【Spring Security】AccessDeniedHandler 用户无权限操作接口时处理

最新推荐文章于 2024-04-26 17:51:10 发布
最新推荐文章于 2024-04-26 17:51:10 发布
阅读量1.7k 收藏 21
点赞数 21
分类专栏: # Spring Security 文章标签: spring java 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43657300/article/details/135274776
版权

文章目录


前言

AccessDeniedHandler 接口负责处理用户在没有足够权限访问某资源时的行为。当用户尝试访问他们没有权限的资源时,这个处理器被触发。
官方是给了几个默认的处理器,当然,我们也可以自己自定义处理器,那么先简单介绍一下官方的处理器,然后再自己写一个自定义处理器。



官方给的处理器

AccessDeniedHandlerImpl

当用户访问一个无权限访问的接口时,触发的处理器。
AccessDeniedHandlerImpl 中可以设置一个重定向的路径,其中 AccessDeniedHandlerImpl 中还会返回一个 403 的状态码。

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowCredentials(true);

        http
                // 退出登录
                .exceptionHandling()
                // 无权限访问资源处理器
                .accessDeniedHandler(accessDeniedHandler());
    }

    @Bean
    public AccessDeniedHandler accessDeniedHandler() {
        AccessDeniedHandlerImpl accessDeniedHandler = new AccessDeniedHandlerImpl();
        // 设置重定向的错误页面
        accessDeniedHandler.setErrorPage("/access-denied");
        return accessDeniedHandler;
    }

InvalidSessionAccessDeniedHandler

InvalidSessionAccessDeniedHandler 是当用户的会话时间到期后,执行的处理器。

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowCredentials(true);

        http
                // 退出登录
                .exceptionHandling()
                // 无权限访问资源处理器
                .accessDeniedHandler(accessDeniedHandler());
    }

    @Bean
    public AccessDeniedHandler accessDeniedHandler() {
    	// 会话时间到期后执行的处理器
        return new InvalidSessionAccessDeniedHandler(invalidSessionStrategy());
    }

    @Bean
    public InvalidSessionStrategy invalidSessionStrategy() {
        // 使用 SimpleRedirectInvalidSessionStrategy 或自定义实现
        return new SimpleRedirectInvalidSessionStrategy("/session-invalid");
    }

RequestMatcherDelegatingAccessDeniedHandler

RequestMatcherDelegatingAccessDeniedHandler 是用来灵活处理不同类型请求的访问拒绝逻辑,比如URL模式、HTTP方法等。

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowCredentials(true);

        http
                // 退出登录
                .exceptionHandling()
                // 无权限访问资源处理器
                .accessDeniedHandler(accessDeniedHandler());
    }

    @Bean
    public AccessDeniedHandler accessDeniedHandler() {
        LinkedHashMap<RequestMatcher, AccessDeniedHandler> handlerMap = new LinkedHashMap<>();

        AccessDeniedHandlerImpl userAccessDeniedHandler = new AccessDeniedHandlerImpl();
        // 设置重定向的错误页面
        userAccessDeniedHandler.setErrorPage("/user-access-denied");
        handlerMap.put(new AntPathRequestMatcher("/user/**"), userAccessDeniedHandler);

        RequestMatcherDelegatingAccessDeniedHandler accessDeniedHandler = new RequestMatcherDelegatingAccessDeniedHandler(
                handlerMap,
                // 默认的执行处理器
                new AccessDeniedHandlerImpl());
        return accessDeniedHandler;
    }

DelegatingAccessDeniedHandler

DelegatingAccessDeniedHandler 是根据你出现权限访问错误后,根据出现的错误进行设置规则。

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowCredentials(true);

        http
                // 退出登录
                .exceptionHandling()
                // 无权限访问资源处理器
                .accessDeniedHandler(accessDeniedHandler());
    }

