07-08-自定义认证授权过滤器-自定义权限访问拒绝处理器

已于 2024-01-22 00:11:04 修改
阅读量516 收藏 8
点赞数 14
分类专栏: 项目:【今日指数金融】 # (十一)项目集成安全框架 文章标签: java SpringSecurity
于 2024-01-19 02:41:27 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44478828/article/details/135687467
版权

数据库中的数据

com.itheima.security.controller.UserController

package com.itheima.security.controller;

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

import javax.annotation.security.PermitAll;

/**
 * @author by itheima
 * @Date 2022/1/22
 * @Description
 */
@RestController
public class UserController {
    @PreAuthorize("hasAnyAuthority('P1','P5')")
    @GetMapping("/hello")
    public String hello() {
        return "hello security";
    }
//{"username":"itheima","password":"123456"}
    @PreAuthorize("hasRole('ADMIN')")
    @GetMapping("/say")
    public String say() {
        return "say security";
    }

    @PermitAll
    @GetMapping("/register")
    public String register() {
        return "register security";
    }
}

 itcast用户可以访问/say和/hello接口,itheima用户可以访问/hello,没有权限访问/say

不携带token,也就是游客(未登录用户)访问 

 注意用Postwoman测试的时候要禁用缓存,不然会有实际访问的用户变成缓存的用户访问的情况

可以看到游客和已经登录但是对某些资源没有权限的用户访问返回的都是相同的响应,不便于用户体验,现在针对不同类型的访问,响应不同的内容,给用户相应的提示

新建com.itheima.security.handler.MyAccessDenyHandler

package com.itheima.security.handler;

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.http.MediaType;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

/**
 * 用户无权限访问,访问拒绝的处理器
 */
public class MyAccessDenyHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setContentType(MediaType.APPLICATION_JSON_VALUE);
        response.setCharacterEncoding("UTF-8");
        Map<String, String> info = new HashMap<>();
        info.put("msg", "无权限访问");
        info.put("code", "0");
        info.put("data", "");
        response.getWriter().write(new ObjectMapper().writeValueAsString(info));
    }
}

在SecurityConfig类中配置处理器

@Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin().and().logout().permitAll().and().csrf().disable().
                authorizeRequests();
        //将自定义过滤器加入过滤器链并在默认的过滤器的前面执行
        http.addFilterBefore(myUsernamePasswordAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
        //配置授权过滤器,为了保证资源安全,给与最高优先级,在自定义认证过滤器之前执行
        http.addFilterBefore(authenticationFilter(), MyUsernamePasswordAuthenticationFilter.class);
        //配置拒绝处理器
        http.exceptionHandling().accessDeniedHandler(new MyAccessDenyHandler());
        //http.exceptionHandling().accessDeniedHandler(new MyAccessDenyHandler()).authenticationEntryPoint(new MyAuthenticationEntryPoint());
    }

测试一下

新建匿名用户访问拒绝处理器com.itheima.security.handler.MyAuthenticationEntryPoint

package com.itheima.security.handler;

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.http.MediaType;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

/**
 * 匿名用户访问拒绝的处理器
 */
public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.setContentType(MediaType.APPLICATION_JSON_VALUE);
        response.setCharacterEncoding("UTF-8");
        Map<String, String> info = new HashMap<>();
        info.put("msg", "未登录访问");
        info.put("code", "0");
        info.put("data", "");
        response.getWriter().write(new ObjectMapper().writeValueAsString(info));
    }
}

 配置一下

  @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.formLogin().and().logout().permitAll().and().csrf().disable().
                authorizeRequests();
        //将自定义过滤器加入过滤器链并在默认过滤器的前面执行
        http.addFilterBefore(myUsernamePasswordAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
        //配置授权过滤器,为了保证资源安全,给与最高优先级,在自定义认证过滤器之前执行
        http.addFilterBefore(authenticationFilter(), MyUsernamePasswordAuthenticationFilter.class);
        //配置无权限访问拒绝处理器
        //http.exceptionHandling().accessDeniedHandler(new MyAccessDenyHandler());
        //配置无权限访问处理器和匿名用户访问拒绝处理器
        http.exceptionHandling().accessDeniedHandler(new MyAccessDenyHandler()).authenticationEntryPoint(new MyAuthenticationEntryPoint());
    }

