AccessDeniedHandler 处理当访问被拒绝时的逻辑

最新推荐文章于 2024-04-26 17:51:10 发布
最新推荐文章于 2024-04-26 17:51:10 发布
阅读量967 收藏 10
点赞数 6
分类专栏: springboot java 文章标签: spring boot spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wddblog/article/details/136636880
版权
AccessDeniedHandler是SpringSecurity的核心组件,用于在访问控制失败时提供统一的处理机制。开发者可以通过实现接口或扩展现有类定制错误处理逻辑,如重定向、记录日志或发送通知。配置时需在WebSecurityConfigurerAdapter中注册自定义的AccessDeniedHandler。
摘要由CSDN通过智能技术生成

AccessDeniedHandler 是 Spring Security 框架中的一个关键组件,用于处理当访问被拒绝时的逻辑。在基于角色的访问控制(RBAC)或基于权限的访问控制(PBAC)系统中,当用户尝试访问他们没有权限的资源时,Spring Security 会触发 AccessDeniedHandler 来处理这种情况。

AccessDeniedHandler 的作用

AccessDeniedHandler 的主要作用是定义一个统一的、可配置的机制来处理访问被拒绝的情况。这可以包括重定向用户到一个错误页面、返回一个自定义的错误响应、记录一个安全事件,或者执行其他任何适当的逻辑。

通过实现 AccessDeniedHandler 接口或继承其现有的实现类(如 SimpleUrlAuthenticationFailureHandler),开发者可以灵活地定义当访问被拒绝时应用的行为。

AccessDeniedHandler 的实现

实现 AccessDeniedHandler 接口需要重写 handle 方法,该方法接受一个 HttpServletRequest 和一个 HttpServletResponse 对象作为参数。在这个方法中,开发者可以编写自定义的逻辑来处理访问被拒绝的情况。

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
public class CustomAccessDeniedHandler implements AccessDeniedHandler {
@Override
public void handle(HttpServletRequest request, HttpServletResponse response,
AccessDeniedException accessDeniedException) throws IOException, ServletException {
// 在这里编写处理访问被拒绝的逻辑
// 例如,重定向到一个错误页面
response.sendRedirect(request.getContextPath() + "/error/accessDenied");
}
}

在这个示例中,当访问被拒绝时,用户将被重定向到一个名为 "/error/accessDenied" 的错误页面。

配置 AccessDeniedHandler

要在 Spring Security 中使用自定义的 AccessDeniedHandler,你需要在安全配置中将其注册。这通常是通过扩展 WebSecurityConfigurerAdapter 并重写 configure(HttpSecurity) 方法来完成的。

下面是一个配置示例:

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.access.AccessDeniedHandler;
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
// ... 其他安全配置 ...
.exceptionHandling()
.accessDeniedHandler(accessDeniedHandler());
}
@Bean
public AccessDeniedHandler accessDeniedHandler() {
return new CustomAccessDeniedHandler();
}
}

在这个配置中,我们创建了一个名为 accessDeniedHandler 的 Bean,并将其注入到 HttpSecurity 的 exceptionHandling 配置中。这样,当发生访问被拒绝的情况时,Spring Security 将使用我们的 CustomAccessDeniedHandler 来处理。

使用场景

AccessDeniedHandler 在以下场景中特别有用:

  1. 统一错误处理:为应用提供一个统一的访问被拒绝错误处理机制,确保用户体验的一致性。
  2. 日志记录:记录访问被拒绝的事件,以便于后续的安全审计和问题分析。
  3. 自定义重定向:根据应用的需要,将用户重定向到一个特定的错误页面或登录页面。
  4. 发送通知:在某些情况下,当访问被拒绝时,可能需要发送通知给管理员或用户。

