spring security 中的异常

已于 2024-09-06 16:50:40 修改
阅读量437 收藏 6
点赞数 3
分类专栏: spirng security 文章标签: spring
于 2024-09-06 12:35:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36260963/article/details/141939240
版权

一、简介

Spring Security 中异常主要分为两大类:

1、AuthenticationException: 认证异常

2、AccessDeniedException:  授权异常

  • AuthenticationEntryPoint 该类用来统一处理  AuthenticationException 异常

  • AccessDeniedHandler 该类用来统一处理  AccessDeniedException 异常

我们只要实现并配置这两个异常处理类即可实现对 Spring Security 认证授权相关的异常进行统一的自定义处理。

二、AuthenticationException 认证异常

异常介绍:

org.springframework.security.authentication.AccountStatusException  账号相关异常,抽象类,下面有三个实现类

        org.springframework.security.authentication.AccountExpiredException   账号过期异常

        org.springframework.security.authentication.CredentialsExpiredException 凭证过期(密码过期)

        org.springframework.security.authentication.DisabledException  账号禁用异常

        org.springframework.security.authentication.LockedException    账号已锁定异常

        

        

    

2.1 认证异常常用处理

    @Bean
    public LoginFilter loginVerifyImgFilter() throws Exception {
        LoginFilter filter = new LoginFilter();
        filter.setUsernameParameter("loginId");
        filter.setPasswordParameter("pwd");
        filter.setFilterProcessesUrl("/login.do");
        // 成功的响应
        filter.setAuthenticationSuccessHandler((req,resp,auth) -> {
            Map<String,Object> resMap = new HashMap<>();
            resMap.put("code","0000");
            resMap.put("msg","登录成功!");
            resMap.put("data",auth);
            WebRespUtils.writeJson(resp,resMap);
        });
        //登录失败的处理
        filter.setAuthenticationFailureHandler((req,resp,ex) -> {
            Map<String,Object> resMap = new HashMap<>();
            String errMsg = "登录失败";
            resMap.put("code","5001");

            if (ex instanceof LockedException) {
                errMsg = "账户被锁定,请联系管理员!";
            } else if (ex instanceof CredentialsExpiredException) {
                errMsg = "密码过期,请联系管理员!";
            } else if (ex instanceof AccountExpiredException) {
                errMsg = "账户过期,请联系管理员!";
            } else if (ex instanceof DisabledException) {
                errMsg = "账户被禁用,请联系管理员!";
            } else if (ex instanceof BadCredentialsException) {
                errMsg = "用户名或者密码输入错误,请重新输入!";
            }

            resMap.put("msg",errMsg);
            WebRespUtils.writeJson(resp,resMap);
        });

        // 指定自己的authenticationmanager
        filter.setAuthenticationManager(authenticationManagerBean());

        return filter;
    }

三、AccessDeniedException 授权异常

   授权异常 AccessDeniedException,授权异常的实现类比较少,因为授权失败的可能原因比较少,主要是在用户在访问受保护资源时被拒绝而抛出的异常

3.1 401 未授权状态

    HTTP 401 错误 - 未授权(Unauthorized) 一般来说该错误消息表明您首先需要登录(输入有效的用户名和密码)。如果你刚刚输入这些信息,立刻就看到一个 401 错误,就意味着,无论出于何种原因您的用户名和密码其中之一或两者都无效(输入有误,用户名暂时停用,账户被锁定,凭证失效等) 。总之就是认证失败了。其实正好对应我们上面的 AuthenticationException 。

3.2 403 被拒绝状态

    HTTP 403 错误 - 被禁止(Forbidden) 出现该错误表明您在访问受限资源时没有得到许可。服务器理解了本次请求但是拒绝执行该任务,该请求不该重发给服务器。并且服务器想让客户端知道为什么没有权限访问特定的资源,服务器应该在返回的信息中描述拒绝的理由。一般实践中我们会比较模糊的表明原因。该错误对应了我们上面的 AccessDeniedException 。

