Spring Security自定义AccessDeniedException的处理器

最新推荐文章于 2024-06-23 14:18:00 发布
最新推荐文章于 2024-06-23 14:18:00 发布
阅读量1.7k 收藏 5
点赞数 2
分类专栏: security 文章标签: spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zcg19911222/article/details/118092122
版权

AccessDeniedException指用户访问接口或其他资源时,权限不足引起的异常。本文介绍如何在Spring Security下对AccessDeniedException异常进行个性化的处理。

1.自定义AccessDeniedHandler处理类

import com.alibaba.fastjson.JSONObject;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * 注意:未登录状态下无法触发这个Handler
 * @author craigezhong
 * @Date 2021/6/19 19:41
 */
@Component("customAccessDeniedHandler")
public class CustomAccessDeniedHandler implements AccessDeniedHandler{
    @Override
    public void handle(HttpServletRequest httpServletRequest, HttpServletResponse httpServletResponse, AccessDeniedException e) throws IOException, ServletException {
        httpServletResponse.setStatus(HttpStatus.OK.value());
        //设置格式以及返回json数据 方便前台使用reponseJSON接取
        httpServletResponse.setCharacterEncoding("UTF-8");
        httpServletResponse.setContentType("application/json; charset=utf-8");
        PrintWriter out = httpServletResponse.getWriter();
        JSONObject json = new JSONObject();
        json.put("40003", "权限不足,请联系管理员");
        out.append(json.toString());
    }
}

2.自定义AuthenticationEntryPoint处理类

import com.alibaba.fastjson.JSONObject;
import org.springframework.http.HttpStatus;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * @author craigezhong
 * @Date 2021/6/21 14:27
 */
@Component("customAuthenticationEntryPoint")
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        response.setStatus(HttpStatus.OK.value());
        response.setContentType("application/json;charset=UTF-8");
        PrintWriter out = response.getWriter();
        JSONObject json = new JSONObject();
        json.put("40003", "权限不足,请联系管理员");
        out.append(json.toString());
    }
}

3.在WebSecurityConfigurerAdapter添加异常处理配置

/**
     * notice: The AccessDeniedHandler only applies to authenticated users.
     * @param http
     * @throws Exception
     */
    @Override
    public void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                //配置权限校验
                .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() {
                    @Override
                    public <O extends FilterSecurityInterceptor> O postProcess(O o) {
                        o.setSecurityMetadataSource(customMetadataSource);
                        o.setAccessDecisionManager(urlAccessDecisionManager);
                        return o;
                    }
                })
                .antMatchers("/**", "/get/code", "/authentication/require", "/*.html", "/code/*", "/oauth/*", "/team/**").permitAll()
                .anyRequest()
                .authenticated()
                // 基于表单登录
                .and().formLogin()
                // 请求登录时跳转的页面
                .loginPage(SecurityConstants.DEFAULT_UNAUTHENTICATION_URL)
                // 登录的请求url
                .loginProcessingUrl(SecurityConstants.DEFAULT_LOGIN_PROCESSING_URL_FORM)
                //登录成功或失败以后的处理url
                .successHandler(myAuthenticationSuccessHandler)
                .failureHandler(myAuthenticationFailureHandler)
                // 退出登录
                .and().logout()
                .logoutUrl(SecurityConstants.DEFAULT_LOGINOUT_PROCESSING_URL_FORM)
                .logoutSuccessHandler(myLogoutSuccessHandler);

        //异常处理
          http.exceptionHandling().authenticationEntryPoint(customAuthenticationEntryPoint).accessDeniedHandler(customAccessDeniedHandler);
        //增加前置校验器 验证码、token
        http.addFilterBefore(validateCodeFilter, AbstractPreAuthenticatedProcessingFilter.class);
        http.addFilterBefore(checkTokenFilter, AbstractPreAuthenticatedProcessingFilter.class);
    }

主要是下面这句:http.exceptionHandling().authenticationEntryPoint(customAuthenticationEntryPoint).accessDeniedHandler(customAccessDeniedHandler);

