[SpringSecurity5.6.2源码分析二十三]:ExceptionTranslationFilter

于 2023-09-21 11:44:10 发布
阅读量91 收藏
点赞数
分类专栏: SpringSecurity5.6.2源码分析 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41662584/article/details/133130326
版权

前言

  • ExceptionTranslationFilter是SpringSecurity中负责处理异常的过滤器
  • 这里的异常指的是下面两大异常
    • AuthenticationException:认证异常
    • AccessDeniedException:访问被拒绝异常
  • 这里的异常是由SpringSecurity中负责进行权限校验的FilterSecurityInterceptor抛出的

1. ExceptionHandlingConfigurer

  • ExceptionHandlingConfigurer是ExceptionTranslationFilter对应的配置类
  • 也是默认开启的配置类之一
    image.png

1.1 常用方法

  • 配置类中的常用方法都是为了配置下面的对象
public final class ExceptionHandlingConfigurer<H extends HttpSecurityBuilder<H>>
      extends AbstractHttpConfigurer<ExceptionHandlingConfigurer<H>, H> {

   private AuthenticationEntryPoint authenticationEntryPoint;

   private AccessDeniedHandler accessDeniedHandler;

   private LinkedHashMap<RequestMatcher, AuthenticationEntryPoint> defaultEntryPointMappings = new LinkedHashMap<>();

   private LinkedHashMap<RequestMatcher, AccessDeniedHandler> defaultDeniedHandlerMappings = new LinkedHashMap<>();
}
  • authenticationEntryPoint:身份验证入口点 是抛出认证异常才会执行的,比如说回到登录页的实现类LoginUrlAuthenticationEntryPoint
  • accessDeniedHandler:捕获了访问被拒绝异常的处理器
  • defaultEntryPointMappingsdefaultDeniedHandlerMappings:存放不同请求路径的的访问被拒绝的多个处理器 key:请求匹配器,比如说匹配/user value:对应的访问被拒绝的处理器

1.2 configure(…)

public void configure(H http) {
   //获得身份认证入口点
   AuthenticationEntryPoint entryPoint = getAuthenticationEntryPoint(http);
   //创建处理异常的过滤器,还传入了请求缓存器
   ExceptionTranslationFilter exceptionTranslationFilter = new ExceptionTranslationFilter(entryPoint,
         getRequestCache(http));
   //获得访问被拒绝处理器
   AccessDeniedHandler deniedHandler = getAccessDeniedHandler(http);
   exceptionTranslationFilter.setAccessDeniedHandler(deniedHandler);
   //进行objectPostProcessor处理
   exceptionTranslationFilter = postProcess(exceptionTranslationFilter);
   //添加过滤器到httpSecurity中
   http.addFilter(exceptionTranslationFilter);
}

2. ExceptionTranslationFilter

  • doFilter(…)方法的核心逻辑是try住下一个过滤器,而这个过滤器就是FilterSecurityInterceptor
private void doFilter(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
      throws IOException, ServletException {
   try {
      chain.doFilter(request, response);
   }
   catch (IOException ex) {
      throw ex;
   }
   catch (Exception ex) {
      //尝试从堆栈跟踪中提取SpringSecurityException,不懂
      Throwable[] causeChain = this.throwableAnalyzer.determineCauseChain(ex);
      //拿到认证异常
      RuntimeException securityException = (AuthenticationException) this.throwableAnalyzer
            .getFirstThrowableOfType(AuthenticationException.class, causeChain);
      //不是一个认证异常
      if (securityException == null) {
         securityException = (AccessDeniedException) this.throwableAnalyzer
               .getFirstThrowableOfType(AccessDeniedException.class, causeChain);
      }
      //既不是认证异常也不是访问被拒绝异常,那就继续抛
      if (securityException == null) {
         rethrow(ex);
      }
      if (response.isCommitted()) {
         throw new ServletException("Unable to handle the Spring Security Exception "
               + "because the response is already committed.", ex);
      }
      //处理SpringSecurity异常
      handleSpringSecurityException(request, response, chain, securityException);
   }
}
  • 而catch住的异常都会通过ThrowableAnalyzer转为认证异常和访问被拒绝异常,然后丢给handleSpringSecurityException(…)方法继续处理
  • 再看handleSpringSecurityException(…)方法,这里就分别对于两个异常有不同的处理逻辑了
private void handleSpringSecurityException(HttpServletRequest request, HttpServletResponse response,
      FilterChain chain, RuntimeException exception) throws IOException, ServletException {
   //是一个认证异常
   if (exception instanceof AuthenticationException) {
      handleAuthenticationException(request, response, chain, (AuthenticationException) exception);
   }
   //是一个访问被拒绝异常
   else if (exception instanceof AccessDeniedException) {
      handleAccessDeniedException(request, response, chain, (AccessDeniedException) exception);
   }
}