四、代码处理异常

  自定义认证异常处理类和授权异常处理类:


/*
* 自定义认证异常处理
*/
@Component
public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, 
     AuthenticationException authException) throws IOException, ServletException {
            Map<String,Object> resMap = new HashMap<>();
            String errMsg = authException.getMessage();
            resMap.put("code","5001");
            resMap.put("msg",errMsg);
            WebRespUtils.writeJson(response,resMap);
    }
}



/*
* 自定义授权异常处理
*/
@Component
public class MyAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setStatus(403);
            Map<String,Object> resMap = new HashMap<>();
            String errMsg = authException.getMessage();
             resMap.put("code","403");
             resMap.put("msg",errMsg);
            WebRespUtils.writeJson(response,resMap);
    }
}

4.2  SecurityConfig 中进行配置

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                ...
                ...
                .and()
                .exceptionHandling()
                .authenticationEntryPoint(myAuthenticationEntryPoint)
                .accessDeniedHandler(myAccessDeniedHandler)
                .and()
                ...
                ...
    }
}

星空寻流年
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
捕获SpringSecurity异常,进行统一返回
wuhao2343的博客
02-22 2257
需要捕获SpringSecurity异常,通过统一返回类封装后返回给前端,但是使用@ControllerAdvice的全局异常处理器无法捕获到SpringSecurity异常,原因如下:在SpringSecurity,如果认证或者授权的过程出现了异常会被ExceptionTranslationFilter捕获到。​所以如果我们需要自定义异常处理,我们只需要实现AuthenticationEntryPoint和AccessDeniedHandler接口然后配置给SpringSecurity即可。
拒绝访问异常处理(AccessDeniedException)_spring security例子
09-23
拒绝访问异常处理(AccessDeniedException)_spring security例子 博客:blog.csdn.net/dsundsun
Spring Security异常
小汤圆
08-12 1685
有关认证和授权的异常处理
spring security3.x学习(6)_认证详细流程和认证异常
杜雷的技术博客
09-18 1729
还记得认证管理的过程吧、 通过AuthenticationManger管理器分配给AuthenticationProvider,然后AuthenticationProvider进行处理,上次我们说的流程是这样的,, 这次我们把它更深入一下。 还拿我们运行的例子来说吧                     其实是这样的。AuthenticationMan
SpringSecurity源码学习二:异常处理
qq_27586963的博客
10-15 833
首先,ExceptionTranslationFilter 调用 FilterChain.doFilter(request, response) 来调用应用程序的其他过滤器。如果用户没有被认证,或者是一个 AuthenticationException,那么就开始认证,SecurityContextHolder 被清理掉。HttpServletRequest 被保存起来,这样一旦认证成功,它就可以用来重放原始请求。AuthenticationEntryPoint 用于请求客户的凭证。
spring security oauth2 资源服务器WebAsyncTask/DeferredResult接口调用报错InsufficientAuthenticationException
路过君的博客
08-10 4113
异常现象 访问非WebAsyncTask接口正常 访问WebAsyncTask接口成功执行代码逻辑,但返回信息抛出异常InsufficientAuthenticationException 服务报错: Could not fetch user details: class org.springframework.beans.factory.BeanCreationException, Error creating bean with name ‘scopedTarget.oauth2ClientConte
一文搞定 Spring Security 异常处理机制!
2401_84407867的博客
04-20 836
我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!” />我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)[外链图片转存…(img-yw24h40Z-1713563349496)]
Spring Security异常 Encoded password does not look like BCrypt
06-26
控制台报错: Encoded password does not look like BCrypt 意思是前端传回去的密码格式与数据库里的密码格式不匹配,这样即使密码正确也无法校验。自然也就无法登录。 造成这种情况的原因主要有以下几点:
springsecurity学习笔记
12-13
在"springsecurity学习笔记",你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
使用SpringSecurity3用户验证几点体会(异常信息,验证码)
04-03
NULL 博文链接:https://kennylee26.iteye.com/blog/1473505
Spring Security 实战内容:自定义异常处理
V539413949的博客
04-14 1072
1. 前言 今天正好项目 Spring Security 需要对认证授权异常的处理,就分享出来吧 。 2. Spring Security 异常 Spring Security 异常主要分为两大类:一类是认证异常,另一类是授权相关的异常。 2.1 AuthenticationException AuthenticationException 是在用户认证的时候出现错误时抛出的异常。主要的子类如图: 根据该图的信息,系统用户不存在,被锁定,凭证失效,密码错误等认证过程出现的异常都由 Authe.
spring Security 异常处理
weixin_52834606的博客
09-06 4485
spring security 前后端分离 异常处理 !
org.springframework.security.authentication.BadCredentialsException: Bad credentials异常
qq_42197032的博客
09-25 2万+
从控制台打印的信息可以看出登录输入的密码和数据库密码不匹配的问题 spring security 5.0 密码未加密报错 使用springsecurity5.0后,配置文件直接写普通的密码如:123456,会报错: java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "n...
org.springframework.security.authentication.InternalAuthenticationServiceException: Invalid bound st
weixin_45815520的博客
10-27 381
建议在自定义的方法上使用@Select注解,把在mapper写好的sql语句粘贴过来,就可以使用。mybatis找到不自定义在接口的方法。目前没有其他办法解决。
Spring Security教程外篇(1)---- AuthenticationException异常详解
chongmiandun5173的博客
02-28 460
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/jaune161/article/details/18361421 这个异常是在登录的时候出现错误时抛出的异常,比如账户锁定,证书失效等,先来看下AuthenticationEx...
Spring SecurityAuthenticationException实现总结
与望
04-30 7217
引言 在Spring Security,认证失败时会抛出 AuthenticationException异常,而 AuthenticationException 有些子类我们需要了解和记忆一下以便我们更好的使用。 需要注意的是 AuthenticationException 是运行时异常AuthenticationException子实现 UsernameNotFoundException...
Java学习之错误记录(2)---org.springframework.security.authentication.InternalAuthenticationServiceException:
热门推荐
u013062192的博客
12-22 4万+
今天在配置Spring Security过程,没有看懂下面语句的作用。 @Bean CustomUserService customUserService() { // 注册UserDetailsService 的bean return new CustomUserServiceImpl(); } 将原博主的代码: @Bean CustomUs...
spring security自定义异常处理
最新发布
05-28
Spring Security 是一个基于 Spring 的安全框架,其支持多种认证方式、授权方式以及自定义安全过滤器等。在使用 Spring Security 进行开发时,自定义异常处理是非常重要的一部分。下面是 Spring Security 自定义异常处理的步骤: 1. 实现 AuthenticationEntryPoint 接口,该接口用于处理未认证用户的请求。通过实现该接口,可以自定义未认证用户的返回结果,例如返回自定义的 JSON 格式数据或者跳转到自定义的登录页面。 2. 实现 AccessDeniedHandler 接口,该接口用于处理已认证用户但没有权限访问资源的请求。同样可以通过实现该接口,自定义返回结果。 实现以上两个接口之后,需要在 Spring Security 配置进行配置,将自定义实现的类添加到配置即可生效。下面是一个示例配置: ``` @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private MyAuthenticationEntryPoint myAuthenticationEntryPoint; @Autowired private MyAccessDeniedHandler myAccessDeniedHandler; @Override protected void configure(HttpSecurity http) throws Exception { http.exceptionHandling() .authenticationEntryPoint(myAuthenticationEntryPoint) .accessDeniedHandler(myAccessDeniedHandler) .and() .authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("USER", "ADMIN") .anyRequest().authenticated() .and() .formLogin().loginPage("/login").permitAll() .and() .logout().permitAll(); } } ```
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

星空寻流年

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值