    @Bean
    public AccessDeniedHandler accessDeniedHandler() {
        LinkedHashMap<Class<? extends AccessDeniedException>, AccessDeniedHandler> handlers = new LinkedHashMap<>();
        // 出现 AuthorizationServiceException 时执行
        handlers.put(AuthorizationServiceException.class, new AccessDeniedHandlerImpl());
        // 出现 MissingCsrfTokenException 时执行
        handlers.put(MissingCsrfTokenException.class, new AccessDeniedHandlerImpl());

        return new DelegatingAccessDeniedHandler(
                handlers,
                // 默认执行的处理方式
                new AccessDeniedHandlerImpl());
    }


自定义处理器

package com.security.handler.access;

import com.alibaba.fastjson2.JSON;
import com.security.controller.vo.ResponseResult;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
@Slf4j
public class CustomAccessDeniedHandlerImpl implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        log.info("CustomAccessDeniedHandlerImpl 授权失败处理 ...");
        /**
         * 设置响应状态值
         */
        response.setStatus(403);
        response.setContentType("application/json");
        response.setCharacterEncoding("utf-8");
        String json = JSON.toJSONString(
                ResponseResult.builder()
                        .code(403)
                        .message("认证失败!")
                        .build());

        // JSON信息
        response.getWriter().println(json);
    }

}

package com.security.config;

import com.security.handler.access.CustomAccessDeniedHandlerImpl;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.web.cors.CorsConfiguration;



@Configuration
@EnableWebSecurity
// 开启限制访问资源所需权限
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class SecurityConfigurationTest extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        CorsConfiguration configuration = new CorsConfiguration();
        configuration.setAllowCredentials(true);

        http
                // 退出登录
                .exceptionHandling()
                // 无权限访问资源处理器
                .accessDeniedHandler(accessDeniedHandler());
    }

    @Bean
    public AccessDeniedHandler accessDeniedHandler() {
        return new CustomAccessDeniedHandlerImpl();
    }