测试一下

敲代码的翠花
关注
  • 14
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
【微服务】springboot 整合 SA-Token 使用详解
congge
08-04 1万+
springboot 整合 SA-Token 使用详解
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】006 - Makefile 编译脚本 逐行深度解析
|~~~热爱生活、努力学习的小伙汁~~~|
06-15 442
【OpenHarmony4.1 之 U-Boot 2024.07源码深度解析】006 - Makefile 编译脚本 逐行深度解析
授权过滤器—MVC中使用授权过滤器实现JWT权限认证
weixin_43163153的博客
08-07 396
一、什么是过滤器过滤器定义: ​ 过滤器中间件很相似,过滤器(Filters)可在管道(pipeline)特定阶段(particular stage)前或后执行操作,可以将过滤器视为拦截器(interceptors)。在.NET MVC开发中,权限验证是非常重要的一部分。通过使用授权过滤器可以很方便地实现权限验证功能。这篇主要分享授权过滤器的使用。 二、过滤器的种类: ​ 过滤...
【愚公系列】2023年02月 WMS智能仓储系统-010.全局过滤、中间件、格式化配置
时光隧道
02-16 8611
本文主要讲解程序得全局配置,主要包含内容有全局过滤中间件格式化配置。
自定义认证授权过滤器-SpringSecurity
weixin_46520767的博客
02-12 826
自定义认证授权过滤器
自定义JWT认证过滤器
Leon_Jinhai_Sun的博客
01-23 2037
身份认证 - 1 登录成功之后前端就可以获取到了jwt的信息,前端中我们是保存在了store中,同时也保存在了localStorage中,然后每次axios请求之前,我们都会添加上我们的请求头信息,可以回顾一下: 前端项目的axios.js 所以后端进行用户身份识别的时候,我们需要通过请求头中获取jwt,然后解析出我们的用户名,这样我们就可以知道是谁在访问我们的接口啦,然后判断用户是否有权限等操作。 那么我们自定义一个过滤器用来进行识别jwt。 JWTAuthenticationFilter
自定义授权过滤器
ThreeYearTwo的博客
04-02 562
自定义授权过滤器的简单操作。 首先创建一个类 我这里是将过滤器用主界面,先登录才能访问界面。里面的路径是MVC的控制器加视图。 在登录界面登录成功后记得用session保存用户信息,方便调用。 用在哪个界面就将就过滤器写在视图上。就可以实现。 ...
Springmvc-自定义适配器,自定义拦截器
yz_blanks的博客
11-28 736
一、自定义适配器 HandlerAdapter适配器:用来转发HandlerMapping映射器的访问地址,HandlerAdapter指定对应的自定义Controller的方法执行。 之前都是实现Controller接口,通过默认的HandlerAdapter执行实现的handleRequest方法。现在我们想通过自己定义的Controller控制器的方法去处理请求和响应以及ModelA...
Springboot +spring security自定义认证授权异常处理器
weixin_40991408的博客
05-26 1910
Springboot +spring security自定义认证授权异常处理器
Java-框架-SpringSecurity】单点登录(认证授权)- 随笔
01-23
4. **配置过滤器链**:配置CasAuthenticationFilter和CasValidationFilter,前者处理用户的登录请求,后者负责验证服务票证。 5. **配置访问控制**:使用`@Secured`或`@PreAuthorize`注解来定义哪些资源需要授权...
Spring Security】六、自定义认证处理的过滤器
weixin_33895516的博客
07-04 309
这里接着上一章的自定义过滤器,这里主要的是配置自定义认证处理的过滤器,并加入到FilterChain的过程。在我们自己不在xml做特殊的配置情况下,security默认的做认证处理的过滤器为UsernamePasswordAuthenticationFilter,通过查看源码知道,做认证处理的方法为attemptAuthentication,这个方法的主要作用就是将用户输入的账号和密码,封装成一个...
权限----SpringSecurity】六、自定义认证处理的过滤器
Sunny
07-04 1670
