spring Security 异常处理

已于 2023-03-12 09:36:44 修改
阅读量4k 收藏 6
点赞数 1
分类专栏: java 前后端分离 异常 文章标签: spring java servlet spring boot
于 2022-09-06 17:41:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52834606/article/details/126729690
版权
java 同时被 3 个专栏收录
9 篇文章 1 订阅
订阅专栏
前后端分离
3 篇文章 1 订阅
订阅专栏
异常
1 篇文章 0 订阅
订阅专栏

目录

一、异常信息类

二、自定义异常处理配置

三、ExceptionTranslationFilter 原理分析

一、异常信息类

Spring Security 中异常主要分为两大类:

  • AuthenticationException:认证异常
  • AccessDeniedException:授权异常

        其中认证所涉及异常类型比较多,默认提供的异常类型如下:

        7ab7cf166495bc67e6f700f5e97de8ed.png

        相比于认证异常,权限异常类就要少了很多,默认提供的权限异常如下:

        在实际项目开发中,如果默认提供异常无法满足需求时,就需要根据实际需要来自定义异常类。 

二、自定义异常处理配置

        首先异常处理设计到两个 Handler 进行处理 ,一个是处理认证异常的Handler处理器 AuthenticationEntryPoint,一个是授权异常的Handler处理器 AccessDeniedHandler

@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .mvcMatchers("/index").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .and()
                .exceptionHandling()
                // 认证异常处理handler 使用的 lambda的内部的实现
                .authenticationEntryPoint((request,response,authenticationException)->{
                    Map<String,Object> rs = new HashMap<>();
                    rs.put("code",401);
                    rs.put("msg","尚未认证!");
                    ObjectMapper objectMapper = new ObjectMapper();
                    String json = objectMapper.writeValueAsString(rs);
                    response.setStatus(200);
                    response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
                    response.getWriter().println(json);

                })
             // 授权异常处理handler 使用的 lambda的内部的实现
                .accessDeniedHandler((request,response,accessDeniedException)->{
                    Map<String,Object> rs = new HashMap<>();
                    rs.put("code",401);
                    rs.put("msg","没有权限!");
                    ObjectMapper objectMapper = new ObjectMapper();
                    String json = objectMapper.writeValueAsString(rs);
                    response.setStatus(200);
                    response.setContentType(MediaType.APPLICATION_JSON_UTF8_VALUE);
                    response.getWriter().println(json);
                })
                .and()
                .csrf().disable();

    }
}

三、ExceptionTranslationFilter 原理分析

  1. ExceptionTranslationFilter 的doFilter 处理器它的作用是监听所有的访问状态。 

    1. 直接方法,监听执行是否出现异

    2. 如果抛出的是 IO 异常信息则直接抛出,不处理。

    3. 通过异常选择器进行的异常的信息的过滤

    4. 尝试去获取认证异常类型的异常对象,如果没有获取成功,则会去尝试获取授权类型的异常对象,如果获取两个异常类型其中之一,则会去执行对该异常的处理,否则则会报出去。  
        
    5. 	public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
			throws IOException, ServletException {
		HttpServletRequest request = (HttpServletRequest) req;
		HttpServletResponse response = (HttpServletResponse) res;

		// 1.直接放行,监听执行是否出现异常
		try {
			chain.doFilter(request, response);

			logger.debug("Chain processed normally");
		}
		// 2.放行 IO 异常
		catch (IOException ex) {
			throw ex;
		}
		// 3.处理异常
		catch (Exception ex) {
			// Try to extract a SpringSecurityException from the stacktrace
			//  4.尝试从stacktrace中提取SpringSecurityException 
			Throwable[] causeChain = throwableAnalyzer.determineCauseChain(ex);
			// 5.从异常选择器中获取的第一个 AuthenticationException 类型的 异常
			RuntimeException ase = (AuthenticationException) throwableAnalyzer
					.getFirstThrowableOfType(AuthenticationException.class, causeChain);
			// 判断是否有取出异常值
			if (ase == null) {
				// 再次尝试获取授权异常
				ase = (AccessDeniedException) throwableAnalyzer.getFirstThrowableOfType(
						AccessDeniedException.class, causeChain);
			}
			// 异常信息不为null
			if (ase != null) {
				// 判断是否委托
				if (response.isCommitted()) {
					throw new ServletException("Unable to handle the Spring Security Exception because the response is already committed.", ex);
				}
				// 异常的处理
				handleSpringSecurityException(request, response, chain, ase);
			}
			else {
				// Rethrow ServletExceptions and RuntimeExceptions as-is
				if (ex instanceof ServletException) {
					throw (ServletException) ex;
				}
				else if (ex instanceof RuntimeException) {
					throw (RuntimeException) ex;
				}

