Spring Security(八) —— 异常处理

最新推荐文章于 2024-07-17 22:17:05 发布
最新推荐文章于 2024-07-17 22:17:05 发布
阅读量1.1k 收藏 3
点赞数 2
分类专栏: java 文章标签: spring security 异常处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tongkongyu/article/details/125990980
版权

一:异常体系

Spring Security中异常主要分为两大类:

  • AuthenticationException:认证异常
  • AccessDeniedException:授权异常

其中认证所涉及的异常类型比较多,默认有18种,如下:
在这里插入图片描述
相比于认证异常,权限异常类就要少了很多,默认提供的权限异常如下:
在这里插入图片描述

二:自定义异常配置

在实际开发中,默认异常是无法满足需求的,需要大量的自定义异常类,Spring Security提供了两个方法来配置:

  • authenticationEntryPoint():认证自定义异常
  • accessDeniedHandler():授权自定义异常

至于这两个方法怎么使用,我们可以进入源码看看

首先是authenticationEntryPoint(),可以看到,该方法要求我们传入AuthenticationEntryPoint的对象

	public ExceptionHandlingConfigurer<H> authenticationEntryPoint(
			AuthenticationEntryPoint authenticationEntryPoint) {
		this.authenticationEntryPoint = authenticationEntryPoint;
		return this;
	}

进入AuthenticationEntryPoint接口,可以看到只有一个方法,因此在authenticationEntryPoint方法中可以直接传入Lambda表达式,但那样写不美观,配置与实现应该分离,因此我们可以新建一个类去实现这个接口

public interface AuthenticationEntryPoint {
	/**
	 * 处理认证访问相关异常
	 * @param request 导致AuthenticationException的请求
	 * @param response 响应
	 * @param authException 异常信息
	 */
	void commence(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException authException) throws IOException, ServletException;
}

public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        Map<String, Object> result = new HashMap<>();
        result.put("code", 400);
        result.put("msg", authException.getMessage());
        response.setContentType("application/json;charset=UTF-8");
        String s = new ObjectMapper().writeValueAsString(result);
        response.getWriter().println(s);
    }
}

accessDeniedHandler()方法同理,其源码如下:

	public ExceptionHandlingConfigurer<H> accessDeniedHandler(
			AccessDeniedHandler accessDeniedHandler) {
		this.accessDeniedHandler = accessDeniedHandler;
		return this;
	}

进入AccessDeniedHandler接口:

public interface AccessDeniedHandler {
	/**
	 * 处理权限访问相关异常
	 * @param request 导致AccessDeniedException的请求
	 * @param response 响应
	 * @param accessDeniedException 异常信息
	 */
	void handle(HttpServletRequest request, HttpServletResponse response,
			AccessDeniedException accessDeniedException) throws IOException,
			ServletException;
}

因此我们可以这样实现:

public class CustomAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        Map<String, Object> result = new HashMap<>();
        result.put("code", 400);
        result.put("msg", accessDeniedException.getMessage());
        response.setContentType("application/json;charset=UTF-8");
        String s = new ObjectMapper().writeValueAsString(result);
        response.getWriter().println(s);
    }
}

最后再在configure中将自定义处理配置进去:

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .mvcMatchers("/hello1").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .successHandler(new CustomAuthenticationSuccessHandler())
                .failureHandler(new CustomAuthenticationFailureHandler())
                .and()
                .logout()
                .logoutSuccessHandler(new CustomLogoutSuccessHandler())
                // 异常处理
                .and()
                .exceptionHandling()
                .authenticationEntryPoint(new CustomAuthenticationEntryPoint())  // 认证异常
                .accessDeniedHandler(new CustomAccessDeniedHandler())  // 授权异常;
    }

