SpringSecurity异常处理

最新推荐文章于 2024-08-04 11:07:52 发布
最新推荐文章于 2024-08-04 11:07:52 发布
阅读量1.2k 收藏
点赞数
文章标签: java 前端 spring spring boot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xbcai1/article/details/125560932
版权 
// 用户名,密码认证
// 异常处理:通过过滤器自身捕获异常,将结果放到响应体中,直接返回。
class UsernamePasswordAuthenticationFilter {

    //实现类 AntPathRequestMatcher 属性pattern=‘/login’ ,httpMethod=POST
    private RequestMatcher requiresAuthenticationRequestMatcher;
    
    // 认证管理器对象
    private AuthenticationManager authenticationManager;
    
    // 接口SessionAuthenticationStrategy.onAuthentication(...)
    //  实现类NullAuthenticatedSessionStrategy 不做任何处理
    //  实现类CompositeSessionAuthenticationStrategy多个策略组合执行
    private SessionAuthenticationStrategy sessionStrategy;
    
    // 接口AuthenticationSuccessHandler.onAuthenticationSuccess(...)
    // 实现类SimpleUrlAuthenticationSuccessHandler
    // 实现类SavedRequestAwareAuthenticationSuccessHandler
    // 实现类ForwardAuthenticationSuccessHandler
    private AuthenticationSuccessHandler successHandler;

    // 接口AuthenticationFailureHandler.onAuthenticationFailure(...)
    // ForwardAuthenticationFailureHandler
    // SimpleUrlAuthenticationFailureHandler
    // ExceptionMappingAuthenticationFailureHandler
    // DelegatingAuthenticationFailureHandler多个失败认证处理组合执行
    private AuthenticationFailureHandler failureHandler;

    void doFilter(ServletRequest req, ServletResponse res, FilterChain chain){
        // 放行请求路径不为/login && POST的请求
        if (!this.requiresAuthentication(request, response)) {
                  chain.doFilter(request, response);
        } else {
            try {
                // 调用IOC中的ProviderManager对象进行认证处理
                authResult = this.attemptAuthentication(request, response)->{
                    return this.getAuthenticationManager().authenticate(authRequest);
                };
                //主要负责处理认证成功的时候session需要执行的逻辑
                this.sessionStrategy.onAuthentication(authResult, request, response); 
            // 捕获AuthenticationException异常
            } catch(AuthenticationException var9){
                this.unsuccessfulAuthentication(request, response, var8)->{
                    //清除authResult
                    SecurityContextHolder.clearContext();
                    
                    // failureHandler为SimpleUrlAuthenticationFailureHandler
                    //  其属性defaultFailureUrl=‘/login/?error’
                    //  其属性RedirectStrategy redirectStrategy = new 
                    //                             DefaultRedirectStrategy();
                    this.failureHandler.onAuthenticationFailure(...)->{
                        //this.defaultFailureUrl != null
                        // 重定向到/login?error路径,进行登陆
                        this.redirectStrategy.sendRedirect(request, response, 
                                                 this.defaultFailureUrl);
                    }
                }
                // 过滤链调用结束
                return;
            }
            // 成功之后的认证处理
            this.successfulAuthentication(request, response, chain, authResult); 
        } 
       
    }
}
// 异常处理:通过过滤器自身捕获异常,接口AuthenticationEntryPoint.commence()
//  处理异常后,直接返回。
class BasicAuthenticationFilter {
    
    // 接口AuthenticationEntryPoint.commence(...)
    // 实现类BasicAuthenticationEntryPoint
    // 实现类DelegatingAuthenticationEntryPoint
    // 实现类DigestAuthenticationEntryPoint
    // 实现类HttpStatusEntryPoint
    private AuthenticationEntryPoint authenticationEntryPoint;

