Security异常抛出时机

最新推荐文章于 2024-10-06 20:16:20 发布
最新推荐文章于 2024-10-06 20:16:20 发布
阅读量400 收藏 5
点赞数 8
文章标签: java 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43301229/article/details/135134629
版权

这篇文章主要探讨security在认证失败和权限不足时抛出异常的时机。

        使用了ControllerAdvice统一异常处理后,security抛出的异常,有些被security的异常处理器捕获,而有些被ControllerAdvice捕获。

        在这之前需要明白security认证和权限校验的时机。

       对于一个需要认证或权限的api,它的处理流程如下。

        为了方便我把ExceptionTranslationFilter称为异常过滤器,把FilterSecurityInterceptor成为security处理器

  1. 当发送请求时,在token过滤器中会将请求所拥有的权限放入security上下文中。
  2. 执行到security处理器时,对用户进行认证和权限校验。
    1. 如果认证失败,这里会抛出AccessDeniedException异常,被 异常过滤器捕获,而后调用security的认证失败处理器AuthenticationEntryPoint。异常捕获后就不会再抛出了。至此请求返回。(程序不会报错信息)。
      认证失败在抛出异常时的方法调用,以及抛出异常
  3. 如果认证成功,security处理器进入权限验证阶段,调用所访问的api,通过该api的切面去验证请求是否有权限访问对应该api。
    拒绝访问,在抛出异常前的方法调用
    1. 权限验证成功,切面放行。
    2. 权限验证失败也会抛出AccessDeniedException异常(是的,认证失败和权限不足都是这个异常,校验的方法也是同一个,AffirmativeBased的decide方法)。因为这时是调用api切面实现的权限校验,所以这里抛出的异常会被ControllerAdvice拦截,如果没有配置ControllerAdvice,异常会被异常过滤器捕获,而后调用security的拒绝访问处理器。(内部通过请求是否匿名来判断应该调用哪个处理器)。
  4. 请求结束。
通过自定义切面验证,校验操作是进入controller之前
通过自定义切面确定 权限校验操作是在控制层之后

总结一下,认证操作是在进入控制层之前完成,抛出的异常也是在控制层之前抛出。权限校验操作是在进入控制层之后,api执行之前完成,异常是在进入控制层之后抛出。

        所以,在不配置ControllerAdvice情况下,认证失败和拒绝访问都会调用security对应的处理器。当配置ControllerAdvice后,拒绝访问异常会先经过ControllerAdvice,如果被捕获,则不会再调用security处理器。

不死的小白
关注
使用拦截器统一处理异常
yipiankongbai的专栏
06-14 2256
作为一个业务仔,在业务接口代码中肯定会遇到处理异常的情况,比如有代码逻辑的异常,业务逻辑的异常等等。这些异常场景是非常非常多的,这么多异常逻辑要处理,就意味着要写很多重复的代码,作为一个...
SpringSecurity系列文章学习笔记
weixin_38370441的博客
04-13 889
SpringSecurity系列文章学习笔记学习链接第一篇:入门程序第二篇:自动登录第三篇:异常处理第四篇:自定义表单登录第五章:权限控制第六章:登录管理第七章:认证流程第八章:短信验证码登录 学习链接 https://blog.csdn.net/yuanlaijike/category_9283872.html 第一篇:入门程序 文章目录: 一、导入依赖 二、创建数据库 三、准备页面 四、配置application.properties 配置了数据库驱动、URL、账户密码、开启mybatis的部分配置 五
捕获SpringSecurity异常,进行统一返回
wuhao2343的博客
02-22 2250
需要捕获SpringSecurity中的异常,通过统一返回类封装后返回给前端,但是使用@ControllerAdvice的全局异常处理器无法捕获到SpringSecurity中的异常,原因如下:在SpringSecurity中,如果认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。​所以如果我们需要自定义异常处理,我们只需要实现AuthenticationEntryPoint和AccessDeniedHandler接口然后配置给SpringSecurity即可。
Spring Security(3)——异常处理
红烧咸鱼的博客
04-21 3082
异常处理 我们在这里只是介绍下Spring Security的简单的异常的抓取。并不做源码的分析。 一, 常见的异常 UsernameNotFoundException 用户不存在,但是我程序中抛出异常的时候,常常抓取到的是BadCredentialsException异常 这种情况,我们可以自定义异常,继承AuthenticationException 类 DisabledException...
spring security 5 (7)-异常处理
JAVA博客
03-24 5414
spring security主要有两大异常,登录时认证失败异常401,及请求时没有权限异常403。 AuthenticationException(401) 登录不成功,如密码错误等可抛出BadCredentialsException,它是AuthenticationException的子类。 if (!code.equals("123")) { ...
Spring Security入门(3-4)Spring Security 异常处理、异常传递和异常获取
weixin_33754913的博客
06-15 883
   