4.注意事项

ExceptionTranslationFilter catch到AccessDeniedException后,分为两种情况:

  • 如果用户处于未登录(anonymous)状态,会先触发AuthenticationEntryPoint,如果没有配置,则会重定向至登录页;
  • 如果用户处于登陆(authenticated)状态,会触发AccessDeniedHandler。

具体参考:ExceptionTranslationFilter
所以,最好将AuthenticationEntryPoint和AccessDeniedHandler都配置上。

CraigeZhong
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Spring-Security笔记6 自定义AccessDeniedHandler
杨毅的专栏
03-01 1万+
Spring默认的AccessDeniedHandler中只有对页面请求的处理,而没有对Ajax的处理。而在项目开发是Ajax又是我们要常用的技术,所以我们可以通过自定义AccessDeniedHandler来处理Ajax请求。我们在Spring默认的AccessDeniedHandlerImpl上稍作修改就可以了。package com.fhzz.core.sercurity.handler;...
【解决】分析SpringSecurity访问请求权限不足AccessDeniedException问题
sunao1106的博客
08-13 6175
> 该方法中首先调用了`this.obtainSecurityMetadataSource().getAttributes(object)`方法,通过当前请求路径获取到**访问该请求所需要的权限**(object是上一步调用传过来的参数,封装了我们请求路径的一些信息)。.........
拒绝访问异常处理(AccessDeniedException)_spring security例子
09-23
拒绝访问异常处理(AccessDeniedException)_spring security例子 博客:blog.csdn.net/dsundsun
(新)Spring Security如何自定义失败处理器
最新发布
weixin_55772633的博客
06-23 396
Override// 在这里处理认证失败的情况response.getWriter().write("登录失败: " + exception.getMessage());@Override// 在这里处理授权失败的情况response.getWriter().write("权限不足: " + accessDeniedException.getMessage());
spring security自定义AccessDeniedException权限异常处理
六年级的叔叔
11-22 2万+
项目中需要根据url获取此url的权限,并做判断,若权限不足,throw new AccessDeniedException异常   项目中大多数前台访问请求为ajax请求,若为ajax请求,一般的需求为:若权限不足,直接前台提示,不做权限不足页面的跳转。 当然,为了满足可能某些项目会有&lt;a&gt;标签的超链接直接访问,还是在实现类里面做了两层判断 前提条件: 1,已经做了url的...
Spring Security教程(9)---- 自定义AccessDeniedHandler
chongmiandun5173的博客
02-28 338
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/jaune161/article/details/18403113 在Spring默认的AccessDeniedHandler中只有对页面请求的处理,而没有对Ajax的处理。而在...
AccessDeniedException如何处理
热门推荐
abcwanglinyong的博客
07-02 3万+
有两种情况:1.用户未登录情况下访问受保护资源2.用户登录情况下访问被保护资源一、用户未登录情况下访问受保护资源用户在未登录的情况下访问受保护资源时会自动跳转到配置的登录页面。主要是以下这个配置起作用:&lt;security:http auto-config="false" access-decision-manager-ref="accessDecisionManager" ...
SpringSecurity权限控制实现原理解析
08-24
SpringSecurity 中,还可以使用异常处理器来处理权限控制异常,例如: ```java @ControllerAdvice public class ControllerExceptionAdvice { @ExceptionHandler(AccessDeniedException.class) public String ...
spring-security.rar
08-30
可以创建自定义的异常处理器,将这些异常转化为友好的错误页面或响应。 综上所述,`spring-security.rar`文件中可能包含了一个完整的Spring Security实践案例,涵盖了从基础配置到深度定制的各种步骤。通过学习这个...
springSecurity
09-04
- Spring Security会抛出特定的异常,如`AccessDeniedException`和`AuthenticationException`,可以通过全局异常处理器捕获并处理。 总结来说,Spring Security为Java应用程序提供了全面的安全保障。从简单的身份...
编程不良人的spring security笔记
06-19
Spring Security 自动处理安全相关的异常,如AuthenticationExceptionAccessDeniedException。你可以自定义异常处理器,以实现特定的错误页面或响应。 九、OAuth2整合 Spring Security 也支持OAuth2协议,允许你...
Java中的Spring Security
04-03
