spring security权限校验失败处理器和认证失败处理器怎么写

于 2024-08-26 19:11:21 发布
阅读量244 收藏
点赞数 9
分类专栏: 从0开始做一个前后端分离项目 spring security jwt 文章标签: java spring security 权限和认证
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55121347/article/details/141571350
版权

权限校验失败处理器

package com.lzy.security;

import cn.hutool.json.JSONUtil;
import com.lzy.common.lang.Result;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.ServletOutputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@Component
public class JwtAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        // 将响应的内容类型设置为JSON
        response.setContentType("application/json;charset=utf-8");
        // 设置响应状态码为403(Forbidden)权限不足
        response.setStatus(HttpServletResponse.SC_FORBIDDEN);
        // 获取响应的输出流
        ServletOutputStream out = response.getOutputStream();
        // 创建一个包含异常消息的Result对象
        Result result = Result.fail(accessDeniedException.getMessage());
        // 将Result对象转换为JSON字符串,并写入输出流
        out.write(JSONUtil.toJsonStr(result).getBytes("UTF-8"));
        // 刷新输出流
        out.flush();
        // 关闭输出流
        out.close();
    }
}

认证失败处理器

package com.lzy.security;

import cn.hutool.json.JSONUtil;
import com.lzy.common.lang.Result;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.ServletOutputStream;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@Component
public class JwtAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        // 将响应的内容类型设置为JSON
        response.setContentType("application/json;charset=utf-8");
        // 设置响应状态码为401未认证
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        // 获取响应的输出流
        ServletOutputStream out = response.getOutputStream();
        Result result = Result.fail("未登录或登录已过期,请重新登录");
        // 将Result对象转换为JSON字符串,并写入输出流
        out.write(JSONUtil.toJsonStr(result).getBytes("UTF-8"));
        // 刷新输出流
        out.flush();
        // 关闭输出流
        out.close();
    }
}

配置里引用,在异常处理器注释那里

package com.lzy.config;
 
import com.lzy.security.*;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true) // 开启方法级别的权限注解
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    LoginFailureHandler loginFailureHandler;
    @Autowired
    LoginSuccessHandler loginSuccessHandler;
    @Autowired
    CaptchaFilter captchaFilter;
    @Autowired
    JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;
    @Autowired
    JwtAccessDeniedHandler jwtAccessDeniedHandler;
    @Bean
    JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception {
        return new JwtAuthenticationFilter(authenticationManager());
    }


    private static final String[] URL_WHITELIST = {
            "/login",
            "/logout",
            "/captcha",
            "/favicon.ico", // 防止 favicon 请求被拦截
    };

    protected void configure(HttpSecurity http) throws Exception {

        //跨域配置
        http.cors().and().csrf().disable()
                //登录配置
                .formLogin()
                .successHandler(loginSuccessHandler).failureHandler(loginFailureHandler)
                //禁用session
                .and().sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                //配置拦截规则
                .and().authorizeRequests()
                //白名单
                .antMatchers(URL_WHITELIST).permitAll()
                //其他请求都需要认证
                .anyRequest().authenticated()
                //异常处理器
                .and().exceptionHandling()
                .authenticationEntryPoint(jwtAuthenticationEntryPoint)
                .accessDeniedHandler(jwtAccessDeniedHandler)
                //JWT验证过滤器
                .and().addFilter(jwtAuthenticationFilter())
                //配置自定义的过滤器
                .addFilterBefore(captchaFilter, UsernamePasswordAuthenticationFilter.class);

