 msg 内容
}

        为了排除问题,于是又使用配置类的方式配置了鉴权,这次的异常成功被 Spring Security 的过滤链 捕获了,返回的JSON数据如下:

{
	"code": 403,
	"msg": "无权限操作"
}

        这就不奇怪了,因为这是我自己定义的 鉴权失败处理器 返回的结果。

总结:

1、Spring Security 配置类方式配置的鉴权,是会在 Spring Security 的过滤链 中进行鉴权的,而注解方式配置的鉴权,则会在过滤链之后,进入Controller之前(最起码已经在Spring Boot的全局异常处理器之后)之间进行的鉴权。

2、由 "msg":"不允许访问" 可知,Spring Security 可能还做了一点国际化,不然返回的msg应该是英文。

3、具体原因还需要深入 Spring Security 源码才可知,作者时间有限,之后有空可以研究一下,这里做一个记录。有了解的大佬也可以在评论区解答一下,感谢。

解决方案:

1、不采用注解鉴权,全部使用配置类进行配置。(我觉得太麻烦了哈哈哈)

2、直接在 Spring Boot 的全局异常处理器中对这个权限不足的异常进行处理

3、在 Spring Boot 的全局异常处理器中继续向上抛出权限不足的异常,让 Spring Security 过滤链里的 自定义的鉴权失败处理器 进行处理。

       作者选择 3,因为我觉得要职责分明,权限不足异常还是应该由 自定义的鉴权失败处理器 进行处理,不应该在 Spring Boot 的全局异常处理器中耦合处理权限不足异常的代码。