6. **异常处理**:配置Spring Security的异常类型,例如`AccessDeniedException`和`AuthenticationException`,以便在安全事件发生时进行适当处理。 7. **测试**:编写测试用例来验证安全配置是否按预期工作,确保...
SpringSecurity (四) --------- 自定义失败处理
在森林里麋了鹿
10-17 589
SpringSecurity 自定义失败处理
有关spring security的错误之 AccessDeniedException: Access is denied
xiao__shun的博客
07-26 1万+
AccessDeniedException: Access is denied 没有访问权限 解决方法有以下几种 1,form表单对应spring security的配置文件一定一样 spring security的配置文件代替了controller层 2 spring security的配置文件一定可以找到service层 3 在数据库中设置的...
Springboot +spring security自定义认证和授权异常处理器
weixin_40991408的博客
05-26 1894
Springboot +spring security自定义认证和授权异常处理器
SpringSecurity自定义异常处理
Twilight blog
09-01 1万+
以下为SpringSecurity默认自带的异常处理机制 两个重要的异常类 1. AccessDeniedException 该异常实现了很多子类。子类都是涉及到权限校验问题的。 2. AuthenticationEntryPoint 同样该异常类也实现了很多子类。springSecurity把异常划分的很细。概括来说都是身份校验问题。 自定异常处理类 public class My...
Spring security AccessDeniedException & 403 被拒绝状态
Miao_Yue_LIN的博客
03-05 5592
Spring security AccessDeniedException & 403 被拒绝状态
spring security3.x学习(24)_拒绝访问异常处理(AccessDeniedException)
杜雷的技术博客
09-23 2万+
咱们看一下spring security是如何处理AccessDeniedException的。 “ 因为缺少GrantedAuthority或其它需要的权限被拒绝的时候,他们看到的是servlet容器的默认HTTP 403(访问拒绝)页面。这 个 页 面 是 o.s.s.web.access.AccessDeniedHandler 默 认 行 为 的 结 果 , 它 被ExceptionTr
springsecurity自定义403
05-30
自定义Spring Security中的403错误页面,可以按照以下步骤进行操作: 1. 创建一个403.html页面,用于显示自定义错误信息。 2. 创建一个自定义AccessDeniedHandler类,用于处理访问被拒绝的情况。 3. 在Spring Security配置文件中配置AccessDeniedHandler,指定使用自定义AccessDeniedHandler处理访问被拒绝的情况。 以下是一个简单的示例代码: 1. 创建403.html页面 ``` <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>Access Denied</title> </head> <body> <h1>Access Denied</h1> <p>You are not authorized to access this resource.</p> </body> </html> ``` 2. 创建自定义AccessDeniedHandler类 ``` @Component public class CustomAccessDeniedHandler implements AccessDeniedHandler { @Override public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException e) throws IOException, ServletException { response.sendRedirect("/403.html"); } } ``` 3. 在Spring Security配置文件中配置AccessDeniedHandler ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomAccessDeniedHandler accessDeniedHandler; @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().authenticated() .and() .formLogin() .and() .exceptionHandling().accessDeniedHandler(accessDeniedHandler); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.inMemoryAuthentication() .withUser("user").password("password").roles("USER") .and() .withUser("admin").password("password").roles("USER", "ADMIN"); } } ``` 以上代码中,CustomAccessDeniedHandler类是自定义AccessDeniedHandler实现类,它在处理访问被拒绝的情况时,通过重定向到403.html页面来显示自定义错误信息。在SecurityConfig配置类中,通过exceptionHandling().accessDeniedHandler(accessDeniedHandler)方法来指定使用自定义AccessDeniedHandler处理访问被拒绝的情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值