    //接口AuthenticationDetailsSource.buildDetails(...)
    // 实现类WebAuthenticationDetailsSource
    //     buildDetails(HttpServletRequest context)->{new 
    //           WebAuthenticationDetails(context);}
    // 类WebAuthenticationDetails对象的属性String remoteAddress,String sessionId;
    private AuthenticationDetailsSource<HttpServletRequest, ?> 
                                  authenticationDetailsSource;

    void doFilterInternal(...){
         String header = request.getHeader("Authorization");
         
         try {
             String[] tokens = this.extractAndDecodeHeader(header, request);
             UsernamePasswordAuthenticationToken authRequest = new 
                         UsernamePasswordAuthenticationToken(username, tokens[1]);
         
             //接口Authentication.getPrincipal()/isAuthenticated()/getPrincipal() 
                        setAuthenticated(boolean var1)
             // 实现类UsernamePasswordAuthenticationToken
             //     其中一个属性private Object details;
             //  从请求中获取remoteAddress和sessionId构成对象,
             //  设置到authRequest.details中
             authRequest.setDetails(this.authenticationDetailsSource.buil
                 dDetails(request));
         
             // 调用认证管理器认证
             Authentication authResult = 
                                this.authenticationManager.authenticate(authRequest);
         
             // SecurityContextHolder类
             //    属性private static SecurityContextHolderStrategy strategy;
             // 接口SecurityContextHolderStrategy.clearContext()/setContext()
             // 实现类ThreadLocalSecurityContextHolderStrategy
             //    属性private static final ThreadLocal<SecurityContext> contextHolder;
             // 实现类 GlobalSecurityContextHolderStrategy
             //    属性private static SecurityContext contextHolder;
             // 实现类 InheritableThreadLocalSecurityContextHolderStrategy
             //    属性private static final ThreadLocal<SecurityContext> contextHolder;

             // 接口SecurityContext.getAuthentication()|setAuthentication(...)
             // 实现类SecurityContextImpl
             //    属性private Authentication authentication 
             //                      该属性储存...AuthenticationToken对象
             SecurityContextHolder.getContext().setAuthentication(authResult);   
         
             // BasicAuthenticationFilter。onSuccessfulAuthentication(..) doNothing
             this.onSuccessfulAuthentication(request, response, authResult);
        } catch (AuthenticationException var10){
             // DelegatingAuthenticationEntryPoint
             //   属性LinkedHashMap<RequestMatcher, AuthenticationEntryPoint> 
             //        entryPoints;
             //        key=RequestHeaderRequestMatcher类
             //                   属性expectedHeaderName=X-Requested-With
             //                   属性expectedHeaderValue=XMLHttpRequest
             //        value=HttpStatusEntryPoint类
             //                   属性HttpStatus枚举 UNAUTHORIZED(401, "Unauthorized")
             //   属性private AuthenticationEntryPoint defaultEntryPoint;
             //        realmName = "Realm"
             this.authenticationEntryPoint.commence(request, response, var10)->{
                 BasicAuthenticationEntryPoint.commence()->{
                     response.addHeader("WWW-Authenticate", "Basic realm=\"" + 
                              this.realmName + "\"");
                     response.sendError(HttpStatus.UNAUTHORIZED.value(), 
                              HttpStatus.UNAUTHORIZED.getReasonPhrase());
                 }
             };
             return;
        }
    }
}


//异常处理:捕获FilterSecurityInterceptor中抛出的异常
// 如果异常为AuthenticationException及子类,调用接口AuthenticationEntryPoint.commence
//          ()方法的子类实现处理
// 如果异常为AccessDeniedException及子类,调用接口AccessDeniedHandler.handle
//          ()方法的子类实现处理
public class ExceptionTranslationFilter {
    // 接口AccessDeniedHandler.handle() 处理AccessDeniedException异常
    // 实现类DelegatingAccessDeniedHandler
    // 实现类AccessDeniedHandlerImpl
    // 实现类InvalidSessionAccessDeniedHandler
    private AccessDeniedHandler accessDeniedHandler;
    