如果有兴趣了解更多相关内容,欢迎来我的个人网站看看:瞳孔的个人网站

耶瞳
关注
专栏目录
SpringSecurity系列——简单自定义登录流程day1-3
qq_51553982的博客
06-19 1070
SpringSecurity的原理其实是个过滤器链,其内部包含了各式各样功能各异的过滤器,通过这些过滤器,对消息进行拦截、放行、处理操作 这里你可以看到filters中的共计16个过滤器了 2.编写yaml 3.编写entity,mapper User UserMapper 4.自定义登录表单对象实现UserDetails接口 5.自定义UserDetailsServiceImpl实现UserDetailsService 6.修改数据库密码 添加{noop}表示明文存储 访问 使用数据库中的用户
SpringSecurity系列——自定义登录退出成功处理day5-3(源于官网5.7.2版本)
qq_51553982的博客
07-26 1270
根据上方官方文档的解释我们在前后端分离的项目中,并不需要用户退出后让后端进行重定向,而是要让后端提供给前端一个json数据以确定退出成功而且我们只要对LogoutSuccessHandler接口进行实现即可data.put("msg","退出登录成功");}}......
Spring SecurityAuthenticationFailureHandler 用户认证失败后处理
杜小舟的博客
12-28 1658
`AuthenticationFailureHandler` 主要是做用户认证失败后调用的处理器,这里的失败一般是指用户名或密码错误。当出现错误后,该处理器就会被调用,一般在开发中,会自己实现一个处理器,用来给前端返回一些已经商量好的异常码,下面分成两大块,先简单介绍一下官方给的一些用户失败后的处理器,再介绍我们自己实现的自定义处理器。
SpringSecurity-4-AuthenticationFailureHandler接口(登录失败之后的处理逻辑)
文天大人
09-14 9671
怀念二抱三抱
springboot集成springsecurity遇见的exception捕获问题
最新发布
weixin_74733695的博客
07-17 266
如果无认证信息,也会执行authenticationEntryPoint配置的处理器,进行异常的处理。因为有些自定义的逻辑,我重写了DaoAuthenticationProvider(因为有其他的验证身份逻辑,所以我取消框架默认对密码的验证,并注入自己的userServiceDetail)和userDetailService(进行验证身份,其中包括账号密码验证、第三方登录验证等),在运行的过程中遇到了一些异常捕获问题。由他进行异常的捕获。最后还是觉得框架设计的挺好。
史上最简单的Spring Security教程(十):AuthenticationFailureHandler高级用法
银河架构师的博客
07-07 1万+
在前面,我们简述了如何自定义用户登录失败页面。但是,在工作中,所遇到的业务场景压根不会这么简单。 比如要求记录登录失败时的IP、时间、SessionId;发送登录失败提醒到微信、邮箱、短信,提醒用户当前登录失败事件;同时记录到日志中,或者发送到远端日志监控平台,分析是否是攻击行为等等。 而这一切,Spring Security框架非常贴心的提供了AuthenticationFailureHandler接口,当然了,框架同时也提供了一些简单的实现,最重要的,用户可自行扩展,以满足不同的业务场景...
Spring Security 入门 自定义认证失败处理器
SheTing'Blog
04-16 868
实现接口 AuthenticationFailureHandler 自定义认证成功处理器 @Component public class CustomAuthenticationFailureHandler implements AuthenticationFailureHandler { @Override public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse respons
Spring Security自定义登录失败处理
Leon_Jinhai_Sun的博客
05-05 1781
和自定义登录成功处理一样,Spring Security 同样为前后端分离开发提供了登录失败的处理,这个类就是 AuthenticationFailureHandler,源码为: public interface AuthenticationFailureHandler { /** * Called when an authentication attempt fails. * @param request the request during which the authenticatio
SpringSecurity系列 之 AuthenticationEntryPoint接口及其实现类的用法
热门推荐
向心行者
09-24 2万+
1、AuthenticationEntryPoint接口 1.1、简介   被ExceptionTranslationFilter用来作为认证方案的入口,即当用户请求处理过程中遇见认证异常时,被异常处理器(ExceptionTranslationFilter)用来开启特定的认证流程。接口定义如下: public interface AuthenticationEntryPoint { void commence(HttpServletRequest request, HttpServletRespons
SpringSecurity基础——快速入门
程序无言
09-26 936
