Spring Security 自定义异常处理403

置顶 已于 2023-07-18 22:52:33 修改
阅读量2k 收藏 5
点赞数 2
分类专栏: SpringBoot Java 文章标签: spring boot 后端 java
于 2023-07-18 22:23:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43904196/article/details/131795821
版权
文章详细分析了SpringSecurity在处理请求时的过滤链过程,导致403Forbidden异常的原因,并解释了SecurityContext的认证信息处理。通过ExceptionTranslationFilter和AuthenticationEntryPoint接口,说明了如何自定义异常处理,特别是403错误的情况。最后,展示了自定义异常处理前后的测试结果,强调了未登录和已登录用户的异常处理区别。
摘要由CSDN通过智能技术生成

一、前言

        在spring boot整合Spring Security 之后,启动项目的时候就会默认进入Security的登录界面,默认访问所有请求都需要先登录,如下图所示:

4df8496d959742b58fdcc15d65718162.png

在访问其他接口就会403的错误

9dd2f372b45146f7bc638f8486ac5ebe.png

二、原因

         通过分析SpringSecurity请求与响应的一个流程可以得知其实在后台就是将请求经过一系列的过滤链之后在返回响应结果。如下图所示:

8fb353b1760d432eb53fd73fae57faff.png

因此本次主要解释异常处理,所有我们进入到ExceptionTranslationFilter类中找到doFilter方法

1dc62a1bc9804950aa92aba914ce06f9.png

 这里可以很好的理解首先是对chain.doFilter(request, response) 进行一个异常捕获,然后在看是那种异常进行响应处理,通过断点分析可以得出

1 .Throwable[] causeChain = this.throwableAnalyzer.determineCauseChain(ex):

是获得所有异常对象causeChain 。

2. RuntimeException securityException = (AuthenticationException) this.throwableAnalyzer
.getFirstThrowableOfType(AuthenticationException.class, causeChain):

根据指定类型AuthenticationException(认证)查找第一个异常对象,如果找到返回该对象,否则返回null

3.如过securityException是null,则进行根据AccessDeniedException查找异常对象并赋给securityException。

4fdb4167eb284f9487abf1890acaead9.png

所以看最后handleSpringSecurityException(request, response, chain, securityException)这一行

192fc6adeec3477bbbd0775fd187c7b6.png

 很明显直接进入执行handleAccessDeniedException(request, response, chain, (AccessDeniedException) exception)这条语句

8133d082821545c2a397951144f02091.png

进入这个函数通过段点分析,很明显

1.SecurityContextHolder.getContext().getAuthentication():

这条语句时从SecurityContext获取认证信息,由于没有登录,所以该认证信息是anonymousUser(匿名)

2.this.authenticationTrustResolver.isAnonymous(authentication):

这条语句就是判断是不是匿名用户了,很明显是返回True

3.if (isAnonymous || this.authenticationTrustResolver.isRememberMe(authentication))

进行判断是不是匿名(true)用或已记住的用户(false),很明显返回true

接下来主要看条语句传了异常进去baa055e5875a44e684cc60f0be6e0b32.png

具体的执行方法c34e86dbea7648cf8ce1a0092e5f3835.png

 在定义方法参数的时候用了AuthenticationException类型进行接受,通过查看继承与实现关系可以得知InsufficientAuthenticationException继承了AuthenticationExceptsd7b0793cb0b174a40b8f22a88867f9e47.png在执行这条语句时候可以得出

3fb7c7e6b26945b19d061cc0c70d4150.png

它是来自AuthenticationEntryPoint接口的commence方法

 该接口有6个实现类,而403异常信息来字Http403ForbiddenEntryPoint这个实现类

ca42128aec60477ea42edbacd91256f2.png

 Http403ForbiddenEntryPoint实现类cba63f5d7b1447d0af4e680587672b26.png

 由此可见403是在这里对response进行设置的。

三、自定义进行异常处理

        通过以上原因进行分析我们得知了具体403在Http403ForbiddenEntryPoint对response进行一个设置的,而Http403ForbiddenEntryPoint实现了AuthenticationEntryPoint接口,所以我们也可以自己定义一个实现AuthenticationEntryPoint接口的一个实现类如下图所示:

4fcb17b9afcb42f5be68bd17a970357d.png重写接口中的commence方法即可。

最后在SecurityConfig类中启用即可

http.exceptionHandling(except -> except.authenticationEntryPoint(MyAccessDeniedHandler))

2b7ac27abdb3431aa7fc5c4646557427.png

四、结果测试

        未自定义异常前:

9dd2f372b45146f7bc638f8486ac5ebe.png

        自定义异常后(返回了Json):

ae421e16e465477fbb8a1ff4297b91b1.png

 五、总结

        对于异常处理:

        如果用户未登录(anonymous),会先触发AuthenticationEntryPoint(认证)。

        如果用户已登陆(authenticated),会触发AccessDeniedHandler(权限)。

        按照以上的方式去处理AccessDeniedHandler异常,只需在自定义类上再去实现               AccessDeniedHandler,在重写handle方法即可。

 

qq_43904196
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
用了SpringSecurity后怎么全是403Forbidden了
weixin_43593829的博客
05-12 7336
前言 前段时间倒腾Spring Security,在实现了基于DB的权限认证之后,最终顺利的搭建了一个Spring Security项目,搭建起来第一件事先来一个用户管理列表,为后续功能开发做准备,前端页面开发完毕之后调用用户列表接口,却显示403Forbidden,刚开始以为是权限配置错误,仔细检查了N遍,配置没有错误,但是登录之后接口返回确实是403Forbidden权限不足,于是放开所有权限校验,所有请求无需校验权限,依旧403Forbidden,陷入对夜晚深深的思考~ 问题发现 确认问题肯定是由S
Spring Security--自定义403处理方案
我和井盖都笑了博客
04-05 3174
    自定义 403 处理方案       使用 Spring Security 时经常会看见 403(无权限),默认情况下显示的效果如下:       而在实际项目中可能都是一个异步请求,显示上述效果对于用户 就不是特别友好了。Spring Se...
springboot集成springsecurity遇见的exception捕获问题
weixin_74733695的博客
07-17 245
如果无认证信息,也会执行authenticationEntryPoint配置的处理器,进行异常的处理。因为有些自定义的逻辑,我重写了DaoAuthenticationProvider(因为有其他的验证身份逻辑,所以我取消框架默认对密码的验证,并注入自己的userServiceDetail)和userDetailService(进行验证身份,其中包括账号密码验证、第三方登录验证等),在运行的过程中遇到了一些异常捕获问题。由他进行异常的捕获。最后还是觉得框架设计的挺好。
SpringSecurity(十一)----自定义403处理方案
Apple_Andy的博客
10-10 854
一.自定义403处理方案 1.使用理由 使用Spring Security时经常会看见403(无权限),默认情况下显示的效果如下: 而在实际项目中可能都是一个异步请求,显示上述效果对于用户就不是特别友好了。Spring Security支持自定义权限受限时的页面 2.使用步骤 1)新建类,并让它实现AccessDeniedHandler @Component public class MyAccessDeniedHandler implements AccessDeniedHandler {
使用Spring-Security框架发送请求出现403错误
m0_63445035的博客
03-20 4891
解决使用Spring-Security框架发送请求出现403错误的问题
解决Spring Security使用过程中出现的403问题
weixin_51743499的博客
01-19 2200
4.接口已经再Spring Security的配置中设置了authenticated(),即需要授权,但忘记把过滤器添加到Spring Security中,这种情况不好发现,无法debug。被设置为authenticated()时需要获取对应的token授权后才可访问相应的接口。这个问题需要debug逐行查找。
SpringSecurity登录验证没有权限的问题(403
热门推荐
Memory_2020的博客
07-14 1万+
SpringSecurity登录验证被拦截没有权限的问题
Spring Security 实战内容:自定义异常处理
V539413949的博客
04-14 1050