小廷没睡醒
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Cloud Gateway 整合 Spring Security 统一登录认证鉴权
02-24
在压缩包文件`spring_gateway_security_webflux`中,可能包含了示例代码或配置文件,用于演示如何在Spring Cloud Gateway中集成Spring Security,实现统一登录认证鉴权。这些资源可以帮助开发者更快地理解和实践上述...
SpringSecurity动态加载用户角色权限实现登录及鉴权功能
08-25
Spring Security 动态加载用户角色权限实现登录及鉴权功能 在 Spring Security 中,动态加载用户角色权限是实现登录及鉴权功能的关键步骤。本文将详细介绍如何使用 Spring Security 实现动态加载用户角色权限,并...
SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法
08-19
主要介绍了SpringBoot集成Spring Security用JWT令牌实现登录和鉴权的方法,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧
spring security实现动态配置url权限的两种方法
weixin_33713350的博客
06-07 1679
缘起 标准的RABC, 权限需要支持动态配置spring security默认是在代码里约定好权限,真实的业务场景通常需要可以支持动态配置角色访问权限,即在运行时去配置url对应的访问角色。 基于spring security,如何实现这个需求呢? 最简单的方法就是自定义一个Filter去完成权限判断,但这脱离了spring security框架,如何基于spring security优雅的实现...
【读源码】SpringSecurity为什么要这么配置SpringSecurity判断登录源码解读
最新发布
就很有趣的博客
05-10 765
SpringSecurity判断登陆状态源码解读!
[原创]SpringSecurity控制授权(鉴权)功能介绍
weixin_30701575的博客
05-04 633
1.spring security 过滤器链 ​ spring security中的除了用户登录校验相关的过滤器,最后还包含了鉴权功能的过滤器,还有匿名资源访问的过滤器链,相关的图解如下: 2.控制授权的相关 ​ 这里是整个spring security的过滤器链中的授权流程中控制权限的的相关图示: ​ 这里主要是从AccessDecisionVoter的投票者(译称)把信息传递给投票管理...
spring-security(十二)鉴权方式概述
高枫的博客
02-18 858
前言: 本文主要讲述在spring security鉴权的实现方式,目前spring security 支持基于 spring aop、filter、aspectj三种认证方式,分别提供对方法调用、web请求、业务对象的访问控制。在spring security中健全主要是由AccessDecisionManager这个完成的,这个有一个decide方法,接受一个代表认证者信息的Auth...
spring security鉴权
行云的博客
07-07 3591
1.SpringSecurity 鉴权 - [重点]RBAC 基于角色访问控制 Role-Based Access Control组成部分:RBAC模型里面,有3个基础组成部分,分别是:用户user、角色role 和 权限permssionUser(用户):每个用户都有唯一的UID识别,并被授予不同的角色Role(角色):不同角色具有不同的权限Permission...
spring security方法鉴权使用示范项目
03-01
在这个"spring security方法鉴权使用示范项目"中,我们将深入探讨如何利用Spring Security进行方法级别的权限控制。 首先,Spring Security 提供了基于注解的方法安全特性,这允许我们在方法级别定义哪些用户或者...
springsecurity源码(鉴权有缺陷)
05-20
然而,正如标题所提及的,Spring Security 的源码可能存在鉴权缺陷。这个话题涉及到多个知识点,包括Spring Security的基本架构、鉴权流程、潜在的安全风险以及如何修复这些问题。 1. **Spring Security 基本架构**...
详解springSecurityjava配置
08-18
Spring SecurityJava 配置Spring Security 是一个功能强大且灵活的安全框架,用于保护基于 Java 的 Web 应用程序。Spring SecurityJava 配置是指使用 Java 代码来配置 Spring Security,以便更好地控制...
详解spring security 配置多个AuthenticationProvider
08-30
在上面的代码中,我们使用 Spring SecurityJava 配置方式,注册了我们的自定义 AuthenticationProvider 到 Spring Security 中。 最后,我们可以在应用程序中使用我们的自定义 AuthenticationProvider 进行身份...
Spring Security实现不同接口安全策略方法详解
09-07
Spring Security中,实现不同接口的安全策略是一项关键任务,尤其在处理多种应用场景,如无状态的JSON Web Token (JWT) 和基于Session的传统后端渲染应用时。本文将深入探讨如何利用Spring Security不同接口定制...
spring security http接口鉴权使用示范项目
03-01
在本项目"spring security http接口鉴权使用示范项目"中,我们将深入探讨如何利用Spring Security来实现HTTP接口的鉴权功能。这个项目旨在提供一个实践示例,帮助开发者理解并掌握Spring Security的核心概念和配置。...
Spring security+jwt服务鉴权完整代码.zip
09-09
2. **Spring Security配置**:在Spring Security中,你需要配置`WebSecurityConfigurerAdapter`来定制安全规则。这包括定义哪些URL需要被保护,以及如何处理未授权的访问。例如,你可以配置`.authorizeRequests()....
Spring Security基本配置方法解析
08-25
配置Spring Security之前,需要先建立一个maven多模块工程,spring-security是父模块,spring-security-browser是处理浏览器相关的授权认证,最终作为demo的一个jar依赖,spring-security-core是一些授权认证的...
基于spring-security框架的权限控制+注解方式设置权限
xy294636185的博客
06-14 1492
一般需要4张基础表和3张对应关系表。 菜单表 对应角色关系用Set表示: /** * 菜单 */ public class Menu implements Serializable { private Integer id; private String name; //菜单名称 private String linkUrl; //访问路径 private String path; //菜单项对应的路由路径 private Integer priorit
spring boot security ajax_SpringSpringBoot比较,到底有什么区别?
weixin_39696665的博客
11-22 85
击上方蓝色“程序员追风”,选择“设为星标”回复“关键词”获取整理好的面试资料作者:SanLi原文:pingfangushi.com/posts/1090913254/概述对于 SpringSpringBoot到底有什么区别,我听到了很多答案,刚开始迈入学习 SpringBoot的我当时也是一头雾水,随着经验的积累、我慢慢理解了这两个框架到底有什么区别,相信对于用了 SpringBoo...
spring security部分源码分析 鉴权流程
weixin_41029286的博客
07-06 292
鉴权的流程在FilterSecurityInterceptor中 我们需要先执行登陆的操作,然后访问一个需要有权限鉴定的接口,进入org.springframework.security.web.access.intercept.FilterSecurityInterceptor#doFilter方法 进入org.springframework.security.access.intercept.AbstractSecurityInterceptor#beforeInvocation org.spring
spring security 鉴权
07-15
Spring Security提供了多种方式来进行鉴权,其中最常用的方式是基于角色(Role)的鉴权和基于权限(Permission)的鉴权。 基于角色的鉴权是指通过为用户分配不同的角色来控制其对资源的访问权限。在Spring Security...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值