				// Wrap other Exceptions. This shouldn't actually happen
				// as we've already covered all the possibilities for doFilter
				throw new RuntimeException(ex);
			}
		}
	}

  2. 真正出处理异常的方法 handleSpringSecurityException       

                

  •  1. 首先判断是否是认证相关异常,如果是认证相关异常,则会调用 sendStartAuthentication 方法,将认证信息移除,并调用 AuthenticationEntryPoint commence 进行结果的处理
  • 2. 如果不是认证相关异常,则会获取当前认证信息,根据认证信息的类型去判断是否 匿名用户 或者是 记住我的用户 类型 如果是则会调用 sendStartAuthentication 的 认证异常处理器进行处理,否则则会调用 accessDeniedHandler.handle 的授权异常处理器进行处理。
	private void handleSpringSecurityException(HttpServletRequest request,
			HttpServletResponse response, FilterChain chain, RuntimeException exception)
			throws IOException, ServletException {
		
		// 判断异常是否 认证异常
		if (exception instanceof AuthenticationException) {
			logger.debug(
					"Authentication exception occurred; redirecting to authentication entry point",
					exception);
			// 开始发出异常信息给响应者
			sendStartAuthentication(request, response, chain,
					(AuthenticationException) exception);
		}

		// 判断异常是否 授权异常类型 
		else if (exception instanceof AccessDeniedException) {
			// 如果是授权异常,那么是有认证信息,则取出认证信息
			Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
			// 判断是否匿名用户,或者是 记住我的用户信息
			if (authenticationTrustResolver.isAnonymous(authentication) || authenticationTrustResolver.isRememberMe(authentication)) {
				logger.debug(
						"Access is denied (user is " + (authenticationTrustResolver.isAnonymous(authentication) ? "anonymous" : "not fully authenticated") + "); redirecting to authentication entry point",
						exception);
				// 开始发出异常信息给响应者
				sendStartAuthentication(
						request,
						response,
						chain,
						new InsufficientAuthenticationException(
							messages.getMessage(
								"ExceptionTranslationFilter.insufficientAuthentication",
								"Full authentication is required to access this resource")));
			}
			else {
				// 如果都不是以上的用户信息,则交给 授权处理器
				logger.debug(
						"Access is denied (user is not anonymous); delegating to AccessDeniedHandler",
						exception);
				// 授权处理器去执行
				accessDeniedHandler.handle(request, response,
						(AccessDeniedException) exception);
			}
		}
	}
  • 3.认证异常的处理方法 ExceptionTranslationFilter 的sendStartAuthentication

    • 该方法是处理 认证失败的异常

    • 1. 将当前的用户信息情况
    • 2.将请求和响应对象放入session中
    • 3.调用认证移异常处理器的执行方法。
protected void sendStartAuthentication(HttpServletRequest request,
			HttpServletResponse response, FilterChain chain,
			AuthenticationException reason) throws ServletException, IOException {
		// SEC-112: Clear the SecurityContextHolder's Authentication, as the
		// existing Authentication is no longer considered valid
		SecurityContextHolder.getContext().setAuthentication(null);
		requestCache.saveRequest(request, response);
		logger.debug("Calling Authentication entry point.");
		authenticationEntryPoint.commence(request, response, reason);
	}

