【解决】分析SpringSecurity访问请求权限不足AccessDeniedException问题

已于 2022-08-17 22:27:15 修改
阅读量6.1k 收藏 7
点赞数 2
文章标签: 安全 spring boot spring 后端 java
于 2022-08-13 10:52:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunao1106/article/details/126315798
版权

问题描述

在做项目的时候,使用SpringSecurity配置完系统的访问权限时,进行测试的时候,发现明明携带了访问该路径需要的权限标志,会一直提示说我们权限不足
在这里插入图片描述
在这里插入图片描述

这里我配置了AccessDeniedHandler,当SpringSecurity判断我们权限不足时,会抛出AccessDeniedException异常,然后执行AccessDeniedHandler中我们重写的的handle方法。

解决

实在想不出原因的时候,我开始着手从源码去探究报错的原因,于是我从网上找来了这张图,授权测试流程:

如图所示,首页请求先会进入FilterSecurityInterceptor过滤器,将它作为断点的入口。
在这里插入图片描述
这里发现问题,在调用super.beforeInvocation(filterInvocation);方法的时候出现了异常,F7进入该方法中。

AbstractSecurityInterceptor:
在这里插入图片描述

该方法中首先调用了this.obtainSecurityMetadataSource().getAttributes(object)方法,通过当前请求路径获取到访问该请求所需要的权限(object是上一步调用传过来的参数,封装了我们请求路径的一些信息)。

其实在这里我已经发现问题了,我配置的该请求的访问权限并非hasAuthority('user')

往下执行:
在这里插入图片描述

通过authenticateIfRequired方法获取到Authentication对象,封装了当前用户的权限信息(Userdetails),也就是我们在登录认证成功后将用户权限信息保存到SecurityContextHolder上下文中的Authentication对象。

这里可以看到,我当前登录的用户信息是admin权限,而访问该请求需要的权限是user,问题所在!!

往下执行:
在这里插入图片描述
进入该方法:
在这里插入图片描述
继续F7进入该方法中:
AffirmativeBased:
在这里插入图片描述
这应该就是权限决策的核心方法了,在拿到我们当前用户的权限信息、请求路径信息、该请求所需要的权限信息,通过投票的方式来进行判断该请求是否具有权限方法,当不满足条件时,如图所示,抛出AccessDeniedException,从而去执行我们自定义的AccessDeniedHandler中的handle方法。