    // 与BasicAuthenticationFilter类中的authenticationEntryPoint相同
    private AuthenticationEntryPoint authenticationEntryPoint;
    
    //接口AuthenticationTrustResolver.isAnonymous()|isRememberMe()
    // 实现类AuthenticationTrustResolverImpl
    //   属性anonymousClass = AnonymousAuthenticationToken.class;
    //   属性rememberMeClass = RememberMeAuthenticationToken;
    private AuthenticationTrustResolver authenticationTrustResolver;

    public void doFilter(...){
        try {
            chain.doFilter(request, response)—>{
                // FilterInvocation类
                // 属性chain,请求,响应
                FilterInvocation fi = new FilterInvocation(request, response, chain);
                this.invoke(fi)->{
                     //过滤器仅执行1次的逻辑
                     
                     InterceptorStatusToken token = super.beforeInvocation(fi)—>{
                          // 根据url获取Collection<ConfigAttribute>
                          Collection<ConfigAttribute> attributes = 
                             this.obtainSecurityMetadataSource().getAttributes(object);
                          //attributes不为null,则
                          //判断SecurityContextHolder中的authentication.isAuthenticated()
                          // 为ture,则返回,为false,则调用 
                          //  this.authenticationManager.authenticate(authentication)
                          //  将结果返回
                          Authentication authenticated = this.authenticateIfRequired();
    
                          try {
                              //AffirmativeBased类
                              //  属性List<AccessDecisionVoter<T> decisionVoters;
                              //         值为decisionVoters[0]=WebExpressionVoter
                              //WebExpressionVoter类
                              //  属性SecurityExpressionHandler<FilterInvocation> 
                              //                               expressionHandler;
                              //          值DefaultWebSecurityExpressionHandler
                              this.accessDecisionManager.decide(authenticated, object, 
                                         attributes);
                          } catch (AccessDeniedException var7) {
                              //发布AuthorizationFailureEvent事件
                              this.publishEvent(new AuthorizationFailureEvent(object,     
                                   attributes, authenticated, var7));
                              // 抛出,由上层捕获
                              throw var7;
                          }

                          if (this.publishAuthorizationSuccess) {
                              //发布AuthorizedEvent事件
                              this.publishEvent(new AuthorizedEvent(object, attributes,             
                                               authenticated));
                          }
                     };
                };
            };
            this.logger.debug("Chain processed normally");
        //捕获当前过滤器和接下来的过滤器所抛出的异常
        } catch (IOException var9) {
            throw var9;
        } catch (Exception var10) {
            // 获取Cause的异常
            Throwable[] causeChain = this.throwableAnalyzer.determineCauseChain(var10);
            // 如果为AuthenticationException的子类,则
            RuntimeException ase = (AuthenticationException)this.throwableAnalyzer       
                                        .getFirstThrowableOfType(...);
            if (ase == null) {
                //如果为AccessDeniedException异常及子类,则
                ase = (AccessDeniedException)this.thr
                      owableAnalyzer.getFirstThrowableOfType(...);
            }

            if (ase == null) {
                // 其他情况
                if (var10 instanceof ServletException) {
                    throw (ServletException)var10;
                }

                if (var10 instanceof RuntimeException) {
                    throw (RuntimeException)var10;
                }

                throw new RuntimeException(var10);
            }

            if (response.isCommitted()) {
                throw new ServletException("Unable to handle the Spring Security Exception because the response is already committed.", var10);
            }
            
