(新)Spring Security如何自定义失败处理器

已于 2024-06-25 13:46:31 修改
阅读量349 收藏 8
点赞数 4
分类专栏: Spring Security 文章标签: spring java 后端
于 2024-06-23 14:18:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55772633/article/details/139899727
版权

(直接从三、实战开始看)

(直接从三、实战开始看)

(直接从三、实战开始看)可点击:

(新)Spring Security如何自定义失败处理器-CSDN博客

我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。

在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。

如果是认证过程中出现的异常会被封装成AuthenticationException然后调用AuthenticationEntryPoint对象的方法去进行异常处理。

如果是授权过程中出现的异常会被封装成AccessDeniedException然后调用AccessDeniedHandler对象的方法去进行异常处理。

所以如果我们需要自定义异常处理,我们只需要自定义AuthenticationEntryPoint和AccessDeniedHandler然后配置SpringSecurity即可。

在Spring Security中,你可以通过实现特定的接口来自定义认证失败处理器(AuthenticationFailureHandler)和授权失败处理器(AccessDeniedHandler)。以下是如何分别自定义它们的步骤:

一、自定义认证失败处理器(AuthenticationFailureHandler)

1.1创建自定义的AuthenticationFailureHandler

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;

public class CustomAuthenticationFailureHandler implements AuthenticationFailureHandler {

    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
                                        AuthenticationException exception) throws IOException, ServletException {
        // 在这里处理认证失败的情况
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        response.getWriter().write("登录失败: " + exception.getMessage());
    }
}

1.2在Spring Security配置中使用你的自定义认证失败处理器

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        // ... 其他配置 ...
        .formLogin()
            .failureHandler(new CustomAuthenticationFailureHandler()) // 设置自定义认证失败处理器
            // ... 其他表单登录配置 ...
        // ... 其他HTTP安全配置 ...
    ;
}

二、自定义授权失败处理器(AccessDeniedHandler)

2.1创建自定义的AccessDeniedHandler

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;

public class CustomAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException, ServletException {
        // 在这里处理授权失败的情况
        response.setStatus(HttpServletResponse.SC_FORBIDDEN);
        response.getWriter().write("权限不足: " + accessDeniedException.getMessage());
    }
}

2.2在Spring Security配置中使用你的自定义授权失败处理器

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        // ... 其他配置 ...
        .exceptionHandling()
            .accessDeniedHandler(new CustomAccessDeniedHandler()) // 设置自定义授权失败处理器
        // ... 其他异常处理配置 ...
        // ... 其他HTTP安全配置 ...
    ;
}

三、实战

我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity的异常处理机制。

在SpringSecurity中,如果我们在认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。在ExceptionTranslationFilter中会去判断是认证失败还是授权失败出现的异常。

如果是认证过程中出现的异常会被封装成AuthenticationException然后调用AuthenticationEntryPoint对象的方法去进行异常处理。

如果是授权过程中出现的异常会被封装成AccessDeniedException然后调用AccessDeniedHandler对象的方法去进行异常处理。

所以如果我们需要自定义异常处理,我们只需要自定义AuthenticationEntryPoint和AccessDeniedHandler然后配置SpringSecurity即可。

(com.sangeng.handler)

自定义认证失败处理器:

@Component
public class AuthenticationEntryPointImpl implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse
            response, AuthenticationException authException) throws IOException,
            ServletException {
        ResponseResult result = new
                ResponseResult(HttpStatus.UNAUTHORIZED.value(), "认证失败请重新登录");
        String json = JSON.toJSONString(result);
        WebUtils.renderString(response, json);
    }
}

自定义授权失败处理器:

@Component
public class AccessDeniedHandlerImpl implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException,
            ServletException {
        ResponseResult result = new ResponseResult(HttpStatus.FORBIDDEN.value(),
                "权限不足");
        String json = JSON.toJSONString(result);
        WebUtils.renderString(response, json);
    }
}

修改配置类:

@Configuration //配置类
@EnableWebSecurity // 开启Spring Security的功能 代替了 implements WebSecurityConfigurerAdapter
public class SecurityConfig {
    @Autowired
    AuthenticationConfiguration authenticationConfiguration;//获取AuthenticationManager
    @Autowired
    JwtAuthenticationTokenFilter jwtAuthenticationTokenFilter;
    @Autowired
    AccessDeniedHandlerImpl accessDeniedHandler;
    @Autowired
    AuthenticationEntryPointImpl authenticationEntryPoint;