2.1 handleAuthenticationException(…)

    private void handleAuthenticationException(HttpServletRequest request, HttpServletResponse response,
          FilterChain chain, AuthenticationException exception) throws ServletException, IOException {
       this.logger.trace("Sending to authentication entry point since authentication failed", exception);
       sendStartAuthentication(request, response, chain, exception);
    }

    /**
     * 处理认证异常
     */
    protected void sendStartAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain,
          AuthenticationException reason) throws ServletException, IOException {
       //清除存储在线程级别的上下文策略的认证信息,HttpSession级别的会在SecurityContextPersistenceFilter的finally代码块中被更新
       //因为现有的认证不再被认为有效
       SecurityContext context = SecurityContextHolder.createEmptyContext();
       SecurityContextHolder.setContext(context);
       //将当前的请求放入请求缓存器
       //这样当重新登录后,还能将请求包装为这一次请求
       this.requestCache.saveRequest(request, response);
       //执行认证异常处理器
       this.authenticationEntryPoint.commence(request, response, reason);
    }

2.2 handleAccessDeniedException(…)

private void handleAccessDeniedException(HttpServletRequest request, HttpServletResponse response,
      FilterChain chain, AccessDeniedException exception) throws ServletException, IOException {
   Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
   boolean isAnonymous = this.authenticationTrustResolver.isAnonymous(authentication);
   //当是匿名用户和记住我用户
   if (isAnonymous || this.authenticationTrustResolver.isRememberMe(authentication)) {
      if (logger.isTraceEnabled()) {
         logger.trace(LogMessage.format("Sending %s to authentication entry point since access is denied",
               authentication), exception);
      }
      //还是当成一个认证异常处理
      //表示需要完整登录(用用户名和密码登录)
      sendStartAuthentication(request, response, chain,
            new InsufficientAuthenticationException(
                  this.messages.getMessage("ExceptionTranslationFilter.insufficientAuthentication",
                        "Full authentication is required to access this resource")));
   }
   else {
      if (logger.isTraceEnabled()) {
         logger.trace(
               LogMessage.format("Sending %s to access denied handler since access is denied", authentication),
               exception);
      }
      //调用访问被拒绝处理器,进行处理
      this.accessDeniedHandler.handle(request, response, exception);
   }
}
qq_41662584
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[12] ExceptionTranslationFilter
既无风雨也无晴
03-16 2万+
ExceptionTranslationFilter 介绍 Spring Security的异常处理不能像常规Spring MVC或者Spring Boot那样进行统一异常处理,而是在过滤器上进行了层层拦截,代码阅读起来也有些费劲。而该Filter是用于处理Spring Security部分异常的,开发者可以自定义accessDeniedHandler和authenticationEntryPo...
ExceptionTranslationFilter详解
小汤圆
08-11 1542
ExceptionTranslationFilter异常转换过滤器位于整个springSecurityFilterChain的后方,用来转换整个链路中出现的异常,将其转化,顾名思义,转化以意味本身并不处理。一般其只处理两大类异常:AccessDeniedException访问异常和AuthenticationException认证异常。 这个过滤器非常重要,因为它将Java中的异常和HTTP的响应连接在了一起,这样在处理异常时,我们不用考虑密码错误该跳到什么页面,账号锁定该如何,只需要关注自己的业务逻辑,抛
Spring SecurityExceptionTranslationFilter
多看多听多总结
08-07 580
Spring SecurityExceptionTranslationFilter
SpringSecurity - 启动流程分析(十二)- ExceptionTranslationFilter 过滤器
业精于勤荒于嬉
09-13 435
SpringSecurity - ExceptionTranslationFilter 过滤器
Spring Security--异常处理过滤器
oPeiJie1的博客
02-12 510
Spring Secutiy异常处理
easyui datagrid重新加载detailview异常_一文搞定 Spring Security 异常处理机制
weixin_39618824的博客
11-26 182