小孙的Blog
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Spring Security出现问题Access is denied
uouj3766的博客
03-24 4698
报错情况如下: 在登录的时候报错,如下: org.springframework.security.access.AccessDeniedException: Access is denied spring-security.xml代码: <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.spr...
SpringSecurity解决公共接口自定义权限验证失效问题,和源码分析
紫眸的博客
04-25 1万+
SpringSecurity自定义权限验证、解决鉴权失效和公共接口问题 本文主要介绍如何使用spring-security来实现自定义的权限验证,以及如何解决鉴权时部分接口鉴权失效变成公共接口的问题,用户登录认证的部分已省略。 自定义权限验证的实现 SpringSecurity自定义权限验证时需要实现三个接口: AccessDecisionManager : 自定义鉴权管理器,根据URL资源权...
SpringBoot集成Security实现权限控制
weixin_55347789的博客
02-01 990
主要有两个主要功能:“认证”,是建立一个他声明的主体的过程(一个“主体”一般是指用户,设备或一些可以在你的应用程序中执行动作的其他系统),通俗点说就是系统认为用户是否能登录。一般在拦截器中进行拦截用户信息进行认证。“授权"指确定一个主体是否允许在你的应用程序执行一个动作的过程,一般是在Security中进行接口权限配置,查看用户是否具有对应接口权限。通俗点讲就是系统判断用户是否有权限去做某些事情。相应语法:.successForwardUrl()登录成功后跳转地址.loginPage()登录页面。
Spring Security出现问题Access is denied 及我的解决方案
热门推荐
txd2016_5_11的博客
01-24 6万+
近日使用spring security,xml文件如下: ...... <!-- 页面拦截规则 --> <http pattern="/shoplogin.html" security="none"></http> <http pattern="/loginerror.html" security="none"></http> ...
spring security自定义AccessDeniedException权限异常处理
六年级的叔叔
11-22 2万+
项目中需要根据url获取此url的权限,并做判断,若权限不足,throw new AccessDeniedException异常   项目中大多数前台访问请求为ajax请求,若为ajax请求,一般的需求为:若权限不足,直接前台提示,不做权限不足页面的跳转。 当然,为了满足可能某些项目会有&lt;a&gt;标签的超链接直接访问,还是在实现类里面做了两层判断 前提条件: 1,已经做了url的...
SpringSecurity问题分析AccessDeniedException: Access is denied 源码分析
weixin_43180484的博客
04-10 1万+
问题描述 org.springframework.security.access.AccessDeniedException: Access is denied 2021-04-10 16:17:01.950 DEBUG [authorization-server,8c5f48650de0f659,83580d93d6acb342,false] 7328 — [nio-8000-exec-1] o.s.s.w.u.matcher.AntPathRequestMatcher : Checking matc
org.springframework.security.access.AccessDeniedException: 不允许访问
louis_lee7812的专栏
10-22 7757
org.springframework.security.access.AccessDeniedException: 不允许访问。原因是:@PreAuthorize 注解的异常,抛出AccessDeniedException异常,不会被accessDeniedHandler捕获,而是会被全局异常捕获。
Spring Security自定义AccessDeniedException的处理器
zcg19911222的博客
06-21 1761
AccessDeniedException指用户访问接口或其他资源时,权限不足引起的异常。本文介绍如何在Spring Security下对AccessDeniedException异常进行个性化的处理。 1.自定义AccessDeniedHandler处理类 import com.alibaba.fastjson.JSONObject; import org.springframework.security.access.AccessDeniedException; import org.springfra
Spring security AccessDeniedException & 403 被拒绝状态
Miao_Yue_LIN的博客
03-05 5593
Spring security AccessDeniedException & 403 被拒绝状态
深入浅析 Spring Security 缓存请求问题
08-26
深入浅析 Spring Security 缓存请求问题 ...Spring Security 的缓存请求问题解决方案提供了一个非常有用的功能,可以帮助我们解决很多问题。但是,我们需要了解缓存的机制和实现原理,以便更好地使用缓存。
Spring Security如何使用URL地址进行权限控制
08-25
其中,权限控制是Spring Security的一个重要组件,它允许开发者根据用户角色和权限来控制访问不同的资源。在本文中,我们将探讨如何使用Spring Security来实现URL地址的权限控制。 权限控制是指根据用户的角色和...
话说Spring Security权限管理(源码详解)
08-31
权限管理是Spring Security的核心功能之一,它确保只有具有相应权限的用户才能访问特定的资源或执行特定的操作。在Spring Security中,权限管理的实现涉及到多个组件,如`AccessDecisionManager`、`...
spring security自定义决策管理器
08-29
Spring Security 中,决策管理器是指 AccessDecisionManager 接口的实现类,它们负责对用户的访问请求进行授权判断。决策管理器可以根据不同的授权策略来确定用户是否有权限访问某个资源。 自定义决策管理器的...
Spring Security安全权限管理手册 html
04-27
在"Spring Security安全权限管理手册-family168"中,读者将能够学习如何设置和配置Spring Security,以及如何解决常见的安全问题。手册可能还会包含详细的示例代码、最佳实践和常见问题解答,帮助开发者更好地理解和...
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 479
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
构建稳固与安全的网络环境:从微软蓝屏事件中的教训学习
xingyu_qie的专栏
07-22 708
微软蓝屏”事件为我们提供了宝贵的教训和警示,即使是最大的科技公司也难以完全避免软件缺陷带来的灾难性后果。建设一个稳固和安全的网络环境需要多方面的努力:从有效的软件更新管理到强化的紧急响应能力,再到全员安全意识的培养和文化建设。只有综合运用技术、流程和人员培训,我们才能更好地应对未来可能出现的类似挑战,保护我们的数字基础设施和社会运行的稳定性与安全性。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1129
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
大坝安全监测设备有哪些主要功能?
最新发布
yyth13276363312的博客
07-24 350
12。3. **实时预警和报警处理**:提供精准的安全预警信息,及时处理可能的危险情况12。1. **实时监测大坝的各项物理参数**:包括应变、位移、水位、流量等12。6. **环境量监测**:包括上/下游水位、气温、降水量等11
org.springframework.security.access.AccessDeniedException
07-27
org.springframework.security.access.AccessDeniedExceptionSpring Security框架中的一个异常类,表示访问被拒绝。\[1\]当Spring Security判断用户权限不足时,会抛出这个异常。\[2\]通常情况下,我们可以通过配置AccessDeniedHandler来处理这个异常,自定义处理逻辑。\[2\]如果遇到这个异常,可以从源码中去探究报错的原因,了解具体的调用流程和异常发生的位置。\[3\] #### 引用[.reference_title] - *1* [AccessDeniedException: spring security 认证中的一个小坑(bug集2)](https://blog.csdn.net/pingzhuyan/article/details/122495822)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* *3* [【解决分析SpringSecurity访问请求权限不足AccessDeniedException问题](https://blog.csdn.net/sunao1106/article/details/126315798)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insertT0,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值