    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return authenticationConfiguration.getAuthenticationManager();
    }

    /**
     * 配置Spring Security的过滤链。
     *
     * @param http 用于构建安全配置的HttpSecurity对象。
     * @return 返回配置好的SecurityFilterChain对象。
     * @throws Exception 如果配置过程中发生错误,则抛出异常。
     */
    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
                // 禁用CSRF保护
                .csrf(csrf -> csrf.disable())
                // 设置会话创建策略为无状态
                .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                // 配置授权规则                 指定user/login路径.允许匿名访问(未登录可访问已登陆不能访问). 其他路径需要身份认证
                .authorizeHttpRequests(auth -> auth.requestMatchers("/user/login").anonymous().anyRequest().authenticated())
                //开启跨域访问
                .cors(AbstractHttpConfigurer::disable)
                // 添加JWT认证过滤器
                .addFilterBefore(jwtAuthenticationTokenFilter, UsernamePasswordAuthenticationFilter.class)
                // 配置异常处理
                .exceptionHandling(exception -> exception.accessDeniedHandler(accessDeniedHandler).authenticationEntryPoint(authenticationEntryPoint));


        // 构建并返回安全过滤链
        return http.build();
    }

注意事项

  • 确保你的认证和授权失败处理器都正确实现了相应的接口,并且正确设置了它们的状态码和响应内容。
  • 你可以将你的自定义处理器作为Spring Bean注入到你的配置中,而不是直接在配置方法中创建新的实例。这样可以更好地管理你的Spring应用程序中的bean。
  • 在处理认证和授权失败时,你可能希望返回JSON而不是纯文本响应,特别是在构建RESTful API时。为此,你可以使用@ResponseBody注解或ResponseEntity类来构建JSON响应。