千城丶Y
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
一文搞定 Spring Security 异常处理机制!
2401_84407867的博客
04-20 737
我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!” />我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)[外链图片转存中…(img-yw24h40Z-1713563349496)]
java学习之SpringSecurity配置了登录链接无权限
06-16
问题背景 我们在使用SpringSecurity作为后台权限框架的时候,框架给我们提供了配置登录请求的接口,供我们配置登录链接,当我们配置了登录链接地址后,前端访问登陆请求的时候显示无权限。 异常分析 由于SpringSecurity异常处理和mvc的异常处理是不一样的,认证类异常和权限异常了,并不会被全局异常捕获,而是SpringSecurity内部自己做了处理逻辑。 思路分析 我已经将本次请求的url添加到忽略名单里面了,起始这些过滤器没有被执行,这就是问题原因所在,我们忽略的url没有生效。 先定位过滤器忽略指定URL得逻辑代码,是否存在问题 制定了正确的忽略URL,内置的过滤器不走,但是我们自己定义的,实现了OncePerRequestFilter的过滤器还是会走的。 配置方法 通过先这段代码便完成了我们登录路径的配置
spring security认证异常无法被全局异常捕获
进击的豌豆的博客
07-09 2588
项目使用@ControllerAdvice+@ExceptionHandler注解组合,实现全局异常处理器 @ExceptionHandler({AuthenticationException.class}) public Object handleAuthorizationException(HttpServletRequest request, AuthenticationException e) { log.error(e.getMessage(), e);
Spring Security异常处理
大后生大大大的博客
12-09 3290
ExceptionTranslationFilter、AuthenticationEntryPoint、AccessDeniedHandler、自定义异常配置
史上最简单的Spring Security教程(三十八):ExceptionTranslationFilter详解
银河架构师的博客
10-24 1291
这是Spring Security框架FilterChain中倒数第二个 Filter,承载着承上启下的作用。还记得 FilterSecurityInterceptor 吗?史上最简单的Spring Security教程(十六):FilterSecurityInterceptor详解。 如当用户未登录时抛出的 AccessDeniedException 异常、或者其它 AuthenticationException 异常。此时,系统会跳转到固定的页面,如 403 页面、或者执行其它操作。 ...
Full authentication is required to access this resource解决办法
热门推荐
fds技术枭牛
02-25 3万+
一、springboot环境下,调试接口,返回如下错误信息: { "timestamp": "2018-03-05 14:43:45", "status": 401, "error": "Unauthorized", "message": "Full authentication is required to access this resource", "path": "/a...
java.lang.SecurityException异常
cuseronline的专栏
02-23 1万+
<br />Exception in thread "main" java.lang.SecurityException: class "org.eclipse.swt.widgets.UFCComposite"'s signer information does not match signer information of other classes in the same package<br /><br />什么情况下可能出现该异常?<br />当用户在自己的程序中定义了一个与系统内置的(如jdk,
13、spring security拦截器之ExceptionTranslationFilter
u012153127的博客
06-26 511
ExceptionTranslationFilter:异常处理,对AuthenticationException和AccessDeniedException进行处理 public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { HttpServletRequest request = (HttpServletR
spring security验证流程
qiuqiuit的专栏
02-13 488
工作需要,又弄起了权限的管理。虽然很早以前都了解过基于容器的权限实现方式,但是一直都觉得那东西太简陋了。后来使用liferay时发现它的权限系统的确做得很优秀,感觉这也可能是它做得最出色的地方吧。但是当时只停留在怎么使用及一些与其衔接的关系之上,并没有对其底层进行了解,新到现在的公司后,发现这一课还是得补上。但是令人惊讶的是,目前可用的选择并不多,甚至很少,最有名的当属spring securit...
微信扫一扫登录、微信支付、springsecurity&oauth2
09-26
项目中使用到的技术包含SpringBootSpringSecurity&oauth2(安全资源和授权中心模式、包括登录接口自定义返回字段、自定义手机号+密码登录、自定义免密登录)、Queue队列、线程池、xss攻击配置、SpringCache、Mybatis...
spring security 参考手册中文版
02-01
远程处理 - spring-security-remoting.jar 25 Web - spring-security-web.jar 25 配置 - spring-security-config.jar 26 LDAP - spring-security-ldap.jar 26 ACL - spring-security-acl.jar 26 CAS - spring-...
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证【完整源码+数据库】
02-16
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证
Spring Boot中Web应用的统一异常处理
