SpringSecurity 自定义 AccessDeniedHandler 不生效的问题解决

最新推荐文章于 2025-08-11 16:37:32 发布
原创 最新推荐文章于 2025-08-11 16:37:32 发布 · 4.9k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文探讨了在Spring Security配置中,如何避免GlobalExceptionHandler干扰AccessDeniedHandler的使用。通过创建自定义的AccessDeniedExceptionHandler,确保当发生AccessDeniedException时,能正确触发预设的权限处理逻辑。

问题描述

在 Security配置类中 正确配置了 AccessDeniedHandler,但是发现实际运行时 AccessDeniedHandler 没有被触发!

问题原因

出现这种问题的原因一般都是因为项目中还配置了 GlobalExceptionHandler 。

由于GlobalExceptionHandler 全局异常处理器会比 AccessDeniedHandler 先捕获 AccessDeniedException 异常,因此当配置了 GlobalExceptionHandler 后,会发现 AccessDeniedHandler 失效了。

解决方案

  1. 原有的 GlobalExceptionHandler 不用修改,只需要增加一个 自定义的 AccessDeniedExceptionHandler 即可。

  2. AccessDeniedExceptionHandler 如下

    import org.springframework.security.access.AccessDeniedException;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;

/**
 * Created by 大雪冬至 on 2021/7/6.
 * 解决 GlobalExceptionHandler 会消费掉 AccessDeniedException ,导致 AccessDeniedHandler 不会被触发的问题.
 */
@ControllerAdvice
public class AccessDeniedExceptionHandler {
    @ExceptionHandler(AccessDeniedException.class)
    public void accessDeniedException(AccessDeniedException e) throws AccessDeniedException {
        throw e;
    }
}

  3. 此时异常就可以被你自定义的 AccessDeniedHandler 处理了

更多参考

https://github.com/spring-projects/spring-security/issues/6908

https://stackoverflow.com/questions/31074040/custom-accessdeniedhandler-not-called