            // 处理异常
            this.handleSpringSecurityException(request, response, chain, 
                      (RuntimeException)ase)-{
                // 异常为AuthenticationException及子类
                if (exception instanceof AuthenticationException) {
                    // 清除SecurityContext
                    SecurityContextHolder.getContext().setAuth
                                    entication((Authentication)null);
                    this.requestCache.saveRequest(request, response);    
                    // 使用AuthenticationEntryPoint的接口实现类处理异常
                    this.authenticationEntryPoint.commence(request, response, reason);
                }else if (exception instanceof AccessDeniedException) {
                    //如果authentication对象不是AnonymousAuthenticationToken或者 
                    //    RememberMeAuthenticationToken,则
                    //使用AccessDeniedHandler接口的AccessDeniedHandlerImpl实现类
                    this.accessDeniedHandler.handle(...)—>{
                        //如果有错误页面,设置响应403,重定向到错误页面
                        //否则,设置响应403
                    };

                    //否则,传入InsufficientAuthenticationException
                    this.sendStartAuthentication(...);
                }
            };
        }
    }
}

发飙的蜗牛,小白白
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一文搞定 Spring Security 异常处理机制!
2401_84407867的博客
04-20 777
我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!” />我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)[外链图片转存中…(img-yw24h40Z-1713563349496)]
springsecurity使用demo
03-03
SpringSecurity 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本示例中,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心...
Spring Security异常处理
大后生大大大的博客
12-09 3331
ExceptionTranslationFilter、AuthenticationEntryPoint、AccessDeniedHandler、自定义异常配置
spring Security 异常处理
weixin_52834606的博客
09-06 4265
spring security 前后端分离 异常处理
Spring Security之安全异常处理
Evan_L的博客
07-17 1054
Spring Security中,特指对于安全异常的处理。我们知道Spring Security主要是基于过滤器来实现的,因此每个安全过滤器都可能发生安全异常,所以处理逻辑会被散落在各个过滤器中。Spring自然是不能忍受这种设计,于是就有了专门的安全异常处理。注:下文我们都用异常处理来代指安全异常处理异常处理体系包括异常定义分两类 —— 认证异常、访问拒绝异常(鉴权异常
spring全局异常处理针对spring security 异常处理失效问题
zhangyongbink的博客
01-15 4374
前言:项目使用@ControllerAdvice+@ExceptionHandler注解组合,实现全局异常处理器 @ExceptionHandler({AuthenticationException.class}) public Object handleAuthorizationException(HttpServletRequest request, AuthenticationException e) { log.error(e.getMessage(), e);
SpringSecurity源码学习二:异常处理
qq_27586963的博客
10-15 750
首先,ExceptionTranslationFilter 调用 FilterChain.doFilter(request, response) 来调用应用程序的其他过滤器。如果用户没有被认证,或者是一个 AuthenticationException,那么就开始认证,SecurityContextHolder 被清理掉。HttpServletRequest 被保存起来,这样一旦认证成功,它就可以用来重放原始请求。AuthenticationEntryPoint 用于请求客户的凭证。
SpringSecurity异常处理源码解析
HHoao的博客
05-03 756
SpringSecurity异常处理源码解析 异常处理主要是由ExceptionTranslationFilter完成的,而ExceptionTranslationFilter是由ExceptionHandlingConfigurer配置的,所以我们从ExceptionHandlingConfigurer开始解析 我们首先看ExceptionHandlingConfigurer的configure(Httpsecurity security)方法: @Override public void configu