Maiko Star
关注
  • 4
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SpringSecurity自定义成功失败处理器的示例代码
09-07
默认情况下,Spring Security提供了标准的处理程序来处理用户的登录成功或失败情况,但有时我们需要根据业务需求进行个性化设置,例如返回特定的JSON数据、重定向到自定义页面等,这时就需要自定义处理器。...
Spring Security自定义登录原理及实现详解
09-07
在本文中,我们将深入探讨Spring Security自定义登录原理和实现,这对于理解和构建安全的Web应用程序至关重要。Spring Security是一个强大的安全框架,提供了丰富的功能来保护我们的应用程序,包括用户认证、授权...
SpringSecurity自定义认证失败处理器
m0_67401761的博客
08-25 371
第一步:实现接口。
SpringSecurity系列 之 认证失败处理流程
向心行者
06-25 7086
1、常见用法   我们使用SpringSecurity进行配置的时候,有三种方式实现认证失败时的后续处理:其一,通过failureUrl()配置认证失败的重定向路径(Redirect);其二,我们还可以通过failureForwardUrl()配置认证失败的转发路径(Forward),和重定向效果类似,区别主要在于前者是重定向(默认),后者是转发;其三,自定义认证失败处理器,主要通过实现AuthenticationFailureHandler接口实现,其实前面两种方式也是通过实现该接口实现的。   fail
spring security自定义登录与注销
热门推荐
大帅的博客
03-05 3万+
一、spring boot框架下配置A:登录配置(在WebSecurityConfigurerAdpater实现类的configure()方法中配置)B:登录成功配置默认情况下,用户登录成功后由于RequestCache中保存着登录之前的url,将自动跳转到该页面;如果用户需要在登录成功后执行一些操作,就需要自定义登录成功操作;A、默认的成功处理类:SavedRequestAwareAuthent...
spring security 使用自定义AuthenticationFailureHandler无法跳转failureUrl
路过君的博客
08-12 2648
默认AuthenticationFailureHandler源码 org.springframework.security.config.annotation.web.configurers.AbstractAuthenticationFilterConfigurer protected final void updateAuthenticationDefaults() { if (loginProcessingUrl == null) { loginProcessingUrl(loginPage
史上最简单的Spring Security教程(十):AuthenticationFailureHandler高级用法
银河架构师的博客
07-07 1万+
在前面,我们简述了如何自定义用户登录失败页面。但是,在工作中,所遇到的业务场景压根不会这么简单。 比如要求记录登录失败时的IP、时间、SessionId;发送登录失败提醒到微信、邮箱、短信,提醒用户当前登录失败事件;同时记录到日志中,或者发送到远端日志监控平台,分析是否是攻击行为等等。 而这一切,Spring Security框架非常贴心的提供了AuthenticationFailureHandler接口,当然了,框架同时也提供了一些简单的实现,最重要的,用户可自行扩展,以满足不同的业务场景...
SpringSecurity自定义异常处理器
qq_58137891的博客
05-16 349
1.在springsecurity中用户认证的异常处理器由实现AuthenticationEntryPoint接口的类完成,因此只需要自定义一个实现该接口的异常处理类,然后将该异常处理类配置到SecurityConfig类中就行。2.授权的异常处理类与认证类似,是由AccessDeniedHandler接口实现类。
SpringSecurity自定义失败处理器
weixin_44569326的博客
01-07 106
package com.wyt.handler; import org.springframework.security.core.AuthenticationException; import org.springframework.security.web.authentication.AuthenticationFailureHandler; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRe
spring mvc 和spring security自定义登录
05-14
本文将深入探讨如何结合Spring MVC和Spring Security来实现自定义登录功能。 首先,Spring MVC是Spring框架的一部分,它为构建基于HTTP的Web应用程序提供了模型-视图-控制器架构。通过使用Spring MVC,开发者可以...
SpringSecurity权限控制实现原理解析
08-24
SpringSecurity 中,还可以使用异常处理器来处理权限控制异常,例如: ```java @ControllerAdvice public class ControllerExceptionAdvice { @ExceptionHandler(AccessDeniedException.class) public String ...
使用Spring Security和创建自定义登录对话框
04-05
1. **配置 Spring Security**:在 `security.xml` 或者 `WebSecurityConfigurerAdapter` 类中配置自定义登录 URL 和登录失败/成功处理器。例如,你可以指定 `/login` 作为登录页面,并重写默认的登录处理器。 ```...
SpringBoot 如何处理跨域请求?你说的出几种方法?
2401_84419325的博客
07-02 887
1)什么是跨域请求?跨域请求(Cross-Origin Request)指的是在浏览器环境下,前端代码发起的请求与当前页面的域名(或端口、协议)不同。浏览器的同源策略(Same-Origin Policy)限制了从一个源(域名、协议、端口组成的组合)加载的文档或脚本如何与来自另一个源的资源进行交互。具体来说,如果一个页面加载自 http://domain1.com,则它的同源策略默认限制了对 http://domain2.com 发起的请求。2)为什么会出现跨域问题?
springboot基于Java的超市进销存系统+ LW+ PPT+源码+讲解
u014445459的博客
07-06 555
操作的多样性也变高了。由此可见,本系统在操作上是可行的。软件测试的方法有好几种,但目前主要采用的是包括以功能为主要测试方向的黑盒测试以及以逻辑为主要测试方向的白盒测试,这是两种不同的测试方法,针对的测试侧重点不同,本课题根据实际需求情况,选择以功能为主要的黑盒测试方法,同时测试是要遵循一定的规则来执行的,一个测试要执行其执行的依据一般是由测试用例来规定的,而测试用例一般是依据需求或说明书来综合制定的,测试在硬件出厂前是十分重要的一个过程,本课题由于时间和精力的关系,选择以实现的功能作为测试要点来进行测试。
springboot项目多模块工程==1搭建
最新发布
07-06 244
idea springboot 项目多模块工程搭建配置
学习springMVC
weixin_45621552的博客
07-03 464
JSR全称为 Java Specification Requests,表示 Java 规范提案。JSR-303是 JavaJava Bean 数据合法性校验提供的标准框架,它定义了一套可标注在成员变量,属性方法上的校验注解。Hibernate Validatior提供了这套标准的实现。-- 最7.0.1.Final --> </ dependency >-- 最7.0.1.Final --> </ dependency ></
springsecurity自定义登录处理
07-29
- *2* *3* [SpringSecurity自定义登录成功处理器](https://blog.csdn.net/weixin_46278059/article/details/128276544)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值