今天来和小伙伴们聊一聊 Spring Security 中的异常处理机制。在 Spring Security 的过滤器链中,ExceptionTranslationFilter 过滤器专门用来处理异常,在 ExceptionTranslationFilter 中,我们可以看到,异常被分为了两大类:认证异常和授权异常,两种异常分别由不同的回调函数来处理,今天松哥就来和大家分享一下这里的条条框框。1....
spring security 参考手册中文版
02-01
Spring Security 参考 1 第一部分前言 15 1.入门 16 2.介绍 17 2.1什么是Spring Security? 17 2.2历史 19 2.3版本编号 20 2.4获得Spring安全 21 2.4.1使用Maven 21 Maven仓库 21 Spring框架 22 2.4.2 Gradle 23 ...
Spring Security 新手入门级maven实例
07-02
**Spring Security新手入门级Maven实例详解** Spring Security是一个强大且高度可定制的身份验证和访问控制框架,用于JavaJava EE应用。它为应用程序提供了全面的安全解决方案,包括用户认证、授权以及安全配置。...
Concrete5 CMS网站源码 v5.6.2
04-02
把鼠标放在顶部的 Dashboard(控制台)上面,不要点进去,会显示一个窗口,下面有这三个选项: News – Learn about your site and concrete5. (新闻 – 了解您的网站和concrete5。) System & Settings – Secure ...
实验 5.6.2:RIP 配置练习
06-04
三、实验拓扑图及地址表 * 设备接口 IP 地址子网掩码默认网关 * BRANCH Fa0/0 10.10.2.1 255.255.254.0 不适用 * S0/0/0 192.168.1.6 255.255.255.192 不适用 * 92HQ Fa0/0 192.168.1.65 255.255.255.192 不适用 * ...
qt-everywhere-(qqqq)opensource-src-5.6.2.zip
07-05
编译QT 5.6.2源码在Linux环境下通常涉及以下步骤: 1. **安装依赖**:确保系统安装了必要的编译工具和库,如GCC、G++, Make, OpenSSL, zlib等。 2. **配置QT**:使用`configure`脚本进行编译前的配置,可以指定...
史上最简单的Spring Security教程(三十九):ExceptionTranslationFilter自动化配置及其简介
银河架构师的博客
10-31 1385
前面我们讲了Spring Security框架中承载着承上启下的作用的 FilterExceptionTranslationFilter。其中,当后续 Filter 发生 AuthenticationException 异常,或者是 AccessDeniedException 异常且此时为未登录状态或者是记住我状态,则调用 AuthenticationEntryPoint 来处理。 一般情况下,如无特殊需求,我们不会对 Spring Security 的异常处理做什么配置,那么系统又是如何自动...
史上最简单的Spring Security教程(三十八):ExceptionTranslationFilter详解
银河架构师的博客
10-24 1310
这是Spring Security框架FilterChain中倒数第二个 Filter,承载着承上启下的作用。还记得 FilterSecurityInterceptor 吗?史上最简单的Spring Security教程(十六):FilterSecurityInterceptor详解。 如当用户未登录时抛出的 AccessDeniedException 异常、或者其它 AuthenticationException 异常。此时,系统会跳转到固定的页面,如 403 页面、或者执行其它操作。 ...
Access is denied (user is anonymous); redirecting to authentication entry point
weixin_30412167的博客
04-13 3821
Access is denied (user is anonymous); redirecting to authentication entry point org.springframework.security.access.AccessDeniedException: Access is denied at org.springframework.security.acce...
SpringSecurity过滤器ExceptionTranslationFilter
clyu的博客
01-03 750
1、ExceptionTranslationFilter ExceptionTranslationFilter异常转换器位于整个springSecurityFilterChain的后方 ,用来转换整个链路中出现的异常。此过滤器本身不处理异常。而是将认证过程中出现的异常交给 内部维护的一些类去处理,一般处理两大异常:AccessDeniedException授权异常和 AuthenticationException认证异常 public class ExceptionTranslationFilter ext
spring security异常捕捉过滤器ExceptionTranslationFilter源码详解
阳仔的博客
05-21 2704
最近在写后台过程中,需要用到springsecurity安全框架来完成登录及权限认证,因为是前后端分离所以需要捕捉异常,如未登录、登录失败、登录超时、缺少权限等信息,所以自定义返回数据。 这些异常在springsecurity中统一由ExceptionTranslationFilter过滤器进行捕捉,所以我们就来分析一下此过滤器源码达到我们要求。 源码解析 1.我们首先看他的构造方法 在全参构造中 我们看到 分别导入 AuthenticationEntryPoint,accessDeniedHandler,
spring-security(十九)核心Filter-ExceptionTranslationFilter
高枫的博客
02-27 1341
前言: 在spring的安全过滤器链中ExceptionTranslationFilterFilterSecurityInterceptor的前面,这个过滤器自身并不执行具体的安全防护,他主要处理FilterSecurityInterceptor这个过滤器抛出的各种异常,并返回给客户端一个合适的http响应。 一、ExceptionTranslationFilter功能和属性 1.在类...
spring security 4 filter ExceptionTranslationFilter(二)
it帝国的博客-辉
03-04 650
今天学习的filterExceptionTranslationFilter,看名字是异常翻译过滤器 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest ...
Error response from daemon: manifest for elasticsearch:5.6.2 not found: manifest unknown: manifest unknown
最新发布
01-17
根据提供的引用内容,您遇到的错误是"Error response from daemon: manifest for elasticsearch:5.6.2 not found: manifest unknown: manifest unknown"。这个错误通常是由于Docker无法找到指定版本的Elasticsearch...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值