Spring Security Web应用中用户访问自己无权访问的资源时发生了什么?

最新推荐文章于 2025-04-15 17:27:57 发布
原创 最新推荐文章于 2025-04-15 17:27:57 发布 · 1.6k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文详细介绍了SpringSecurity中权限拒绝的处理流程。当已登录用户尝试访问无权限资源时,SpringSecurity将抛出AccessDeniedException异常。ExceptionTranslationFilter将调用AccessDeniedHandler处理此情况,默认使用AccessDeniedHandlerImpl,返回HTTP403并可转向指定错误页面。

在应用Spring Security的Web应用中,假定全部采用缺省配置,如果用户已经登录(且未超时过期),但试图访问一个自己没有权限的HTTP资源,此时:

  • Spring Security会抛出一个异常AccessDeniedException;
    • AccessDecisionManager的实现类AffirmativeBased在判断出访问应该被拒绝时抛出该异常;
  • ExceptionTranslationFilter过滤器会调用其属性accessDeniedHandler对象(类型为AccessDeniedHandler)的方法handle来处理这种情况;
    • 缺省情况下,这里属性对象accessDeniedHandler的实现类是AccessDeniedHandlerImpl
  • accessDeniedHandler.handle方法会返回HTTP 403 给用户浏览器;
    • 并且如果属性accessDeniedHandler对象上指定了属性errorPage(错误页面URL)的话,服务器会同时将浏览器forward到该错误页面URL(注意这里是forward而不是redirect)

