Spring security 配置的AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问

已于 2023-04-13 17:14:48 修改
阅读量2.2w 收藏 26
点赞数 7
文章标签: java spring boot
于 2020-12-17 16:56:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42408648/article/details/111318998
版权

1.Spring Security 中的异常处理

我们一般都会在Spring Security 的 自定义配置类( WebSecurityConfigurerAdapter )中使用HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口:

AuthenticationEntryPoint 该类用来统一处理 AuthenticationException 异常
AccessDeniedHandler 该类用来统一处理 AccessDeniedException 异常
我们只要实现并配置这两个异常处理类即可实现对 Spring Security 认证授权相关的异常进行统一的自定义处理。

public class SimpleAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException) throws IOException, ServletException {
        ResponseUtil.out(response, ResultJson.error(CommonEnum.NOT_FIND_LOGIN_INFORMATION));
    }
}


public class SimpleAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException, ServletException {
        ResponseUtil.out(response, ResultJson.error(CommonEnum.NO_PERMISSION));
    }

}

配置

实现了上述两个接口后,我们只需要在 WebSecurityConfigurerAdapterconfigure(HttpSecurity http) 方法中配置即可。相关的配置片段如下:

 http.exceptionHandling().accessDeniedHandler(new SimpleAccessDeniedHandler()).authenticationEntryPoint(new SimpleAuthenticationEntryPoint())

2.验证权限失败抛出AccessDeniedException 不允许访问

@Slf4j
@Component("el")
public class ElPermissionConfig {
    /**
     * 判断接口是否有xxx:xxx权限
     *
     * @param permission 权限
     * @return {boolean}
     */
    public boolean check(String permission) {
        log.info("需要权限:{}",permission);
        if (StrUtil.isBlank(permission)) {
            return false;
        }
        SecurityUser user= (SecurityUser) SecurityUtils.getCurrentUser();
        if (user == null) {
            return false;
        }

        return user
                .getAuthorities()
                .stream()
                .map(GrantedAuthority::getAuthority)
                .filter(StringUtils::hasText)
                .anyMatch(x -> PatternMatchUtils.simpleMatch(permission, x));
    }
}

当验证权限失败时抛出AccessDeniedException异常 不允许访问,而我明明配置了SimpleAccessDeniedHandler 来处理异常并返回提示信息。我仔细检查发现拦截AccessDeniedException异常的是全局异常处理GlobalExceptionHandler

    @ExceptionHandler(value =Exception.class)
    @ResponseBody
    public ResultJson exceptionHandler(HttpServletRequest req, Exception e){
        log.error("未知异常!原因是:",e);
        return ResultJson.error(CommonEnum.INTERNAL_SERVER_ERROR);
    }

3.解决方案

然后我就直接在全局异常处理GlobalExceptionHandler里添加

    /**
     * 处理AccessDeineHandler无权限异常
     * @param req
     * @param e
     * @return
     */
    @ExceptionHandler(value = AccessDeniedException.class)
    @ResponseBody
    public ResultJson exceptionHandler(HttpServletRequest req, AccessDeniedException e){
        log.error("不允许访问!原因是:",e.getMessage());
        return ResultJson.error(CommonEnum.NO_PERMISSION);
    }

==============={2023/4/13} ==========================
经过过了很久的学习,已经没有单独使用security,现在是使用security-oauth2,但是很多 配置是类似的。
现在没有使用全局异常也能处理 Security 中的异常处理, 直接在CustomAuthExceptionHandler 捕获打印

2023-04-13 16:53:10.935 ERROR 10932 — [nio-8111-exec-2] c.d.s.h.CustomAuthExceptionHandler : NoAuthentication :UNAUTHORIZED
2023-04-13 16:53:11.863 ERROR 10932 — [nio-8111-exec-3] c.d.s.h.CustomAuthExceptionHandler : NoAuthentication :UNAUTHORIZED

   <!-- 注意是starter,自动配置 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>
        <!-- 不是starter,手动配置 -->
        <dependency>
            <groupId>org.springframework.security.oauth</groupId>
            <artifactId>spring-security-oauth2</artifactId>
            <version>2.3.3.RELEASE</version>
        </dependency>

CustomAuthExceptionHandler 实现权限异常处理

@Component
@Slf4j
public class CustomAuthExceptionHandler implements AuthenticationEntryPoint, AccessDeniedHandler {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {

        Throwable cause = authException.getCause();
        if (cause instanceof InvalidTokenException) {
            log.error("InvalidTokenException : {}",cause.getMessage());
            //Token无效
            ResponseUtil.out(response,ResultJson.error(CommonEnum.ACCESS_TOKEN_INVALID));
            //response.getWriter().write(JSON.toJSONString(ResultJson.error(CommonEnum.ACCESS_TOKEN_INVALID)));
        } else {
            log.error("NoAuthentication :{} ",CommonEnum.UNAUTHORIZED);
            //资源未授权
            ResponseUtil.out(response,ResultJson.error(CommonEnum.UNAUTHORIZED));
            //response.getWriter().write(JSON.toJSONString(ResultJson.error(CommonEnum.UNAUTHORIZED)));
        }