总结

AccessDeniedHandler 是 Spring Security 中处理访问被拒绝情况的关键组件。通过实现和配置这个接口,开发者可以定义自己的访问被拒绝处理逻辑,从而增强应用的安全性和用户体验。无论是重定向用户、记录日志还是执行其他操作,AccessDeniedHandler 都提供了一个灵活且强大的机制来实现这些功能。

wddblog
关注
  • 6
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Spring-Security笔记6 自定义AccessDeniedHandler
杨毅的专栏
03-01 1万+
Spring默认的AccessDeniedHandler中只有对页面请求的处理,而没有对Ajax的处理。而在项目开发是Ajax又是我们要常用的技术,所以我们可以通过自定义AccessDeniedHandler处理Ajax请求。我们在Spring默认的AccessDeniedHandlerImpl上稍作修改就可以了。package com.fhzz.core.sercurity.handler;...
拒绝访问异常处理(AccessDeniedException)_spring security例子
09-23
拒绝访问异常处理(AccessDeniedException)_spring security例子 博客:blog.csdn.net/dsundsun
spring security自定义AccessDeniedHandler不生效问题
lizsy的博客
08-10 625
spring security过滤器的执行顺序默认是先登录认证再授权认证,并且登录认证模块默认是开启匿名登录的,如果请求没有携带登录认证信息,那么默认的登录认证结果就是匿名登录,匿名登录的授权失败回调用sendStartAuthentication方法,而不是accessDeniedHandler。所以要使授权失败调用accessDeniedHandler,则要保证当前用户不是匿名和记住我登录的。实际情况是,作者自定义了AccessDeniedHandler后,但是在授权失败,并没有被调用。
SpringSecurity-6-GrantedAuthority/AccessDeniedHandler接口(权限菜单/权限接口/权限失败后的逻辑
文天大人
09-14 1万+
怀念二抱三抱
关于使用SpringSecurity框架发起JSON请求,但因登陆失效导致响应403的问题。
最新发布
qq826303461的博客
04-26 277
2.在配置类中引入该处理器,这里涉及到部分的业务代码,所以采用截图的方式,只需要将上面的失效处理器配置到config中即可。就是当用户登陆失效后,前端操作JSON请求获取列表数据,但因为登陆失效了。导致请求过不去返回结果。有个处理起对这个请求进行了处理,同转发到了error页面。安全框架使用的是内置版本的SpringSecurity。3.在前端JS内对发起请求的地方做统一拦截处理。这里记录一个生产中遇到的一个问题。同服务端也没有任何的异常日志。
AuthenticationEntryPoint和AccessDeniedHandler接口用法
cominglately的博客
12-20 966
AuthenticationEntryPoint 接口是 Spring Security 中的一个接口,用于处理在用户尝试访问受保护资源出现的身份验证异常。它定义了一个方法 commence,该方法在身份验证失败被调用,允许应用程序自定义处理方式,例如重定向到登录页面、返回特定的错误响应等。AccessDeniedHandler 访问一个需要需要认证的资源,身份认证成功(登录成功) 但是角色和权限不足 该接口会被调用, 用来返回: 重定向到错误页面、返回特定的错误响应等。
Spring RESTApi, Spring Security 自定义403返回信息
jiangshanwe
06-14 6214
在普通的Java web 项目中,如果使用了spring security 的话,直接在application配置文件中,指定一个403error-page。 如果项目只提供restapi,也就不存在error-page这个概念甚至page这个说法了。如果请求一个没有权限的资源,会返回一个默认的html页面。显然这不符合restapi的需要。 这种情况下,我们需要自定义一个AccessDeni
Spring Security教程(9)---- 自定义AccessDeniedHandler
z69183787的专栏
03-13 1万+
Spring默认的AccessDeniedHandler中只有对页面请求的处理,而没有对Ajax的处理。而在项目开发是Ajax又是我们要常用的技术,所以我们可以通过自定义AccessDeniedHandler处理Ajax请求。我们在Spring默认的AccessDeniedHandlerImpl上稍作修改就可以了。 [java] view plaincopy
Spring Security 自定义 AuthenticationEntryPoint 和 AccessDeniedHandler(匿名/已认证)的用户访问无权限资源的异常
wangooo的博客
02-21 3647
AuthenticationEntryPoint简介 AuthenticationEntryPoint是Spring Security Web一个概念模型接口,顾名思义,他所建模的概念是:“认证入口点”。 它在用户请求处理过程中遇到认证异常,被ExceptionTranslationFilter用于开启特定认证方案(authentication schema)的认证流程。 AccessDeniedHandler AccessDeniedHandler仅适用于已通过身份验证的用户。未经身份验证的用户的默认
