spring security异常捕捉过滤器ExceptionTranslationFilter源码详解

最新推荐文章于 2024-07-17 23:44:26 发布
最新推荐文章于 2024-07-17 23:44:26 发布
阅读量2.8k 收藏 3
点赞数 3
分类专栏: springsecurity 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42671464/article/details/106261043
版权

最近在写后台过程中,需要用到springsecurity安全框架来完成登录及权限认证,因为是前后端分离所以需要捕捉异常,如未登录、登录失败、登录超时、缺少权限等信息,所以自定义返回数据。
这些异常在springsecurity中统一由ExceptionTranslationFilter过滤器进行捕捉,所以我们就来分析一下此过滤器源码达到我们要求。

源码解析

1.我们首先看他的构造方法 在全参构造中 我们看到 分别导入
AuthenticationEntryPoint,accessDeniedHandler,authenticationTrustResolver 我们主要看前两者个,这两者是异常捕捉的重点。
AuthenticationEntryPoint:顾名思义身份验证入口,主要用来判断你的身份,凡是在身份认证过程中发生的错误
accessDeniedHandler:访问拒绝处理 就是你要访问某个资源,但是当你没有访问权限时,就会抛出异常,在此类中进行处理。
authenticationTrustResolver :用以判断SecurityContextHolder中所存储信息 判断上下文中有无用户信息来抛出异常

private AccessDeniedHandler accessDeniedHandler;
	//AuthenticationEntryPoint 登录认证异常处理
    private AuthenticationEntryPoint authenticationEntryPoint;
    //用以判断SecurityContextHolder中所存储信息
    private AuthenticationTrustResolver authenticationTrustResolver;
    private ThrowableAnalyzer throwableAnalyzer;
    private RequestCache requestCache;
    private final MessageSourceAccessor messages;
	
    public ExceptionTranslationFilter(AuthenticationEntryPoint authenticationEntryPoint) {
        this(authenticationEntryPoint, new HttpSessionRequestCache());
    }

    public ExceptionTranslationFilter(AuthenticationEntryPoint authenticationEntryPoint, RequestCache requestCache) {
        this.accessDeniedHandler = new AccessDeniedHandlerImpl();
        this.authenticationTrustResolver = new AuthenticationTrustResolverImpl();
        this.throwableAnalyzer = new ExceptionTranslationFilter.DefaultThrowableAnalyzer();
        this.requestCache = new HttpSessionRequestCache();
        this.messages = SpringSecurityMessageSource.getAccessor();
        Assert.notNull(authenticationEntryPoint, "authenticationEntryPoint cannot be null");
        Assert.notNull(requestCache, "requestCache cannot be null");
        this.authenticationEntryPoint = authenticationEntryPoint;
        this.requestCache = requestCache;
    }
在过滤器中最主要是dofilter方法
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;
		
        try {
        //捕捉过滤器链中的异常
            chain.doFilter(request, response);
            this.logger.debug("Chain processed normally");
        } catch (IOException var9) {
            throw var9;
        } catch (Exception var10) {
        //Throwable是exception的父类  获取异常
            Throwable[] causeChain = this.throwableAnalyzer.determineCauseChain(var10);
            //判断异常的类型 是否为AuthenticationException 
            RuntimeException ase = (AuthenticationException)this.throwableAnalyzer.getFirstThrowableOfType(AuthenticationException.class, causeChain);
            //如果不是AuthenticationException异常 再去判断是否为AccessDeniedException
            if (ase == null) {
                ase = (AccessDeniedException)this.throwableAnalyzer.getFirstThrowableOfType(AccessDeniedException.class, causeChain);
            }
			//如果两者都不是 判断是否为其他类型异常 并将其抛出 因为此过滤器只处理AuthenticationException和AccessDeniedException异常
            if (ase == null) {
                if (var10 instanceof ServletException) {
                    throw (ServletException)var10;
                }

                if (var10 instanceof RuntimeException) {
                    throw (RuntimeException)var10;
                }

                throw new RuntimeException(var10);
            }

            if (response.isCommitted()) {
                throw new ServletException("Unable to handle the Spring Security Exception because the response is already committed.", var10);
            }
			//最后去处理这两种异常
            this.handleSpringSecurityException(request, response, chain, (RuntimeException)ase);
        }