SpringSecurity异常处理
Littewood的博客
07-24 937
SpringSecurity异常处理
SpringSecurity异常处理
拒绝熬夜啊的博客
11-30 1505
SpringSecurity——异常处理 一、常见异常 我们先来列举下一些 Spring Security 中常见的异常: UsernameNotFoundException(用户不存在) DisabledException(用户已被禁用) BadCredentialsException(坏的凭据) LockedException(账户锁定) AccountExpiredException (账户过期) CredentialsExpiredException(证书过期) 二、处理异常 (1) 指定错误U
springsecurity
07-23
1. **Filter Security Chain**:这是Spring Security的基础,由一系列的过滤器组成,它们按照特定顺序处理HTTP请求。这些过滤器执行身份验证、授权以及安全相关的操作。 2. **Authentication**:认证是指确认用户的...
SpringSecurity6
02-01
SpringSecurity6是一个强大的安全框架,用于为Java应用提供安全服务,包括身份验证和授权。在本文中,我们将深入探讨如何...在实际项目中,还需要考虑安全性、性能优化和异常处理等方面,确保系统的稳定性和安全性。
Spring security认证授权
11-30
7. **异常处理**: - 可以自定义未授权和未认证的处理方式,比如重定向到特定页面或者返回JSON响应。 综上所述,这个Spring Security的例子展示了如何结合数据库动态配置用户信息,实现认证和授权功能。通过理解并...
springsecurity学习笔记
12-13
在"springsecurity学习笔记"中,你可能会涉及以下主题: - Spring Security的基本配置,包括web安全配置和全局安全配置。 - 如何自定义认证和授权流程,比如实现自定义的AuthenticationProvider和...
枚举工具类
qq_43049583的博客
08-04 222
java枚举工具类
等待唤醒机制两种实现方法-阻塞队列
最新发布
泰勒今天想展开的博客
08-04 286
桌子上有面条-》吃货执行桌子上没面条-》生产者制造执行。
社区养老服务小程序的设计
Karen198的博客
07-31 618
管理员账户功能包括:系统首页,个人中心,用户管理,服务人员管理,服务产品管理,服务预约管理,服务状态管理,服务退订管理,活动管理,视频管理。主要技术:Java,Spring,mybatis,mysql,jquery,html。服务器:SpringBoot自带 apache tomcat。微信端账号功能包括:系统首页,服务产品,活动,视频,我的。JDK版本:Java JDK1.8。数据库可视化工具: navicat。数据库版本: mysql5.7。开发工具:IDEA(推荐)开发系统:Windows。
Springboot+Websocket+Security+Vue 实现弹幕推送功能
Gemini1995的博客
08-01 565
【代码】Springboot+Websocket+Security+Vue 实现弹幕推送功能。
springsecurity 异常处理
08-13
Spring Security提供了许多方式来处理身份验证和授权的异常。下面是一些常见的异常处理方式: 1. 使用Spring的全局异常处理器:可以通过在应用程序中定义一个`@ControllerAdvice`类,并使用`@ExceptionHandler`注解来处理Spring Security异常。在异常处理方法中,可以根据不同的异常类型进行相应的处理,例如返回自定义的错误页面或者JSON响应。 ```java @ControllerAdvice public class SecurityExceptionHandler { @ExceptionHandler(AuthenticationException.class) public ResponseEntity<String> handleAuthenticationException(AuthenticationException ex) { // 处理身份验证异常 return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body(ex.getMessage()); } @ExceptionHandler(AccessDeniedException.class) public ResponseEntity<String> handleAccessDeniedException(AccessDeniedException ex) { // 处理访问拒绝异常 return ResponseEntity.status(HttpStatus.FORBIDDEN).body(ex.getMessage()); } // 其他异常处理方法... } ``` 2. 自定义AccessDeniedHandler:可以实现`AccessDeniedHandler`接口来处理访问拒绝异常。可以在`handle()`方法中自定义处理逻辑,例如返回自定义的错误页面或者JSON响应。 ```java public class CustomAccessDeniedHandler implements AccessDeniedHandler { @Override public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException ex) throws IOException, ServletException { // 处理访问拒绝异常 response.sendError(HttpServletResponse.SC_FORBIDDEN, ex.getMessage()); } } ``` 然后,在Spring Security配置中指定自定义的`AccessDeniedHandler`: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { // ... @Override protected void configure(HttpSecurity http) throws Exception { http // ... .exceptionHandling() .accessDeniedHandler(new CustomAccessDeniedHandler()) // ... } // ... } ``` 这些只是处理Spring Security异常的两种常见方式,你可以根据实际需求选择适合的方式进行异常处理
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值