一文搞定 Spring Security 异常处理机制!
江南一点雨的专栏
06-30 1万+
今天来和小伙伴们聊一聊 Spring Security 中的异常处理机制。 在 Spring Security 的过滤器链中,ExceptionTranslationFilter 过滤器专门用来处理异常,在 ExceptionTranslationFilter 中,我们可以看到,异常被分为了两大类:认证异常和授权异常,两种异常分别由不同的回调函数来处理,今天松哥就来和大家分享一下这里的条条框框。 1.异常分类 Spring Security 中的异常可以分为两大类,一种是认证异常,一种是授权异常。 认证异常
spring框架集成:全局异常处理类无法捕获springsecurity抛出异常的问题
toytoytelecar的博客
09-03 2336
在使用框架集成时,通常我们会使用全局异常处理类来捕获产生的异常;但在集成springsecurity时,我们遇到了这样的问题:重定义登录逻辑、重写UsernamePasswordAuthenticationFilter类时,里面抛出的的异常不会被全局异常处理类捕获
Spring Security的FailureHandler触发时机
white_bird_shit的博客
11-24 798
Spring Security的FailureHandler触发时机 今天遇到一个问题,场景是在查询数据库的过程中,想要将查询过程中出现的错误和异常进行抛出,并交由SpringSecurity 自定义的失败处理器FailureHandler处理,本以为只要抛出异常就会被SpringSecurity异常过滤器链拦截,结果不管怎么处理都没有实现 后来看了以下SpringSecurity异常处理源码,发现SpringSecurity只处理框架异常处理类AuthenticationException的异常 具体
SpringBoot+SpringSecurity+Jwt权限认证---认证
weixin_45987961的博客
12-10 623
1. 整体逻辑 1. SpringSecurity认证的逻辑规则 启动项目时,SpringBoot自动检索所有带@Configuration的注解,所以就将我们的WebSecurityConfig给加载了,这个config中,我们需要在configure(AuthenticationManagerBuilder auth)方法中注册一个继承自UserDetailsService的接口,这个接口中只有一个方法,那就是使用username获取到数据库中用户信息并返回成UserDetail实体。这个方法需要我
java中账户冻结后无法登录_Spring Security实现多次登录失败后账户锁定功能
weixin_29130255的博客
02-25 688
在上一次写的文章中,为大家说到了如何动态的从数据库加载用户、角色、权限信息,从而实现登录验证及授权。在实际的开发过程中,我们通常会有这样的一个需求:当用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。一、基础知识回顾要实现多次登录失败账户锁定的功能,我们需要先回顾一下基础知识:Spring Security 不需要我们自己实现登录验证逻辑,而是将用户、角色、权限信...
SpringBoot集成Spring Security(3)——异常处理
热门推荐
Jitwxs
05-09 2万+
Step1 常见异常 Step2 源码分析 Step3 处理异常 不知道你有没有注意到,当我们登陆失败时候,spring security帮我们跳转到了/login?error,奇怪的是不管是控制台还是网页上都没有打印错误信息。 这是因为首先/login?error是spring security默认的失败url,其次如果你不手动处理这个异常,这个异常是不会被处理...
spring security认证异常无法被全局异常捕获
进击的豌豆的博客
07-09 2649
项目使用@ControllerAdvice+@ExceptionHandler注解组合,实现全局异常处理器 @ExceptionHandler({AuthenticationException.class}) public Object handleAuthorizationException(HttpServletRequest request, AuthenticationException e) { log.error(e.getMessage(), e);
JDK1.0主要特性
最新发布
FoolRabbit的专栏
10-06 231
JDK1.0主要特性。
JavaScript ArrayBuffer的读写与类型转换
白瑕 的博客
10-01 465
所有视图的基本单位是ArrayBuffer, ArrayBuffer中只存储二进制格式的数据.ArrayBuffer不可直接读写, 必须通过视图(比如DataView)暴露的API.
java将word转pdf
紫月7575的博客
09-30 558
java将word转pdf
spring-boot 整合 mybatis
m0_72168501的博客
09-29 564
spring boot 整合 mybatis
springsecurity抛出BadCredentialsException()异常
12-30
然而,在Spring Boot 2.7中,Spring Security异常信息进行了改进,不再抛出BadCredentialsException异常,而是直接输出"用户名或密码错误"的错误信息。这样,我们就不需要重新处理异常信息了。 引用中提到了在...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值