这种情况如果开发人员想做定制处理,可以实现自己的AccessDeniedHandler

Spring Security概念与应用
weixin_45119534的博客
07-09 412
Spring Security-认证和授权
Spring MVC Security-添加自定义登录表单,显示无效凭据、基于角色的访问、自定义访问被拒绝的错误消息.zip
01-09
用户试图访问他们无权访问资源Spring Security会抛出`AccessDeniedException`。要自定义访问被拒绝的错误消息,我们需要实现`AccessDeniedHandler`接口,这样在访问被拒绝,我们可以控制返回的响应,包括...
spring security http无权访问 页面跳转(求助)
sdafasdfsadfsadf的博客
07-25 2871
最近在做spring-security权限控制,http里配置intercept-url进行权限控制的候,当用户无权访问该页面的候显示空白页,我想跳转到指定页面,在网上找了一下都说是配置access-denied-page即可跳转到指定页面,可我按此方法还是显示空白页,那位大侠用过此框架的,希望站出来说两句。在此万分感谢。。。,代码如下: <?xml version="1.0" e...
【解决】分析SpringSecurity访问请求权限不足AccessDeniedException问题
sunao1106的博客
08-13 7606
> 该方法中首先调用了`this.obtainSecurityMetadataSource().getAttributes(object)`方法,通过当前请求路径获取到**访问该请求所需要的权限**(object是上一步调用传过来的参数,封装了我们请求路径的一些信息)。.........
基于Reactive的Spring SecuritySpring Webflux)
最新发布
m0_73837751的博客
04-15 1061
因为 Spring Cloud Gateway 基于 WebFlux/reactor-netty 实现,是一个典型的非阻塞、响应式的网关。:Servlet 容器下(Tomcat、Jetty等)的 Spring Boot Web 项目,或者传统的 Spring MVC 应用。(Reactive 模型,如 Spring Cloud Gateway 项目),就用 ServerHttpSecurity。配置中的一个重要部分,它允许你自定义当安全相关异常发生(如认证失败、访问被拒绝等)的处理方式。
Spring——Security安全框架之没有权限访问处理
专注写bug
02-23 7428
文章目录前言本篇博客做的内容项目创建环境、配置等增加未认证跳转页面配置类中增加无权访问页面跳转配置请求测试前后分离配置先创建无权监测类修改配置类测试代码下载 前言 前面的博客中,针对基于内存、基于数据库的方式实现了用户的校验操作。 同也对于基于内存、针对部分请求设定访问权限的操作,也做了大致的配置和测试展示。 本篇博客做的内容 自定义403 无权访问的页面; 以及前后分离 403的提示。 项目创建 springboot-security-07。 环境、配置等 参照springboot-security-0
SpringSecurity静态资源放行,登陆页面配置,权限访问控制,自定义403
hd_cash的博客
05-13 1万+
1:静态资源和无需权限页面放行 如果是static下的静态资源或者无需验证身份即可访问的页面,可以通过在SpringSecurity的配置类中配置放行: @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() //无需认证的为static下的静态资源,以及/index请求 .antMa
Spring SecurityWeb资源保护功能研究与扩展
10-17
如果用户无权访问Spring Security会阻止其访问并可能重定向到错误或登录页面。 然而,Spring Security在默认情况下对授权信息的外化存储支持不够完善,即它不鼓励将授权信息存储在数据库或其他外部存储中。为了...
springSecurity实现用户登录及异步执行无权限,重定向到登录页面
09-10
综合来看,使用Spring Security实现用户登录及异步执行无权限重定向到登录页面,不仅需要对Spring Security框架有深入的理解,还需要对Web应用的安全机制和最佳实践有所掌握。开发者应该充分利用Spring Security...
精选资源
springsecurity前端素材.zip
05-19
在本“springsecurity前端素材”中,我们有两个主要的文件夹:templates和static,它们分别代表了前端展示层的不同方面。 **templates** 文件夹通常包含了应用的HTML模板文件,这些文件被用于构建用户界面。在...
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
热门推荐
孟秋与你的博客
05-13 2万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
Spring Security 使用、实现权限访问控制
猫吻鱼的博客
10-18 3588
文章目录一、简介:二、简单搭建1. 前期准备2. 通过配置类方式配置 `DelegatingFilterProxy`:3. 配置Security配置类 -> 继承 WebSecurityConfigurerAdapter:注:三、用户认证方式 : configure(AuthenticationManagerBuilder auth) 详解四、configure(HttpSecurity h...
使用Spring Security 限制URL访问
neweastsun的专栏
02-13 2万+
使用Spring Security 限制URL访问 通常保护url方式有以下几种: 允许每个人访问的url 基于角色保护url 基于多个角色保护url 基于IP地址保护url 本文介绍如何通过spring security 实现这些功能。 指定URL 指定url最常用的方法是通过antMatcher,如果我们想保护下列url: url 访问限制 http...
解决spring-security在引入其他页面出现的页面空白问题
Lemon_MY的博客
07-12 851
在jsp页面中导入其他jsp页面出现的问题: <jsp:include page="header.jsp"></jsp:include> <jsp:include page="aside.jsp"></jsp:include> 问题页面: 解决方法:在spring-security中添加X-Frame-Options的配置 ...
浅谈spring security 403机制
weixin_33965305的博客
06-01 802
403就是access denied ,就是请求拒绝,因为权限不足 三种权限级别 一、无权限访问 <security:http security="none" pattern="/index.jsp" /> 这种即是不需要登录,也可以访问的,但是不会传csrf_key 二、匿名访问 <security:http> <security:in...
Spring Security 自定义 AuthenticationEntryPoint 和 AccessDeniedHandler(匿名/已认证)的用户访问无权限资源的异常
wangooo的博客
02-21 4083
AuthenticationEntryPoint简介 AuthenticationEntryPoint是Spring Security Web一个概念模型接口,顾名思义,他所建模的概念是:“认证入口点”。 它在用户请求处理过程中遇到认证异常,被ExceptionTranslationFilter用于开启特定认证方案(authentication schema)的认证流程。 AccessDeniedHandler AccessDeniedHandler仅适用于已通过身份验证的用户。未经身份验证的用户的默认
springSecurity的练习笔记--认证服务器,资源服务器,以及单点登陆
automannn
11-12 2059
   花了一天半左右,将springSecurity后面的练习看完并且进行练习实践与测试!   按照惯例进行笔记的整理。  认证服务器的构建:    核心依赖:    注意,是oauth2而不是oauth。  因为这两个包maven都提供了它的依赖。 同,需要依赖spring-security的环境。 在springboot环境下,可以采用spirng-boot-starter-sec...
WEB-INF安全目录下资源不能直接访问的问题
qq_17852961的博客
07-31 6503
转载一: 因为web-inf下,应用服务器把它指为禁访目录,即直接在浏览器里是不能访问到的. 但是可以让servlet进行访问,如web-inf下有a.jsp则可以用request.getrequestdispatcher("/web-inf/a.jsp").forward(request,response);   补充一下,如果你想访问web-inf下的htm文件的话,用req
Spring Security框架中文手册:Acegi安全系统与Servlet过滤器保护
Acegi(现为Spring Security的一部分)为Spring应用程序提供了声明式的安全控制,允许开发者通过配置来定义哪些用户、角色或权限可以访问特定的资源。它提供了一系列的Bean,这些Bean可以在Spring应用上下文中配置,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值