Spring Security】六、自定义认证处理的过滤器 这里接着上一章的自定义过滤器,这里主要的是配置自定义认证处理的过滤器,并加入到FilterChain的过程。在我们自己不在xml做特殊的配置情况下,security默认的做认证处理的过滤器为UsernamePasswordAuthenticationFilter,通过查看源码知道,做认证处理的方法为attemptAuthenticat...
Spring Security 自定义身份认证过滤器
u011618818的博客
06-10 3055
概述 我们可以通过集成AbstractAuthenticationProcessingFilter或者现有的过滤器来完成自定义的身份认证过滤器 身份验证过滤器的主要责任是何时进行身份认证以及如何进行身份认证等 实现案例 以下是实现案例,可根据需求进行拓展和剔除 1. 继承AbstractAuthenticationProcessingFilter public class GetRequestAuthenticationFilter extends AbstractAuthenticationProcess
Java基础(6)- Java代码笔记3
最新发布
weixin_47062560的博客
08-30 583
数据类型[][] 数组名 = new 数据类型[m][n]数据类型 数组名[][] = new 数据类型[m][n]数据类型[] 数组名[] = new 数据类型[m][n]m:代表二维数组长度n:代表二维数组中每个一维数组的长度。
启动Application 报错:no mapping for GET /(已解决)
qq_3512323979的博客
08-26 7399
no mapping for GET /因为我使用的是框架嘛,然后生成了一个SpringBoot项目后,resources下面就会有一个static的类,用于存放静态资源类,后面我把静态资源放在里面,但是启动启动类后,报错一直匹配不到。: 正常的话,我们使用SpringBoot框架,他会给我们提供许多便利,包括静态资源的自动服务,默认的话,他会去。报这个错可能还有其他原因,我的是因为这个,大家可以根据日志信息一步步检查,肯定可以解决的!类并覆盖其方法时,就会失去静态资源的自动服务
[C++规范] 访问类成员变量的方式:直接访问还是通过成员函数访问
Loewen丶的小窝
08-26 7965
在面向对象编程(OOP)中,通过成员函数(如`ME_HardwareTypeEnum Type() const;` 和 `int Id() const;`)来访问类的私有或受保护成员(如`m_hardwareType` 和 `m_id`),而不是直接通过公共成员访问,是一种更好的做法。
操作系统原子操作
zzt_is_me的博客
08-28 5335
所谓的原子操作就是不可被拆分的操作,对于多线程对全局变量进行操作时,就再也不用再线程锁了,和pthread_mutex_t保护作用是一样的,也是线程安全的,有些编译器在使用时需要加-march=i686编译参数。2、type只能是整数相关的类型,浮点型和自定义类型无法使用。功能:把value赋值给*ptr,并返回*ptr的旧值。功能:以上操作返回的是*ptr与value计算后的值。使用原子操作实现一个线程安全的无锁队列。1、该功能并不通用,有些编译器不支持。功能:以上操作返回的是*ptr的旧值。
Spring WebFlux – CVE-2023-34034 – 撰写和概念验证
技术超强的网络安全平台
08-28 3285
Spring框架是一个广泛使用的基于Java的应用程序框架,为企业级Java应用的开发提供基础设施支持。是一个功能强大的身份验证和访问控制框架,也是保护基于 Spring 的应用程序的行业标准。它提供身份验证和授权,并且可以轻松扩展以满足自定义要求。Spring WebFlux是在 Spring 5 中引入的,作为传统框架的响应式编程替代方案。Spring WebFlux 的核心设计旨在处理异步、非阻塞和反应式编程范例。它提供了一种反应式编程模型,允许开发人员构建可扩展、响应迅速且具有弹性的应用程序。
输入三个正整数,找出不大不小的值
laocooon的博客
08-30 508
/ 找出最大值,找出最小值,然后不是最大值也不是最小值的。// 2、输入三个正整数,找出不大不小的值。
深入理解EL与JSTL:param标签及过滤器应用
"param标签的使用—简单了解-EL、JSTL、自定义标签、过滤器的ppt" 本文将详细介绍EL(Expression Language)、JSTL(JavaServer Pages Standard Tag Library)、自定义标签以及过滤器Java Web开发中的应用,特别...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

敲代码的翠花

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值