05-09
我们在做Web应用的时候,请求处理过程中发生错误是非常常见的情况。
java.lang.SecurityException: Permission Denial:错误解决办法
OR的博客
08-23 2万+
在SDK23也就是Android6.0.1里编写调用系统通讯录读写权限的程序,在AndroidManifest.xml中,已经配置了<uses-permission android:name="android.permission.READ_CONTACTS"/> <uses-permission android:name="android.permission.WRITE_CONTACTS"/>但
Maven运行web时,出现jakarta.servlet.ServletException: 类Servlet不是Servlet的问题
weixin_44322375的博客
03-09 1万+
Maven运行web时,出现jakarta.servlet.ServletException: 类Servlet不是Servlet的问题 记录一下,在运行的时候,发现**jakarta.servlet.ServletException: 类ser.Servlet不是Servlet。 发现tomcat10之后不是javax.servlet了而是jakarta.servlet,所以Web的依赖应该换成下面的这两个,换了之后就对了。 <!--jsp的依赖--> <dependency&g
RuntimeException类 数据异常直接引发停止程序
懒虫翻身的博客
04-16 4282
RuntimeException类 数据异常直接引发停止程序 Exception中有一个特殊的子类异常RuntimeException运行异常。 注意ArithmeticException继承了RuntimeException 【1】一般看情况函数内抛throw,那么就必须声明函数外抛throws,而主函数main要么继续throws抛出,要么try---catch捕捉异常 【2】但...
spring-boot 401 Full authentication is required to access this resource错误解决
小洲同学的博客
08-09 2万+
1.关闭验证 在yml文件中加上management.security.enabled: false 2.开启HTTP basic认证 maven: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot...
spring security异常捕捉过滤器ExceptionTranslationFilter源码详解
阳仔的博客
05-21 2689
最近在写后台过程中,需要用到springsecurity安全框架来完成登录及权限认证,因为是前后端分离所以需要捕捉异常,如未登录、登录失败、登录超时、缺少权限等信息,所以自定义返回数据。 这些异常在springsecurity中统一由ExceptionTranslationFilter过滤器进行捕捉,所以我们就来分析一下此过滤器源码达到我们要求。 源码解析 1.我们首先看他的构造方法 在全参构造中 我们看到 分别导入 AuthenticationEntryPoint,accessDeniedHandler,
springsecurity 异常处理
最新发布
08-13
Spring Security提供了许多方式来处理身份验证和授权的异常。下面是一些常见的异常处理方式: 1. 使用Spring的全局异常处理器:可以通过在应用程序中定义一个`@ControllerAdvice`类,并使用`@ExceptionHandler`注解来处理Spring Security的异常。在异常处理方法中,可以根据不同的异常类型进行相应的处理,例如返回自定义的错误页面或者JSON响应。 ```java @ControllerAdvice public class SecurityExceptionHandler { @ExceptionHandler(AuthenticationException.class) public ResponseEntity<String> handleAuthenticationException(AuthenticationException ex) { // 处理身份验证异常 return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body(ex.getMessage()); } @ExceptionHandler(AccessDeniedException.class) public ResponseEntity<String> handleAccessDeniedException(AccessDeniedException ex) { // 处理访问拒绝异常 return ResponseEntity.status(HttpStatus.FORBIDDEN).body(ex.getMessage()); } // 其他异常处理方法... } ``` 2. 自定义AccessDeniedHandler:可以实现`AccessDeniedHandler`接口来处理访问拒绝异常。可以在`handle()`方法中自定义处理逻辑,例如返回自定义的错误页面或者JSON响应。 ```java public class CustomAccessDeniedHandler implements AccessDeniedHandler { @Override public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException ex) throws IOException, ServletException { // 处理访问拒绝异常 response.sendError(HttpServletResponse.SC_FORBIDDEN, ex.getMessage()); } } ``` 然后,在Spring Security配置中指定自定义的`AccessDeniedHandler`: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { // ... @Override protected void configure(HttpSecurity http) throws Exception { http // ... .exceptionHandling() .accessDeniedHandler(new CustomAccessDeniedHandler()) // ... } // ... } ``` 这些只是处理Spring Security异常的两种常见方式,你可以根据实际需求选择适合的方式进行异常处理

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值