}




End


杜小舟
关注
  • 21
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
springsecurity使用demo
03-03
认证涉及识别用户身份,而授权则是确定用户是否具有执行特定操作权限Spring Security 提供了一套丰富的过滤器链,这些过滤器处理请求,执行认证和授权过程。 1. **配置 Spring Security**: 在 Spring ...
springsecurity实现角色权限登录.rar
09-24
在这个名为"springsecurity实现角色权限登录.rar"的压缩包中,我们可以推测包含了一个简单的示例,演示如何在Spring Security框架下实现用户角色和权限的登录功能。 首先,让我们来了解Spring Security的基本概念:...
Spring security 配置的AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
热门推荐
单筱风的博客
12-17 2万+
1.Spring Security 中的异常处理 我们在 Spring Security 实战干货系列文章中的 自定义配置类入口 WebSecurityConfigurerAdapter 一文中提到 HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口: AuthenticationEntryPoint 该类用来统一处理 AuthenticationEx
关于accessDeniedHandler与authenticationEntryPoint 全局异常处理问题
u014226080的博客
11-17 2162
会在全局异常捕获前捕获异常;会在全局异常之后捕获。
关于使用SpringSecurity框架发起JSON请求,但因登陆失效导致响应403的问题。
最新发布
qq826303461的博客
04-26 286
2.在配置类中引入该处理器,这里涉及到部分的业务代码,所以采用截图的方式,只需要将上面的失效处理器配置到config中即可。就是当用户登陆失效后,前端操作JSON请求获取列表数据,但因为登陆失效了。导致请求过不去返回结果。有个处理起对这个请求进行了处理,同转发到了error页面。安全框架使用的是内置版本的SpringSecurity。3.在前端JS内对发起请求的地方做统一拦截处理。这里记录一个生产中遇到的一个问题。同服务端也没有任何的异常日志。
AccessDeniedHandler 处理当访问被拒绝的逻辑
wddblog的博客
03-11 1003
Spring Security处理访问被拒绝情况的关键组件。通过实现和配置这个接口,开发者可以定义自己的访问被拒绝处理逻辑,从而增强应用的安全性和用户体验。无论是重定向用户、记录日志还是执行其他操作,都提供了一个灵活且强大的机制来实现这些功能。
Security 自定义异常 AccessDeniedHandler不生效解决
qq_39535439的博客
06-06 1298
ControllerAdvice\Security\AccessDeniedHandler\自定义异常不生效
Spring Security教程(9)---- 自定义AccessDeniedHandler
z69183787的专栏
03-13 1万+
Spring默认的AccessDeniedHandler中只有对页面请求的处理,而没有对Ajax的处理。而在项目开发是Ajax又是我们要常用的技术,所以我们可以通过自定义AccessDeniedHandler处理Ajax请求。我们在Spring默认的AccessDeniedHandlerImpl上稍作修改就可以了。 [java] view plaincopy
Spring Security 3多用户登录实现一
04-13
**Spring Security 3 多用户登录实现详解** Spring Security 是一个强大的、高度可定制的身份验证和访问控制框架,广泛应用于Java EE平台上的安全解决方案。在本文中,我们将深入探讨如何在Spring Security 3中实现...
springboot整合springSecurity
04-19
- **AccessDeniedHandler**:权限不足处理逻辑。 8. **CSRF(跨站请求伪造)防护**: - Spring Security默认启用CSRF保护,可以配置关闭或自定义实现。 9. **安全过滤链**: - **WebSecurity**:通过`...
spring security demo2
11-30
在"spring security demo2"中,你可能还会看到如何处理登录失败、权限不足的情况,以及如何与数据库或其他服务进行集成以存储和验证用户信息。通过学习和实践这个示例,你可以更深入地理解Spring Security的机制,并...
Spring Security 入门(基本使用)
ting2909的博客
05-17 320
Spring Security 入门(基本使用) 这几天看了下b站关于 spring security 的学习视频,不得不说 spring security 有点复杂,脑袋有点懵懵的,在此整理下学习内容。 1、入门 1.1、什么是 spring security spring security 是一个比 shiro 更加强大的安全管理框架,权限颗粒度更细。 源自于 spring 家族,能跟 springboot 无缝整合,对 oauth2 的支持也更好。 1.2、依赖配置 org.springframew
Spring Security自定义AccessDeniedHandler配置后不生效
jiu_yu的博客
05-10 1966
问题遇到的现象和发生背景 我在Spring Security中配置了两个异常处理,一个是自定AuthenticationEntryPoint,一个是自定义AccessDeniedHandler。但发现无论抛什么异常都进入了AuthenticationEntryPoint。怎么样才能进入自定义AccessDeniedHandler呢?往下看 问题相关代码 认证代码 /** * 权限控制 * 判断用户角色 * @author 刘昌兴 * */ @Component public class Role
Spring security 自定义的AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
m0_37257009的博客
08-16 1096
security异常
Gateway + Oauth2实现单点登录
fivehundredyearsago的博客
07-26 2191
单点登录
从零开始搭建高负载java架构(05)——gateway网关节点(权限验证篇)
lyz2015lyz的博客
05-11 1915
【注意】另外,如果要通过数据库或redis查找用户信息,可以重载实现ReactiveUserDetailsService的接口findByUsername,从其他数据源里查出user数据转成UserDetails对象,如果除了用户名和密码,还有其他额外的用户信息需要保存,可以重置UserDetails类,添加额外的信息。
spring security中PreAuthorize注解中配置了AccessDeniedHandler没有生效问题
shan165310175的专栏
04-09 8242
版本: spring security 2.1.0.RELEASE 出现情况的配置: 在接口中增加了注解: @PreAuthorize("hasRole('ROLE_AAA')") @RequestMapping("/hello0") public String hello(){ return "HELLO"; } 在WebSecurityConfigurerAda...
SpringCloud Gateway + Jwt + Oauth2 实现网关的鉴权操作,真是绝了!
程序员闪充宝
08-13 6223
大家好,我是宝哥!一、背景随着我们的微服务越来越多,如果每个微服务都要自己去实现一套鉴权操作,那么这么操作比较冗余,因此我们可以把鉴权操作统一放到网关去做,如果微服务自己有额外的鉴权处理,可以在自己的微服务中处理。二、需求1、在网关层完成url层面的鉴权操作。所有的OPTION请求都放行。所有不存在请求,直接都拒绝访问。user-provider服务的findAllUse...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值