Spring security 配置的AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
热门推荐
单筱风的博客
12-17 2万+
1.Spring Security 中的异常处理 我们在 Spring Security 实战干货系列文章中的 自定义配置类入口 WebSecurityConfigurerAdapter 一文中提到 HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口: AuthenticationEntryPoint 该类用来统一处理 AuthenticationEx
Spring Security】AccessDeniedHandler 用户无权限操作接口处理
杜小舟的博客
12-29 1690
AccessDeniedHandler 接口负责处理用户在没有足够权限访问某资源的行为。当用户尝试访问他们没有权限的资源,这个处理器被触发。 官方是给了几个默认的处理器,当然,我们也可以自己自定义处理器,那么先简单介绍一下官方的处理器,然后再自己写一个自定义处理器。
Spring MVC Security-添加自定义登录表单,显示无效凭据、基于角色的访问、自定义访问拒绝的错误消息.zip
01-09
要自定义访问拒绝的错误消息,我们需要实现`AccessDeniedHandler`接口,这样在访问拒绝,我们可以控制返回的响应,包括错误页面和消息内容。 在"SpringMVCSecurity-master"目录中,可能包含了以下内容: 1. ...
springside 玩转acegi
03-06
5. `<security:access-denied-handler>`:定义当用户无权访问受保护资源处理策略。可以自定义拒绝访问的页面或者执行其他操作。 6. `<security:remember-me>`:支持“记住我”功能,方便用户下次登录自动登录...
spring-security-login_and_registration
04-18
- **自定义访问拒绝处理**:通过`accessDeniedHandler()`定义当用户无权访问资源处理逻辑。 - **未认证处理**:配置`exceptionTranslationFilter()`处理未认证的请求,如自动重定向到登录页面。 6. **会话...
springsecurity使用demo
03-03
我们可以通过实现 `AuthenticationEntryPoint` 和 `AccessDeniedHandler` 接口来自定义异常处理逻辑。 7. **OAuth2 集成**: 如果你的应用需要支持 OAuth2 认证,Spring Security 也提供了相应的模块,如 `OAuth2...
Spring ACEGI手册(部份)
03-06
- `<security:access-denied-handler>`:配置访问拒绝处理器,当用户无权访问处理逻辑。 - `<security:user-service>`:定义用户服务,提供用户和权限信息。 **登录与认证** Spring ACEGI支持多种认证方式,...
Security 自定义异常 AccessDeniedHandler不生效解决
qq_39535439的博客
06-06 1295
ControllerAdvice\Security\AccessDeniedHandler\自定义异常不生效
spring security 3 配置 access-denied-handler
weixin_34342578的博客
01-20 896
2019独角兽企业重金招聘Python工程师标准>>> ...
AccessDeniedHandler 里面写什么内容
05-27
AccessDeniedHandlerSpring Security 提供的一个接口,用于处理访问拒绝的情况。当用户尝试访问一个被保护的资源但没有足够的权限AccessDeniedHandler 就会被触发。 在 AccessDeniedHandler 中,可以通过实现其 handle 方法来处理访问拒绝的情况。具体来说,可以在 handle 方法中编写一些逻辑来返回一个自定义的错误页面或者错误信息,或者进行一些其他的处理操作。例如: ```java public class MyAccessDeniedHandler implements AccessDeniedHandler { @Override public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException { // 返回一个自定义的错误页面 response.sendRedirect("/accessDenied"); // 或者返回一个错误信息 response.getWriter().write("Access Denied"); // 或者进行其他的处理操作 // ... } } ``` 需要注意的是,为了让 AccessDeniedHandler 生效,需要在 Spring Security 的配置中进行相应的配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wddblog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值