1. 前言 今天正好项目中 Spring Security 需要对认证授权异常的处理,就分享出来吧 。 2. Spring Security 中的异常 Spring Security 中的异常主要分为两大类:一类是认证异常,另一类是授权相关的异常。 2.1 AuthenticationException AuthenticationException 是在用户认证的时候出现错误时抛出的异常。主要的子类如图: 根据该图的信息,系统用户不存在,被锁定,凭证失效,密码错误等认证过程中出现的异常都由 Authe.
spring security自定义异常处理
05-28
在使用 Spring Security 进行开发时,自定义异常处理是非常重要的一部分。下面是 Spring Security 自定义异常处理的步骤: 1. 实现 AuthenticationEntryPoint 接口,该接口用于处理未认证用户的请求。通过实现该...
Springboot +spring security自定义认证和授权异常处理
weixin_40991408的博客
05-26 1910
Springboot +spring security自定义认证和授权异常处理
Spring Security自定义登录原理及实现详解
09-07
- 自定义异常处理,提供友好的错误信息。 - 使用合适的认证成功和失败处理器,以适应前后端分离的应用场景。 总的来说,Spring Security自定义登录功能强大且灵活,能够帮助开发者构建安全、可扩展的认证系统。...
springboot security安全管理报错403
最新发布
weixin_74009895的博客
08-13 377
springboot security安全管理报错403
浅谈spring security 403机制
weixin_33965305的博客
06-01 733
403就是access denied ,就是请求拒绝,因为权限不足 三种权限级别 一、无权限访问 <security:http security="none" pattern="/index.jsp" /> 这种即是不需要登录,也可以访问的,但是不会传csrf_key 二、匿名访问 <security:http> <security:in...
使用 SpringSecurity 发送POST请求出现 403
weixin_49891230的博客
05-16 7222
问题场景 在使用 SpringSecurity 时对一些访问权限进行了设置, 在用户请求资源时出现了403错误 , 通过检查代码发现请求权限是开放的, 并且切换成 GET 请求也是可以通过, 换成POST 请求就无法通过。 解决方法 在 SpringSecurity 中关闭 CSRF 因为 前端向后台发送 post 请求时,必须验证 csrf,否则会报错 403 Forbidden。 @Override protected void configure(HttpSecurity httpSec
关于spring security 权限访问 403问题
weixin_45629294的博客
01-15 4747
spring security 在controller层使用方法级别注解 @PreAuthorize(“admin”)设置权限拦截问题,无权则返回403页面 早在权限框架没有出来之前,进行权限的拦截一般使用路径拦截的方式,后者在配置文件中配置拦截信息 spring security支持注解拦截的方式,其底层原理是过滤器, @PreAuthorize(“hasRole(‘xxx’)” ) @PostAuthorize(“returnObject.type == authentication.name”) @S
Spring Security:定制403访问被拒绝页面
一名可爱的技术搬运工
05-24 1808
Spring Security中,如果未经授权的用户尝试访问受保护的页面,则会显示默认的“ http 403访问被拒绝 ”: 在本教程中,我们将向您展示如何在Spring Security自定义403访问拒绝页面。 1. Spring安全配置 查看配置,如果“ alex”尝试访问/admin页面,则会显示以上403访问被拒绝页面。 Spring-Security.xm...
spring secutity 403请求
weixin_39144798的博客
06-14 1016
spring secutity 自定义403
spring security 403
mingtiandexia的专栏
03-30 1064
现象 一个最简单的demo,就是跑不通,一直到这个界面 定位问题: 启动debug来查看具体的log
SpringSecurity配置403权限访问页面
冲出仁川,走出马德里,故事还会再继续
06-18 560
SpringSecurity配置403权限访问页面1、未配置之前2、开始配置2.1 新建一个unauth.html2.2 在继承WebSecurityConfigurerAdapter的配置类中设置2.3 继承UserDetailsService接口的实现类3、测试 1、未配置之前 2、开始配置 2.1 新建一个unauth.html <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值