java授权失败_java相关:自定义Spring Security的身份验证失败处理方法

最新推荐文章于 2024-05-04 01:30:16 发布
最新推荐文章于 2024-05-04 01:30:16 发布
阅读量295 收藏
点赞数
文章标签: java授权失败
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39568232/article/details/114847141
版权

java相关:自定义Spring Security的身份验证失败处理方法

发布于 2020-7-7|

复制链接

在本篇文章里小妖给大家整理了一篇关于自定义Spring Security的身份验证失败的处理方法,有需要的朋友们学习下。

1.概述在本快速教程中,我们将演示如何在Spring Boot应用程序中自定义Spring Security的身份验证失败处理。目标是使用表单登录方法对用户进行身份验证。2.认证和授权(Authentication and Authorization)

身份验证和授权通常结合使用,因为它们在授予系统访问权限时起着重要且同样重要的作用。但是,它们具有不同的含义,并在验证请求时应用不同的约束:身份验证 - 在授权之前;它是关于验证收到的凭证;我们验证用户名和密码是否与我们的应用程序识别的用户名和密码相匹配

授权 - 用于验证成功通过身份验证的用户是否有权访问应用程序的某个功能

我们可以自定义身份验证和授权失败处理,但是,在此应用程序中,我们将专注于身份验证失败。3. Spring Security的AuthenticationFailureHandler

Spring Security提供了一个默认处理身份验证失败的组件。但是,我们发现于默认行为不足以满足实际要求的情况是很常见的。

如果是这种情况,我们可以创建自己的组件并通过实现AuthenticationFailureHandler接口提供我们想要的自定义行为:

```java

public class CustomAuthenticationFailureHandler

implements AuthenticationFailureHandler {

private ObjectMapper objectMapper = new ObjectMapper();

@Override

public void onAuthenticationFailure(

HttpServletRequest request,

HttpServletResponse response,

AuthenticationException exception)

throws IOException, ServletException {

response.setStatus(HttpStatus.UNAUTHORIZED.value());

Map data = new HashMap();

data.put(

"timestamp",

Calendar.getInstance().getTime());

data.put(

"exception",

exception.getMessage());

response.getOutputStream()

.println(objectMapper.writeValueAsString(data));

}

}

```

默认情况下,Spring使用包含错误信息的请求参数将用户重定向回登录页面。在此应用程序中,我们将返回401响应,其中包含有关错误的信息以及错误发生的时间戳。

DelegatingAuthenticationFailureHandler将AuthenticationException子类委托给不同的AuthenticationFailureHandler,这意味着我们可以为AuthenticationException的不同实例创建不同的行为

ExceptionMappingAuthenticationFailureHandler根据AuthenticationException的完整类名将用户重定向到特定的URL

无论AuthenticationException的类型如何,ForwardAuthenticationFailureHandler都会将用户转发到指定的URL

SimpleUrlAuthenticationFailureHandler是默认使用的组件,如果指定,它会将用户重定向到failureUrl;否则,它只会返回401响应

现在我们已经创建了自定义AuthenticationFailureHandler,让我们配置我们的应用程序并覆盖Spring的默认处理程序:

```java

@Configuration

@EnableWebSecurity

public class SecurityConfiguration

extends WebSecurityConfigurerAdapter {

@Override

protected void configure(AuthenticationManagerBuilder auth)

throws Exception {

auth

.inMemoryAuthentication()

.withUser("baeldung")

.password("baeldung")

.roles("USER");

}

@Override

protected void configure(HttpSecurity http)

throws Exception {

http

.authorizeRequests()

.anyRequest()

.authenticated()

.and()

.formLogin()

.failureHandler(customAuthenticationFailureHandler());

}

@Bean

public AuthenticationFailureHandler customAuthenticationFailureHandler() {

return new CustomAuthenticationFailureHandler();

}

}