    }

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        //访问资源的用户权限不足
        log.error("AccessDeniedException : {}",accessDeniedException.getMessage());
        ResponseUtil.out(response,ResultJson.error(CommonEnum.INSUFFICIENT_PERMISSIONS));
        //response.getWriter().write(JSON.toJSONString(ResultJson.error(CommonEnum.INSUFFICIENT_PERMISSIONS)));
    }
}

oauth2资源服务器

@Configuration
@EnableResourceServer
public class ResourceServerConfig extends ResourceServerConfigurerAdapter {

    private static final String RESOURCE_IDS = "order";
    @Autowired
    private CustomAuthExceptionHandler customAuthExceptionHandler;
    @Autowired
    UserLogoutSuccessHandler userLogoutSuccessHandler;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.resourceId(RESOURCE_IDS)
                .stateless(false)
                .accessDeniedHandler(customAuthExceptionHandler)
                .authenticationEntryPoint(customAuthExceptionHandler);
    }

    @Override
    public void configure(HttpSecurity httpSecurity) throws Exception {
        //解决springSecurty使用X-Frame-Options防止网页被Frame
        httpSecurity.headers().frameOptions().disable()
                .and()
                .logout()
                .logoutSuccessHandler(userLogoutSuccessHandler);

        httpSecurity
                .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
                .and()
                .requestMatchers().anyRequest()
                .and()
                .anonymous()
                .and()
                .authorizeRequests()
                .requestMatchers(CorsUtils::isPreFlightRequest).permitAll()//将PreflightRequest不做拦截。
                .and()
                .authorizeRequests()
                .antMatchers(
                        "/webjars/**",
                        "/swagger/**",
                        "/v2/api-docs",
                        "/doc.html",
                        "/swagger-ui.html",
                        "/swagger-resources/**",
                        "/druid/**",
                        "/open/**").permitAll()
                .and()
                .authorizeRequests()
                .antMatchers("/**").authenticated();//配置所有访问控制,必须认证过后才可以访问
    }
}
单筱风
关注
  • 7
    点赞
  • 26
    收藏
    觉得还不错? 一键收藏
  • 8
    评论
SpringSecurity-权限验证失败后的自定义路径跳转集成
06-27 2606
应用场景: (1)一般权限校验和Oauth2权限校验,针对跳转页面、返回信息等场景进行修改 应用方式: (1)httpSecurity设置formLogin中对验证失败情况下的跳转地址进行设置 (2)通过自定义Exception**Filter的AuthenticationEntryPoint进行匹配设置,这种情况主要用于在集成N中登录授权时使用 具体配置如下: 有时间再写 ...
SpringSecurity 自定义 AccessDeniedHandler 不生效的问题解决
SB_YYGY_FHVK的博客
08-13 843
问题描述 在 Security配置类中 正确配置AccessDeniedHandler,但是发现实际运行时 AccessDeniedHandler 没有被触发! 问题原因 出现这种问题的原因一般都是因为项目中还配置了 GlobalExceptionHandler 。 由于GlobalExceptionHandler 全局异常处理器会比 AccessDeniedHandler 先捕获 AccessDeniedException 异常,因此当配置了 GlobalExceptionHandler 后,会发
Vuex 页面刷新数据丢失怎么解决
最新发布
youhebuke225的博客
05-26 1320
当Vuex中的数据在页面刷新后丢失时,这通常是因为Vuex的状态数据是保存在运行内存中的,页面刷新会导致Vue实例重新加载,进而Vuex中的数据被重置为初始状态。
Spring Security 自定义 AuthenticationEntryPoint 和 AccessDeniedHandler(匿名/已认证)的用户访问无权限资源时的异常
wangooo的博客
02-21 3650
AuthenticationEntryPoint简介 AuthenticationEntryPoint是Spring Security Web一个概念模型接口,顾名思义,他所建模的概念是:“认证入口点”。 它在用户请求处理过程中遇到认证异常时,被ExceptionTranslationFilter用于开启特定认证方案(authentication schema)的认证流程。 AccessDeniedHandler AccessDeniedHandler仅适用于已通过身份验证的用户。未经身份验证的用户的默认