    }
 
}

努力学习的小宇同学
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
SpringSecurity系列——自定义登录退出成功处理day5-3(源于官网5.7.2版本)
qq_51553982的博客
07-26 1284
根据上方官方文档的解释我们在前后端分离的项目中,并不需要用户退出后让后端进行重定向,而是要让后端提供给前端一个json数据以确定退出成功而且我们只要对LogoutSuccessHandler接口进行实现即可data.put("msg","退出登录成功");}}......
springsecurity的退出登陆
weixin_30685029的博客
05-10 158
登陆成功就有退出,退出的实质就是让session失效 要实现退出登录只需要在spring-security配置文件中在加一行代码就可以了 1 <!--退出登陆--> 2 <security:logout logout-url="/loginout.do" delete-cookies="true" logout-success-url="/l...
SpringSecurity的登出实现
qq_58137891的博客
05-09 489
1.未登录状态,发出的请求会被拦截。2.已登录状态下,每次发送请求都会在请求头中携带token,然后将用户信息存入SecurityContextHolder中,这是仅只需要将userId从中取出,并通过userId输出存在redis中的User信息便完成。再次用相同的token访问请求时会显示用户未登录。
spring security登出问题
wzq1915414095的博客
11-24 381
配置代码如下 http.formLogin() .loginPage("/admin/login") .defaultSuccessUrl("/admin",true) .permitAll() // 开启表单登录并配置登录接口 .and().logout() .logoutUrl("/admin/account/logout")//配置拦截登出
SpringSecurity实现登录登出
qq_50909707的博客
07-20 2875
SpringSecurity实现登录登出
解析SpringSecurity+JWT认证流程实现
08-18
SpringSecurity+JWT认证流程实现是认证流程中的一种重要方式,它可以帮助我们实现安全的认证和授权。通过使用SpringSecurity+JWT,我们可以实现基于token的认证方式,以便更好地保护我们的系统。 七、参考资料 * ...
1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecur
09-13
springsecurity1.2 引入SpringSecurity 2. 认证 2.1 登陆校验流程 2.2 原理初探 2.2.1 SpringSecurity完整流程 2.2.2 认证流程详解 2.3 解决问题 2.3.1 思路分析 2.3.2 准备工作 2.3.3 实现 2.3.3.1 数据库校验用户 ...
Springboot前后端分离,JWT+Security+Redis实现登录拦截及权限认证,包含全局异常处理以及统一返回风格
12-25
在本项目中,我们将探讨如何利用Spring Boot、JWT(JSON Web Token)、Spring Security和Redis来实现一个高效的登录拦截和权限认证系统,同时实现全局异常处理和统一的API返回风格。 1. **Spring Boot**:Spring ...
Vue+SpringSecurity实现登出功能
十麓学java
02-18 294
Vue+SpringSecurity实现登出功能
Spring Security 3多用户登录实现之十一 退出
04-13
NULL 博文链接:https://dreamzhong.iteye.com/blog/1729288
spring-security--基础--4.1--案例:简单登陆登出
zhou920786312的博客
10-26 727
参考手册 https://www.springcloud.cc/spring-security-zhcn.html 四、简单登陆登出案例 通过SpringSecurity实现以下功能: 用户访问资源页面,未登陆跳转登陆页面。 登陆失败给出提示,并还在登陆页面。 登陆成功跳转资源页面。 结构 4.1、 依赖 <!--security begin--> <dependency> <groupId>org.springframework.boot</g
SpringSecurity5-教程2-登出源码分析
一个技术菜鸟的博客
03-21 440
可以看到有两个handler,分别是SecurityContextLogoutHandler和LogoutSuccessEventPublishingLogoutHandler,首先浏览器访问http://localhost:8035/,输入用户名root和密码root完成登录;学习,其实在之前教程中,在FilterChainProxy中看到过LogoutFilter,这个就是默认的登出Filter;可以看到只要是/logout请求,均判断为登出请求;可知默认重定向到/login?
Spring Security——08,自定义失败处理
weixin_42858422的博客
04-07 594
一、自定义实现类1.1 实现AccessDeniedHandler1.2 实现AuthenticationEntryPoint二、配置SpringSecurity三、测试3.1 认证失败3.2 权限不足一键三连有没有捏~~我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。
Spring Boot整合Spring Security(五)登出与未认证(授权)处理
时雨吹雪的博客
02-01 1215
Spring Security中登出处理与访问拒绝处理
Spring Security系列】Spring Security+JWT+Redis实现用户认证登录及登出
c18213590220的博客
11-28 1668
Spring Security 是基于 Spring 的身份认证(Authentication)和用户授权(Authorization)框架,提供了一 套 Web 应用安全性的完整解决方案。其中核心技术使用了 Servlet 过滤器、IOC 和 AOP 等身份认证指的是用户去访问系统资源时,系统要求验证用户的身份信息,用户身份合法才访问对应资源。常见的身份认证一般要求用户提供用户名和密码。系统通过校验用户名和密码来完成认证过程。
springsecurity登出的配置信息以及登出的认证效果
秃头的博客
10-20 321
如果我们想让一个网站登出的时候跳到指定页面,那么在登出的按钮上绑定一个链接即可, <a href="/logout">登出</a><!--可以自动跳到主页面,此方法是springsecurity内置的方法--> 如果想登出退到主页面,也可以指定页面: //登出 http.logout() .logoutUrl("/tui")//自定义退出路径 其他配置: //登出 http.logout()
springsecurity6 认证失败处理器 配置
最新发布
09-24
Spring Security 6 中的认证失败处理器主要用于处理用户身份验证过程中出现的错误,例如密码错误、权限不足等。它允许你在用户尝试访问受保护资源时提供定制化的反馈信息。配置步骤如下: 1. **创建自定义的`AuthenticationFailureHandler`**: - 定义一个实现`AuthenticationFailureHandler`接口的类,比如`MyAuthenticationFailureHandler`。 ```java public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler { @Override public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException { // 这里编处理失败登录的逻辑,如发送错误消息到前端 } } ``` 2. **添加到全局安全过滤器链**: 在`WebSecurityConfigurerAdapter`中,使用`formLogin()`方法设置认证失败处理器: ```java @Autowired private MyAuthenticationFailureHandler authenticationFailureHandler; @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() .failureHandler(authenticationFailureHandler); } ``` 3. **启用HTTP基本认证失败处理**: 如果需要处理基于HTTP基本认证失败,可以在`http`元素中指定`httpBasic()`: ```java http.httpBasic().authenticationEntryPoint(new CustomEntryPoint()); ``` 4. **处理异常详细程度**: 可以通过`AbstractAuthenticationProcessingFilter.setDefaultFailureResponse`设置默认的失败响应,或者在每个具体的过滤器中单独配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值