    }
在dofilter中调用handleSpringSecurityException方法 去处理异常

我们可以看到 此方法中对 这两种异常采用两种方式处理

如果抛出的异常是AuthenticationException,则执行方法sendStartAuthentication
如果抛出的异常是AccessDeniedException,且从SecurityContextHolder.getContext().getAuthentication()得到的是AnonymousAuthenticationToken和RememberMeAuthenticationToken,那么执行sendStartAuthentication
如果上面的第二点不满足,则执行accessDeniedHandler的handle方法

private void handleSpringSecurityException(HttpServletRequest request, HttpServletResponse response, FilterChain chain, RuntimeException exception) throws IOException, ServletException {
//异常属于AuthenticationException
        if (exception instanceof AuthenticationException) {
            this.logger.debug("Authentication exception occurred; redirecting to authentication entry point", exception);
            this.sendStartAuthentication(request, response, chain, (AuthenticationException)exception);
        } else if (exception instanceof AccessDeniedException) {
        //异常属于AccessDeniedException
            Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
            //判断authentication 是不是AnonymousAuthenticationToken和RememberMeAuthenticationToken类型
            if (!this.authenticationTrustResolver.isAnonymous(authentication) && !this.authenticationTrustResolver.isRememberMe(authentication)) {
            //如果不是 执行accessDeniedHandler.handle 是权限的问题
                this.logger.debug("Access is denied (user is not anonymous); delegating to AccessDeniedHandler", exception);
                //可以通过继承accessDeniedHandler 来实现handle方法 达到返回权限不足信息
                this.accessDeniedHandler.handle(request, response, (AccessDeniedException)exception);
            } else {
            //如果是则执行sendStartAuthentication 是登录认证的问题
                this.logger.debug("Access is denied (user is " + (this.authenticationTrustResolver.isAnonymous(authentication) ? "anonymous" : "not fully authenticated") + "); redirecting to authentication entry point", exception);
                this.sendStartAuthentication(request, response, chain, new InsufficientAuthenticationException(this.messages.getMessage("ExceptionTranslationFilter.insufficientAuthentication", "Full authentication is required to access this resource")));
            }
        }

    }
sendStartAuthentication方法 登录认证问题的解决
  protected void sendStartAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, AuthenticationException reason) throws ServletException, IOException {
        SecurityContextHolder.getContext().setAuthentication((Authentication)null);
        this.requestCache.saveRequest(request, response);
        this.logger.debug("Calling Authentication entry point.");
        //调用authenticationEntryPoint子类的commence方法  我们自定义authenticationEntryPoint的子类
        this.authenticationEntryPoint.commence(request, response, reason);
    }
我们自定义authenticationEntryPoint
public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AuthenticationException e) throws IOException, ServletException {
        //返回json形式的错误信息
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json");
        Object principal = null;
        SecurityContext context = SecurityContextHolder.getContext();
        //获取认证信息
        Authentication authentication = context.getAuthentication();
        if (authentication == null) {
            httpServletResponse.getWriter().println("{\"state\":201,\"msg\":\"未登录\"}");
        } else {
            //Principal: 重要的 --- UserDetails(用户详情)
            principal = authentication.getPrincipal();
            if ("anonymousUser".equals(principal.toString())) {
                if (httpServletRequest.getCookies() != null) {
                    httpServletResponse.getWriter().println("{\"state\":202,\"msg\":\"登录超时\"}");
                }
                httpServletResponse.getWriter().println("{\"state\":201,\"msg\":\"未登录\"}");
            }
        }


        httpServletResponse.getWriter().flush();