一. 初始SpringSecurity 1. 简介 Spring Securityspring采用AOP思想,基于servlet过滤器实现的安全框架。它提供了完善的认证机制和方法级的授权功能。是一款非常优秀的权限管理框架。 2. 主要jar包 spring-security-core.jar: 核心包 spring-security-web.jar: web工程必备,包含过滤器 spring-security-config.jar: 用于解析xml配置文件 spring-security-tagli
SpringSecurity系列——基于SpringBoot2.7的登录接口(内有惊喜)day2-1
qq_51553982的博客
06-19 5125
这个JWT工具类是我自己写的,具体怎么使用都在README.md中了 高度封装使用简单 git@gitee.com:giteeforsyf/jjwtutil.gitSpringBoot版本:2.7 SpringSecurity版本:5.4+ 注:SpringSecurityConfigurationAdapter已过时在准备工作中我们需要准备数据库、实体类、配置、工具类等数据库设计如图: 实体类User UserMapper LoginService ResultUtil统一封装返回 LoginP
捕获SpringSecurity异常,进行统一返回
a1k2l45k的博客
04-19 496
SpringSecurity中,如果认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。所以如果我们需要自定义异常处理,我们只需要实现AuthenticationEntryPoint和AccessDeniedHandler接口然后配置给SpringSecurity即可。
SpringSecurity 登录处理
weixin_45295046的博客
02-13 630
failureForwardUrl 方法的底层实现逻辑就是 ForwardAuthenticationFailureHandler。(2)ExceptionMappingAuthenticationFailureHandler 可以实现根据不同的异常类型,映射。(1)SimpleUrlAuthenticationFailureHandler 默认的处理逻辑就是通过重定向跳转到登录页。(5)DelegatingAuthenticationFailureHandler 可以实现为不同的异常类型配置不同的登录。
深入浅出SpringSecurity读书笔记-第二章-SpringSecurity认证-01
qq_31693055的博客
07-21 342
快速入门: 1.引入Spring Security依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dep...
Spring Security 实战干货: 401和403状态
码农小胖哥
07-27 5719
1. 前言最近几篇我对Spring Security中用户认证流程进行了分析,同时在分析的基础上我们实现了一个验证码登录认证的实战功能。当认证失败后交给了AuthenticationFa...
Spring Security系列教程07--前后端分离时的安全处理方案
一一哥
09-17 2710
前言 在前面的几个章节中,一一哥 带大家学会了如何利用Spring Security来保护我们的Web项目,以及3种认证方式。你可能会觉得,Spring Security没啥东西啊,代码也不复杂呀!别急,我们的学习是渐进的,Spring Security的内容和功能都多着呢,我们要Get的点也多着呢。 今天 一一哥 就带大家来学习一下在前后端分离的开发模式下,如何保护我们项目的安全。有的小伙伴会问,啥是前后端分离啊?如果你对此一无所知,一一哥 只能建议你先查阅一下相关资料,本文 一一哥 只能带你简单了解
SpringSecurity根据自定义异常返回登录错误提示信息
梦里花落知多少的博客
08-15 1363
SpringSecurity登录失败处理
全局异常拦截和Spring Security认证异常的拦截的顺序
2301_80092713的博客
11-17 738
如果异常是身份验证相关的问题,即需要经过Spring Security进行处理的异常,一般情况下会先被全局异常拦截器捕获,然后再被authenticationEntryPoint拦截器处理。全局异常拦截器可以捕获各种类型的异常,包括身份验证相关的异常。当出现身份验证问题时,异常会首先被全局异常拦截器捕获。然后根据配置,如果请求需要经过Spring Security的身份验证,authenticationEntryPoint拦截器会接管处理这个异常,例如重定向到登录页面或返回身份验证错误信息。
Spring Security系列之认证(Authentication)架构
Carroll的博客
06-17 943
AbstractAuthenticationProcessingFilter 被用作验证用户凭证的基础 Filter。在认证凭证之前,Spring Security 通常通过使用AuthenticationEntryPoint 来请求凭证。接下来,AbstractAuthenticationProcessingFilter 可以对提交给它的任何认证请求进行认证。
深入理解Spring Security认证机制
"这篇文章主要探讨了Spring Security的认证流程,通过示例代码深入解析了相关概念,适合学习或工作中作为参考。文章适用于Java jdk8和spring-boot 2.1.6.RELEASE版本的环境。" Spring Security是Java领域中广泛使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值