SpringSecurity抛出异常但AccessDeniedHandler不生效
爱喝星冰乐的博客
01-07 726
AccessDeniedException不生效
AuthenticationEntryPoint和AccessDeniedHandler接口用法
cominglately的博客
12-20 1690
AuthenticationEntryPoint 接口是 Spring Security 中的一个接口,用于处理在用户尝试访问受保护资源时出现的身份验证异常。它定义了一个方法 commence,该方法在身份验证失败时被调用,允许应用程序自定义处理方式,例如重定向到登录页面、返回特定的错误响应等。AccessDeniedHandler 访问一个需要需要认证的资源,身份认证成功(登录成功) 但是角色和权限不足时 该接口会被调用, 用来返回: 重定向到错误页面、返回特定的错误响应等。
SpringSecurity: 授权和修改User配置角色和权限,修改loadUserByUsername方法,修改SpringSecurity配置类,控制Controller层接口权限,异常处理
qq_73126462的博客
01-22 2382
以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限。Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL表达式的方式,可灵活定义所需的权限,通常用于基于资源的授权。
spring security自定义AccessDeniedHandler不生效问题
lizsy的博客
08-10 1012
spring security过滤器的执行顺序默认是先登录认证再授权认证,并且登录认证模块默认是开启匿名登录的,如果请求没有携带登录认证信息,那么默认的登录认证结果就是匿名登录,匿名登录的授权失败时回调用sendStartAuthentication方法,而不是accessDeniedHandler。所以要使授权失败时调用accessDeniedHandler,则要保证当前用户不是匿名和记住我登录的。实际情况是,作者自定义AccessDeniedHandler后,但是在授权失败时,并没有被调用。
Security 自定义异常 AccessDeniedHandler不生效解决
qq_39535439的博客
06-06 1513
ControllerAdvice\Security\AccessDeniedHandler\自定义异常不生效
springsecurity配置AccessDeniedHandler不生效,请问是什么原因
最新发布
08-24
首先,用户的问题是关于Spring Security的AccessDeniedHandler配置后不生效的可能原因及解决方案。我需要基于提供的引用内容来回答,因为引用中包含了一些相关的信息。 回顾引用内容: - [^1]:提到在youlai-boot...
Spring security 自定义 token 身份验证
让 Java 再次伟大!
10-21 858
既然 Spring securtiy 的核心是 Filter chains,那我们只需要定义一个符合 security 标准的 filter ,再把自己的 chain 加入到 VirtualFilterChain 里面,就可以自定义身份验证的认证逻辑了。more之前提到过,大部分身份认证相关的过滤器都继承了 AbstractAuthenticationProcessingFilter。但是这一次我们让接下来的自定义过滤器不选择继承它,而是继承 OncePerRequestFilter。
Springboot与SpringSecurity使用(2):授权、自定义异常处理
游王子og的博客
07-28 1263
SpringSecurity中,会使用默认的FilterSecurityInterceptor来进行权限校验。在FilterSecurityInterceptor中会从SecurityContextHolder获取其中的Authentication,然后获取其中的权限信息。判断当前用户是否拥有访问当前资源所需的权限。前面登录时执行loadUserByUsername方法时,return new CustomUser(sysUser, Collections.emptyList());
Springboot +spring security,自定义认证和授权异常处理器
weixin_40991408的博客
05-26 2124
Springboot +spring security,自定义认证和授权异常处理器
spring security自定义异常处理
05-28
实现以上两个接口之后,需要在 Spring Security 配置中进行配置,将自定义实现的类添加到配置中即可生效。下面是一个示例配置: ``` @Configuration @EnableWebSecurity public class WebSecurityConfig extends ...
Spring security 配置的AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
热门推荐
单筱风的博客
12-17 2万+
1.Spring Security 中的异常处理 我们在 Spring Security 实战干货系列文章中的 自定义配置类入口 WebSecurityConfigurerAdapter 一文中提到 HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口: AuthenticationEntryPoint 该类用来统一处理 AuthenticationEx
Spring security 自定义AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
m0_37257009的博客
08-16 1279
security异常
spring security中PreAuthorize注解中配置了AccessDeniedHandler没有生效问题
shan165310175的专栏
04-09 8485
版本: spring security 2.1.0.RELEASE 出现情况的配置: 在接口中增加了注解: @PreAuthorize("hasRole('ROLE_AAA')") @RequestMapping("/hello0") public String hello(){ return "HELLO"; } 在WebSecurityConfigurerAda...
Spring Security中配置AccessDeniedHandler没有生效
编程札记
10-27 3385
在 WebSecurityConfigurerAdapter 配置了如下代码: // 自定义未授权和未登录异常 http.exceptionHandling() .accessDeniedHandler(new RestAccessDeniedHandler()) .authenticationEntryPoint(new RestAuthenticationEntryPoint()); 在 Controller 层 REST 接口中添加有 @PreAuthorize
Spring Security教程(9)---- 自定义AccessDeniedHandler
z69183787的专栏
03-13 1万+
在Spring默认的AccessDeniedHandler中只有对页面请求的处理,而没有对Ajax的处理。而在项目开发是Ajax又是我们要常用的技术,所以我们可以通过自定义AccessDeniedHandler来处理Ajax请求。我们在Spring默认的AccessDeniedHandlerImpl上稍作修改就可以了。 [java] view plaincopy
Spring Security自定义AccessDeniedHandler配置后不生效
jiu_yu的博客
05-10 2336
问题遇到的现象和发生背景 我在Spring Security中配置了两个异常处理,一个是自定AuthenticationEntryPoint,一个是自定义AccessDeniedHandler。但发现无论抛什么异常都进入了AuthenticationEntryPoint。怎么样才能进入自定义AccessDeniedHandler呢?往下看 问题相关代码 认证代码 /** * 权限控制 * 判断用户角色 * @author 刘昌兴 * */ @Component public class Role
关于SpringSecurity 自定义 AccessDeniedHandler 不生效问题
m0_74808313的博客
08-11 336
摘要:在Spring Security中配置的AccessDeniedHandler失效问题,通常是由于同时配置了GlobalExceptionHandler全局异常处理器,导致AccessDeniedException被提前捕获。解决方案是在GlobalExceptionHandler中添加@ExceptionHandler(AccessDeniedException.class)方法,重新抛出异常,让AccessDeniedHandler能够正常处理。
spring security中自定义AccessDeniedHandler不生效的实验记录
liuyuncd的博客
01-06 9851
首先编写自定的AccessDeniedHandler,代码如下: public class MyAccessDeniedHandler implements AccessDeniedHandler{ @Override public void handle(HttpServletRequest request, HttpServletResponse response, AccessDe...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值