    }

}
我们自定义AccessDeniedHandler 返回

用来返回权限不足的信息

public class MyAccessDeineHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        httpServletResponse.setCharacterEncoding("utf-8");
        httpServletResponse.setContentType("text/javascript;charset=utf-8");
        httpServletResponse.getWriter().print("{\"state\":203,\"msg\":\"没有权限访问\"}");
    }
}
庸庸无为阳仔
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
Spring Security 6.x 系列【3】源码篇之基于过滤器的基本原理
记录知识、锤炼自我
03-27 3016
对Servlet的支持是基于过滤器的,在请求到达Servlet之前,通过过滤器进行认证授权校验,用户合法且有权限,放行通过,反之会跳转到登录页或拒绝访问。所以本篇文档主要介绍过滤器的相关知识。类比JAVA Web过滤器过滤器进行了各种代理和增强,可以简单理解Security过滤器请求到(代理过滤器)调用(过滤器链代理)根据请求,调用匹配的Security过滤器链)的多个有序的Security过滤器对请求进行处理,检验是否登录、是否授权… 并做出相应处理。
Spring Security 6.x 系列【4】源码篇之默认过滤器
记录知识、锤炼自我
03-27 2154
本篇文档主要介绍默认的15个过滤器相关作用。
SpringSecurity过滤器ExceptionTranslationFilter
clyu的博客
01-03 780
1、ExceptionTranslationFilter ExceptionTranslationFilter异常转换器位于整个springSecurityFilterChain的后方 ,用来转换整个链路出现的异常。此过滤器本身不处理异常。而是将认证过程出现的异常交给 内部维护的一些类去处理,一般处理两大异常AccessDeniedException授权异常和 AuthenticationException认证异常 public class ExceptionTranslationFilter ext
[12] ExceptionTranslationFilter
既无风雨也无晴
03-16 2万+
ExceptionTranslationFilter 介绍 Spring Security异常处理不能像常规Spring MVC或者Spring Boot那样进行统一异常处理,而是在过滤器上进行了层层拦截,代码阅读起来也有些费劲。而该Filter是用于处理Spring Security部分异常的,开发者可以自定义accessDeniedHandler和authenticationEntryPo...
Spring Security之安全异常处理
最新发布
Evan_L的博客
07-17 1226
Spring Security,特指对于安全异常的处理。我们知道Spring Security主要是基于过滤器来实现的,因此每个安全过滤器都可能发生安全异常,所以处理逻辑会被散落在各个过滤器Spring自然是不能忍受这种设计,于是就有了专门的安全异常处理。注:下文我们都用异常处理来代指安全异常处理。异常处理体系包括异常定义分两类 —— 认证异常、访问拒绝异常(鉴权异常
捕获SpringSecurity异常,进行统一返回
wuhao2343的博客
02-22 2158
需要捕获SpringSecurity异常,通过统一返回类封装后返回给前端,但是使用@ControllerAdvice的全局异常处理器无法捕获到SpringSecurity异常,原因如下:在SpringSecurity,如果认证或者授权的过程出现了异常会被ExceptionTranslationFilter捕获到。​所以如果我们需要自定义异常处理,我们只需要实现AuthenticationEntryPoint和AccessDeniedHandler接口然后配置SpringSecurity即可。
Spring Security3源码分析-ExceptionTranslationFilter分析
Dead_Knight的专栏
05-09 204
ExceptionTranslationFilter过滤器对应的类路径为 org.springframework.security.web.access.ExceptionTranslationFilter 从类名就看出这个过滤器用于异常翻译的。但是从这个过滤器filterchain的位置来看,它仅仅处于倒数第三的位置(这个filter后面分为是FilterSecurityIntercep...
ExceptionTranslationFilter详解
小汤圆
08-11 1560
ExceptionTranslationFilter异常转换过滤器位于整个springSecurityFilterChain的后方,用来转换整个链路出现的异常,将其转化,顾名思义,转化以意味本身并不处理。一般其只处理两大类异常AccessDeniedException访问异常和AuthenticationException认证异常。 这个过滤器非常重要,因为它将Java异常和HTTP的响应连接在了一起,这样在处理异常时,我们不用考虑密码错误该跳到什么页面,账号锁定该如何,只需要关注自己的业务逻辑,抛
SpringSecurity异常处理
xbcai1的博客
07-03 1264
SpringSecurity异常处理
一文搞定 Spring Security 异常处理机制!
2401_84407867的博客
04-20 793
我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!” />我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)[外链图片转存…(img-yw24h40Z-1713563349496)]
SpringSecurity6 | 核心过滤器
分享思想,留下痕迹。
11-08 1万+
大家好,我是Leo哥🫣🫣🫣,上一节我们通过源码剖析以及图文分析,了解了关于委派筛选器代理和过滤器链代理的原理和作用。这节课我们接着学习SpringSecurity过滤器,了解SpringSecurity都有哪些核心过滤器。好了,话不多说让我们开始吧😎😎😎。以上便是本文的全部内容,本人才疏学浅,文章有什么错误的地方,欢迎大佬们批评指正!我是Leo,一个在互联网行业的小白,立志成为更好的自己。如果你想了解更多关于Leo,可以关注公众号-程序员Leo,后面文章会首先同步至公众号。
拒绝访问异常处理(AccessDeniedException)_spring security例子
09-23
拒绝访问异常处理(AccessDeniedException)_spring security例子 博客:blog.csdn.net/dsundsun
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
[SpringSecurity5.6.2源码分析二十三]:ExceptionTranslationFilter
qq_41662584的博客
09-21 104
【代码】[SpringSecurity5.6.2源码分析二十三]:ExceptionTranslationFilter
SpringsecurityExceptionTranslationFilter
weixin_33976072的博客
11-11 1212
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring SecurityExceptionTranslationFilter
多看多听多总结
08-07 592
Spring SecurityExceptionTranslationFilter
Spring Security - ExceptionTranslationFilter
qq:489366879
11-08 882
1.首先判断是不是SpringSecurity产生的异常,如果是将在handleSpringSecurityException(request, response, chain, ase)处理,否则抛出ServletException/RuntimeException; 2.handleSpringSecurityException方法首先判断是否是AuthenticationException...
Spring Security 捕获 filter 层面异常,返回我们自定义的内容
扛麻袋的少年的博客
05-10 1446
通常,我们通过@ControllerAdvice和@ExceptionHandler来捕获并处理Controller层面的异常。但是,filter是在controller层之前的,需要先通过filter才能到达controller层,此文就介绍一下如何捕获filter层面的异常。   Spring异常会转发到 BasicErrorController 进行异常写入,然后才会返回客户端。所以,我们可以在 BasicErrorController 对 filter异常进行捕获并处理。 所以,我们需要重.
1.springSecurity前后端分离+全局异常捕获+token挤掉线+token续期+动态资源授权+验证码+前端明文加密
qq_42058998的博客
07-30 1893
springSecurity前后端分离+全局异常捕获+token挤掉线+token续期+动态资源授权
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值