```

注意failureHandler()调用,我们可以告诉Spring使用我们的自定义组件而不是使用默认组件。4.结论

在此示例中,我们使用Spring的AuthenticationFailureHandler接口自定义了应用程序的身份验证失败处理程序。

weixin_39568232
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringCloud Alibaba实战二十七 - Oauth2认证服务器自定义异常
飘渺Jam的博客
02-04 4043
前言今天内容主要是解决一位粉丝提的问题:在使用 Spring Security OAuth2 时如何自定义认证服务器返回异常。那么首先我们先以 Password模式为例看看在认证时会出现哪...
Spring整合Kafka(六)----应用程序事件
Gabriel Wang的博客
01-16 768
默认情况下,应用程序上下文的event multicaster调用calling thread上的事件监听器。如果将multicaster更改为使用异步执行器,则在事件包含对consumer的引用时,不得调用任何consumer方法。ListenerContainerNoLongerIdleEvent 具有相同的属性,除了idleTime和paused。ListenerContainerPartitionNoLongerIdleEvent具有相同的属性,除了idleTime和paused。
spring boot security 自定义登陆、成功处理失败处理
qq_35035468的博客
08-29 9355
spring security 自定义登录,推荐文章地址:https://www.jianshu.com/p/779d3071e98d 附加信息项,自定义登录成功与失败 定义自定义成功处理类,继承SavedRequestAwareAuthenticationSuccessHandler @Component("myAuthenctiationSuccessHandler") pu...
springboot redis token_SpringBoot前后端分离项目,集成Spring Security(完整版)
weixin_39583162的博客
11-21 771
本文讲解使用SpringBoot版本:2.2.6.RELEASE,Spring Security版本:5.2.2.RELEASEJava流行的安全框架有两种Apache Shiro和Spring Security,其中Shiro对于前后端分离项目不是很友好,最终选用了Spring SecuritySpringBoot提供了官方的spring-boot-starter-security,能够方便的...
spring oauth2 oauthServer invalid_client Bad client credentials 自定义
dechengtju的博客
08-03 8005
spring oauth2 oauthServer 在client_id或client_secret不正确时,返回的信息不是我们需要返回的统一的json格式,spring oauth2返回的信息如下: { "error": "invalid_client", "error_description": "Bad client credentials" } 因此,我们需要进行自定义返回格式处理。 首先,需要自定义一个CustomClientCredentialsTokenEndpoint
自定义Spring Security身份验证失败处理方法
08-25
自定义Spring Security身份验证失败处理方法Spring Security 中,身份验证失败处理方法是一个非常重要的组件,它能够帮助我们处理身份验证失败的情况。然而,默认的身份验证失败处理方法并不总是能够满足我们...
ss.rar_java security_spring security_springsecurity4xss
09-23
它提供了一整套的解决方案,包括身份验证授权、会话管理以及防止常见攻击,如跨站脚本(XSS)、跨站请求伪造(CSRF)等。Spring Security 的核心设计理念是“最小权限原则”,即用户只能访问他们被明确允许访问的...
application-sexurity.zip_java security_spring security
09-24
Spring SecurityJava生态中用于构建安全Web应用的顶级框架,它提供了全面的身份验证授权和访问控制功能。本资源"application-sexurity.zip"显然是围绕Spring SecurityJava安全领域的应用展开的,下面将详细...
custom_ldap_authenticator:使用 Spring LDAP Security 进行快速 ldap 身份验证的演示,例如无状态 Web 服务
06-20
有关问题的详细信息,请参阅 using_spring+ldap_for_webservice_authentication.docx 此示例代码显示了用于验证 Web 客户端的标准开箱即用 Spring LDAP 配置与使用基于 UnboundID LDAP SDK 的org.springframework....
Spring_Security_Concepts:此仓库包含Spring Security一部分的各种概念的示例
04-04
Spring Security支持角色基的授权(Role-Based Access Control, RBAC),表达式基的访问控制(Expression-Based Access Control, EBAC)以及更多的自定义策略。 4. **过滤器链(Filter Chain)**:Spring Security...
SpringBoot + Spring Security多种登录方式:账号+微信网页授权登录
程序员闪充宝
04-05 2590
大家好,我是宝哥!一、概述实现账号用户名+微信网页授权登录集成在Spring Security的思路,最重要的一点是要实现微信登录通过Spring Security安全框架时,不需要验证账号、密码。二、准备工作要实现该功能,首先需要掌握Spring Security框架和微信扫码登录接口相关技术,如果对这两块还不太熟悉,可以参考:1、Springboot + Spring Security实现前后...
学习SpringSecurity的日常生活(三)——前后台分离登录
dongbeihuxiao的博客
04-11 2127
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代.
SpringSecurity Exception 处理
lxsFight的博客
04-27 1096
spring security zuul 处理各种exception总结 异常分类 1.AccessDeniedException,zuul携带token 访问受限资源抛出 AccessDeniedException 代码块如下 @GetMapping("/r3") @PreAuthorize("hasRole('ROLE_ADMIN')") public String testR3() { return "admin"; } @GetMapping("/r4") @PreAuthorize
关于Spring Boot下Spring Security权限访问设置@PreAuthorize(“hasRole(‘ROLE_ADMIN‘)“)没有用
xiaokanfuchen86的博客
10-10 2930
承接上篇:Spring Security整合后post数据不了,403拒绝访问 前几天想要限制不同角色的访问权限,于是就直接使用: @PreAuthorize("hasRole('ROLE_ADMIN')") 注解来标注一个实现类的方法上,但是其他权限依然可以访问 orz,于是我怀疑是放的位置不对,于是放在了Service接口里的方法上,也未果。于是直接放在Controller层的访问方法上,还是未果 ==||| 好了,上网查了一番:Spring Security @PreAuthorize 拦.
SpringSecurity成功、失败和异常处理
oPeiJie1的博客
02-09 2888
SpringSecurity成功、失败和异常处理
spring security 登录认证——用户认证一直不成功
qq_45947664的博客
10-12 3512
自定义的登录逻辑:前端手机号+密码,经过加密传输——后端接受后端自定义登录controller里:1、根据手机号,查找用户名。
在需要 ClientId 鉴权的 Kafka 集群中,高效使用 Producer 和 Consumer 的方法_kafka clientid
最新发布
2401_84170337的博客
05-04 493
建议不配置,默认使用父pom中的版本。// 在这儿添加业务逻辑。
管理员登录及token相关
寻常的博客
04-21 1508
1、前端登录表单部分 <el-form :model="dataForm" :rules="dataRule" ref="dataForm" @keyup.enter.native="dataFormSubmit()" status-icon > <el-form-item prop="userName">
史上最简单的Spring Security教程(十):AuthenticationFailureHandler高级用法
热门推荐
银河架构师的博客
07-07 1万+
在前面,我们简述了如何自定义用户登录失败页面。但是,在工作中,所遇到的业务场景压根不会这么简单。 比如要求记录登录失败时的IP、时间、SessionId;发送登录失败提醒到微信、邮箱、短信,提醒用户当前登录失败事件;同时记录到日志中,或者发送到远端日志监控平台,分析是否是攻击行为等等。 而这一切,Spring Security框架非常贴心的提供了AuthenticationFailureHandler接口,当然了,框架同时也提供了一些简单的实现,最重要的,用户可自行扩展,以满足不同的业务场景...
spring security_认证_授权_java
09-07
Spring Security 是一个开源的 Java 安全框架,提供了全面的身份验证认证)和授权功能,帮助开发人员构建安全性高的应用程序。 在 Spring Security 中,认证是指验证用户的身份。它支持多种认证方式,包括基于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值