SpringSecurity抛出异常但AccessDeniedHandler不生效

最新推荐文章于 2025-02-06 16:29:48 发布
原创 最新推荐文章于 2025-02-06 16:29:48 发布 · 676 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

文章目录

复现

@Bean
    public SecurityFilterChain securedFilterChain(HttpSecurity http) throws Exception {
    	//...
		//异常
        http.exceptionHandling(except -> {
            except.authenticationEntryPoint(new SecurityAuthenticationEntryPoint());
            except.accessDeniedHandler((request, response, e) -> { //请求未授权的接口

                //创建结果对象
                HashMap result = new HashMap();
                result.put("code", -1);
                result.put("message", "没有权限");

                //转换成json字符串
                String json = JSON.toJSONString(result);

                //返回响应
                response.setContentType("application/json;charset=UTF-8");
                response.getWriter().println(json);
            });
            //...
        });

还是抛出异常

org.springframework.security.access.AccessDeniedException: Access Denied
	at org.springframework.security.authorization.method.AuthorizationManagerBeforeMethodInterceptor.attemptAuthorization(AuthorizationManagerBeforeMethodInterceptor.java:256) ~[spring-security-core-6.2.1.jar:6.2.1]
	at org.springframework.security.authorization.method.AuthorizationManagerBeforeMethodInterceptor.invo