org.springframework.security.access.AccessDeniedException: 不允许访问
louis_lee7812的专栏
10-22 7713
org.springframework.security.access.AccessDeniedException: 不允许访问。原因是:@PreAuthorize 注解的异常,抛出AccessDeniedException异常,不会被accessDeniedHandler捕获,而是会被全局异常捕获。
拒绝访问异常处理(AccessDeniedException)_spring security例子
09-23
拒绝访问异常处理(AccessDeniedException)_spring security例子 博客:blog.csdn.net/dsundsun
关于accessDeniedHandler与authenticationEntryPoint 全局异常处理问题
u014226080的博客
11-17 2162
会在全局异常捕获前捕获异常;会在全局异常之后捕获。
AccessDeniedHandler 处理当访问被拒绝时的逻辑
wddblog的博客
03-11 1003
Spring Security 中处理访问被拒绝情况的关键组件。通过实现和配置这个接口,开发者可以定义自己的访问被拒绝处理逻辑,从而增强应用的安全性和用户体验。无论是重定向用户、记录日志还是执行其他操作,都提供了一个灵活且强大的机制来实现这些功能。
Security 自定义异常 AccessDeniedHandler不生效解决
qq_39535439的博客
06-06 1298
ControllerAdvice\Security\AccessDeniedHandler\自定义异常不生效
AccessDeniedException如何处理
热门推荐
abcwanglinyong的博客
07-02 3万+
有两种情况:1.用户未登录情况下访问受保护资源2.用户登录情况下访问被保护资源一、用户未登录情况下访问受保护资源用户在未登录的情况下访问受保护资源时会自动跳转到配置的登录页面。主要是以下这个配置起作用:&lt;security:http auto-config="false" access-decision-manager-ref="accessDecisionManager" ...
Spring Security如何使用URL地址进行权限控制
08-25
5. 如果用户没有权限访问某个资源,我们可以抛出AccessDeniedException异常,以便阻止用户访问该资源。 代码实现 以下是一个简单的示例代码,演示如何实现自定义的accessDecisionManager: ```java package org....
spring security自定义决策管理器
08-29
// 如果用户没有权限访问资源,则抛出 AccessDeniedException throw new AccessDeniedException("访问资源失败"); } } ``` 在上面的实现中,我们首先获取用户的 principal 对象,然后判断用户是否有访问资源所需...
话说Spring Security权限管理(源码详解)
08-31
`AccessDecisionManager`是Spring Security授权流程的核心接口,它负责决定一个认证的用户是否被允许访问特定的受保护资源。`AccessDecisionManager`的`decide()`方法是授权过程的关键,它接收三个参数:`...
spring security2配置
04-20
6. **异常处理**:当用户尝试访问未授权的资源时,Spring Security抛出`AccessDeniedException`。我们可以配置自定义的错误页面(如`access-denied.jsp`),以便提供更友好的用户体验。 7. **过滤器链**:Spring...
springSecurity
09-04
- Spring Security抛出特定的异常,如`AccessDeniedException`和`AuthenticationException`,可以通过全局异常处理器捕获并处理。 总结来说,Spring SecurityJava应用程序提供了全面的安全保障。从简单的身份...
Spring SecurityAccessDeniedHandler 用户无权限操作接口时处理
杜小舟的博客
12-29 1704
AccessDeniedHandler 接口负责处理用户在没有足够权限访问某资源时的行为。当用户尝试访问他们没有权限的资源时,这个处理器被触发。 官方是给了几个默认的处理器,当然,我们也可以自己自定义处理器,那么先简单介绍一下官方的处理器,然后再自己写一个自定义处理器。
有关spring security的错误之 AccessDeniedException: Access is denied
xiao__shun的博客
07-26 1万+
AccessDeniedException: Access is denied 没有访问权限 解决方法有以下几种 1,form表单对应spring security配置文件一定一样 spring security配置文件代替了controller层 2 spring security配置文件一定可以找到service层 3 在数据库中设置的...
关于Security抛出异常AccessDeniedException: 不允许访问
m0_49194578的博客
10-24 5604
可以访问,可是一旦我们配置了全局异常处理,并且添加了Exception处理未匹配异常时,异常就会被全局处理器捕获,而到不了Security。这个异常是由@PreAuthorize抛出的,通过我们定义的。直接把这个异常捕获以后继续向上抛出,让Security处理。直接在全局处理器里处理这个异常了。
org.springframework.security.access.accessdeniedexception: 不允许访问
04-30
org.springframework.security.access.accessdeniedexceptionSpring Security框架中的一个异常类。当用户尝试访问被保护的资源,但是由于缺乏必要的授权或权限不足而被拒绝访问时,该异常将被抛出。例如,在通过Spring Security对应用程序进行安全配置后,可能会针对某些特定用户或角色限制访问某些URL或操作,这些用户或角色如果没有相应的访问权限,那么Spring Security就会抛出accessdeniedexception进行提示。 通常情况下,可以通过向对应的URL、方法或资源添加所需的角色/权限来解决这个问题。例如,可以使用@PreAuthorize注解在控制器方法上指定要求的权限,或通过使用Spring Security配置文件指定不同角色的授权级别。 总体而言,Spring Security框架提供了一系列安全配置选项,包括认证(验证用户身份)、授权(管理用户访问权限)等功能,以此保护应用程序不受安全攻击和违规访问。在开发中,应该对不同的资源和操作进行适当的安全保护和授权管理,同时对可能出现的异常情况进行预期和处理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值