原因

@RestControllerAdvice
全局异常拦截到了直接返回,注释掉
或者采用

import org.springframework.security.access.AccessDeniedException
//...
@ExceptionHandler(AccessDeniedException.class)
public void accessDeniedException(AccessDeniedException e) throws AccessDeniedException {
	throw e;
}
//...
Spring Security 6.x 系列【23】源码篇之异常处理机制
记录知识、锤炼自我
08-10 1569
Spring Security中的异常主要是AuthenticationException、AccessDeniedException。AuthenticationException认证异常,它是所有认证时发生异常的抽象超类,它有很多子类
spring security 用户授权/访问控制
swadian2008的博客
09-12 2003
授权的方式包括 web 授权和方法授权,web授权是通过 url 拦截进行授权,方法授权是通过方法拦截进行授权。他们都会调用 accessDecisionManager 进行授权决策,若为web授权则拦截器为FilterSecurityInterceptor;若为方法授权则拦截器为MethodSecurityInterceptor。如果同时通过web 授权和方法授权则先执行web授权,再执行方法授权,最后决策通过,则允许访问资源,否则将禁止访问。
Spring security 配置的AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
热门推荐
单筱风的博客
12-17 2万+
1.Spring Security 中的异常处理 我们在 Spring Security 实战干货系列文章中的 自定义配置类入口 WebSecurityConfigurerAdapter 一文中提到 HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口: AuthenticationEntryPoint 该类用来统一处理 AuthenticationEx
spring security自定义AccessDeniedHandler不生效问题
lizsy的博客
08-10 946
spring security过滤器的执行顺序默认是先登录认证再授权认证,并且登录认证模块默认是开启匿名登录的,如果请求没有携带登录认证信息,那么默认的登录认证结果就是匿名登录,匿名登录的授权失败时回调用sendStartAuthentication方法,而不是accessDeniedHandler。所以要使授权失败时调用accessDeniedHandler,则要保证当前用户不是匿名和记住我登录的。实际情况是,作者自定义了AccessDeniedHandler后,但是在授权失败时,并没有被调用。
Spring Security中配置AccessDeniedHandler没有生效
编程札记
10-27 3304
在 WebSecurityConfigurerAdapter 配置了如下代码: // 自定义未授权和未登录异常 http.exceptionHandling() .accessDeniedHandler(new RestAccessDeniedHandler()) .authenticationEntryPoint(new RestAuthenticationEntryPoint()); 在 Controller 层 REST 接口中添加有 @PreAuthorize
Security 自定义异常 AccessDeniedHandler不生效解决
qq_39535439的博客
06-06 1474
ControllerAdvice\Security\AccessDeniedHandler\自定义异常不生效
SpringSecurity 自定义 AccessDeniedHandler 不生效的问题解决
大雪冬至的博客
07-06 4820
问题描述 出现这种问题的原因一般都是因为项目中还配置了 GlobalExceptionHandler 。 GlobalExceptionHandler 全局异常处理器会比 AccessDeniedHandler 先捕获 AccessDeniedException 异常,因此当配置了 GlobalExceptionHandler 后,会发现 AccessDeniedHandler 失效了。 解决方案 原有的 GlobalExceptionHandler 不用修改,只需要增加一个 自定义的 AccessD
Springboot与SpringSecurity使用(2):授权、自定义异常处理
游王子og的博客
07-28 1117
SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。判断当前用户是否拥有访问当前资源所需的权限。前面登录时执行loadUserByUsername方法时,return new CustomUser(sysUser, Collections.emptyList());
spring security 超详细使用教程(接入springboot、前后端分离)
最新发布
m0_74824170的博客
02-06 616
如果需要更复杂的授权逻辑,可以实现自定义的或。
Springboot与SpringSecurity使用(1):介绍、登录验证
游王子og的博客
07-28 2827
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。Web 应用的安全性包括用户认证(Authentication)和用户授权(Authorization)两个部分,这两点也是 SpringSecurity 重要核心功能。Spring Security进行认证和鉴权的时候,就是利用的一系列的Filter来进行拦截的。
Spring security 自定义的AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
m0_37257009的博客
08-16 1244
security异常
【Spring Security】AccessDeniedHandler 用户无权限操作接口时处理
杜小舟的博客
12-29 2679
AccessDeniedHandler 接口负责处理用户在没有足够权限访问某资源时的行为。当用户尝试访问他们没有权限的资源时,这个处理器被触发。 官方是给了几个默认的处理器,当然,我们也可以自己自定义处理器,那么先简单介绍一下官方的处理器,然后再自己写一个自定义处理器。
AccessDeniedHandler 处理当访问被拒绝时的逻辑
wddblog的博客
03-11 2232
是 Spring Security 中处理访问被拒绝情况的关键组件。通过实现和配置这个接口,开发者可以定义自己的访问被拒绝处理逻辑,从而增强应用的安全性和用户体验。无论是重定向用户、记录日志还是执行其他操作,都提供了一个灵活且强大的机制来实现这些功能。
关于accessDeniedHandler与authenticationEntryPoint 全局异常处理问题
u014226080的博客
11-17 2385
会在全局异常捕获前捕获异常;会在全局异常之后捕获。
Spring Security教程(9)---- 自定义AccessDeniedHandler
z69183787的专栏
03-13 1万+
在Spring默认的AccessDeniedHandler中只有对页面请求的处理,而没有对Ajax的处理。而在项目开发是Ajax又是我们要常用的技术,所以我们可以通过自定义AccessDeniedHandler来处理Ajax请求。我们在Spring默认的AccessDeniedHandlerImpl上稍作修改就可以了。 [java] view plaincopy
org.springframework.security.access.AccessDeniedException: 不允许访问
louis_lee7812的专栏
10-22 9161
org.springframework.security.access.AccessDeniedException: 不允许访问。原因是:@PreAuthorize 注解的异常抛出AccessDeniedException异常,不会被accessDeniedHandler捕获,而是会被全局异常捕获。
spring security异常记录:org.springframework.security.access.AccessDeniedException: Access is denied
qq_56769991的博客
02-11 2万+
最近在做ssm项目的时候用到spring security时遇到了异常,如下所示: 15:06:28,144 DEBUG FilterSecurityInterceptor:348 - Previously Authenticated: org.springframework.security.authentication.AnonymousAuthenticationToken@52dd6d71: Principal: anonymousUser; Credentials: [PROTECTED]; .
Spring Security:让你告别复杂的权限管理功能3
d2916172682的博客
12-24 938
基于角色的授权:以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。基于资源的授权:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限。Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL。
解决:org.springframework.security.access.AccessDeniedException Access is denied
m0_67394360的博客
04-29 1407
最近在使用SpringSecurity时涉及到从数据库中获取用户,结果一直报错,错误如下 Secure object: FilterInvocation: URL: /index.jsp; Attributes: [hasRole('ROLE_USER')] 2017-06-29 23:02:27 731 [DEBUG] Previously Authenticated: org.springframework.security.authentication.AnonymousAuthenticationT
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Lucky_Turtle

感谢您的打赏,作者会多多努力的

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值