Spring Security Web应用中用户访问自己无权访问的资源时发生了什么?

最新推荐文章于 2024-07-09 00:30:23 发布
最新推荐文章于 2024-07-09 00:30:23 发布
阅读量1.5k 收藏 1
点赞数
CC 4.0 BY-SA版权
分类专栏: Java spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/andy_zhang2007/article/details/81486401
本文详细介绍了SpringSecurity中权限拒绝的处理流程。当已登录用户尝试访问无权限资源时,SpringSecurity将抛出AccessDeniedException异常。ExceptionTranslationFilter将调用AccessDeniedHandler处理此情况,默认使用AccessDeniedHandlerImpl,返回HTTP403并可转向指定错误页面。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在应用Spring Security的Web应用中,假定全部采用缺省配置,如果用户已经登录(且未超时过期),但试图访问一个自己没有权限的HTTP资源,此时:

  • Spring Security会抛出一个异常AccessDeniedException;
    • AccessDecisionManager的实现类AffirmativeBased在判断出访问应该被拒绝时抛出该异常;
  • ExceptionTranslationFilter过滤器会调用其属性accessDeniedHandler对象(类型为AccessDeniedHandler)的方法handle来处理这种情况;
    • 缺省情况下,这里属性对象accessDeniedHandler的实现类是AccessDeniedHandlerImpl
  • accessDeniedHandler.handle方法会返回HTTP 403 给用户浏览器;
    • 并且如果属性accessDeniedHandler对象上指定了属性errorPage(错误页面URL)的话,服务器会同时将浏览器forward到该错误页面URL(注意这里是forward而不是redirect)

这种情况如果开发人员想做定制处理,可以实现自己的AccessDeniedHandler

19-Spring Security资源服务器配置详解
码农小胖哥
03-17 3365
我们已经初步尝试了资源服务器,我个人感觉资源服务器就像火车站进站口,你带着票进站乘车,售票员或者闸机就是那个过滤器(Filter),对你的票进行检验核对,符合了就放你进站,不符合了就按规定处理。那这一切是如何发生的呢?今天我们深入细节底层来看看一探究竟。 OAuth2ResourceServerConfigurer 通过HttpSecurity.oauth2ResourceServer很容易找出来Resource Server的配置类OAuth2ResourceServerConfigurer。下面的思维导
关于使用security和静态资源被拦截的问题
malachi95的博客
12-14 1万+
之前的博客中我给过如何在springboot中整合security,当写的界面很简单,没有CSS样式,更谈不上静态资源,而现在在实际开发过程中经理让我们用security来开发,界面肯定不可能就是两个输入框,一个按钮就完事啊,当加上CSS样式的候问题就来了,首先是CSS样式没办法被加载,其次登录之后跳转的路径出错,随机跳转到一个CSS文件中,这让我很烦恼,查了很多资料,也问了很多前辈之后终于解决
spring security http无权访问 页面跳转(求助)
sdafasdfsadfsadf的博客
07-25 2850
最近在做spring-security权限控制,http里配置intercept-url进行权限控制的候,当用户无权访问该页面的候显示空白页,我想跳转到指定页面,在网上找了一下都说是配置access-denied-page即可跳转到指定页面,可我按此方法还是显示空白页,那位大侠用过此框架的,希望站出来说两句。在此万分感谢。。。,代码如下: <?xml version="1.0" e...
最详细Spring Security学习资料(源码)
11-16
Spring Security是一个功能强大且高度可定制的身份验证和授权框架,专门用于保护Java应用程序的安全性。它构建在Spring Framework基础之上,提供了全面的安全解决方案,包括身份验证、授权、攻击防护等功能。 Spring Security的主要特点包括: 身份验证:Spring Security支持多种身份验证方式,包括基本认证、表单登录、LDAP认证、OAuth等,同也支持自定义的认证方式。 授权:Spring Security提供了细粒度的授权机制,可以根据角色、权限进行访问控制。开发者可以通过配置或编程的方式定义哪些用户可以访问哪些资源。 攻击防护:Spring Security内置了对常见攻击(如跨站点请求伪造、会话固定攻击、点击劫持等)的防护机制,帮助开发者提高应用程序的安全性。 会话管理:Spring Security支持对用户会话状态的管理,包括会话超、并发控制、集群环境下的分布式会话管理等。 Web集成:Spring Security能够无缝集成到Spring框架和Spring MVC中,提供了过滤器、标签库等工具,简化了权限控制和
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
孟秋与你的博客
05-13 2万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
Spring Security针对Restful中的某个资源允许访问的方法
资深架构师分享:深入剖析软件架构,探讨云计算、微服务、大数据等前沿技术。分享实践经验,促进技术交流,共同构建卓越系统。
01-28 5381
背景 在有候需要某个资源可以在没授权的情况下可以访问,只是针对个别资源,那么用Spring Security该如何操作。 代码如下 @Override public void configure(HttpSecurity http) throws Exception { http .csrf() .disable() ...
SpringSecurity实战! 详细讲解如何通过SpringSecurity控制用户访问权限。
talentxiet的博客
03-18 3020
这几天学习了如何用SpringSecurity来判断用户权限并控制访问。接下来我来详细讲解一下如何配置Spring Security,以后大家可以少走弯路。 我的环境是 IntelliJ + MySQL + Gradle 项目GitHub地址:https://github.com/RobbieXie/MySpringSecurity   大家可以clone下来后通过gradle导入项目即可。
Spring Security概念与应用
weixin_45119534的博客
07-09 355
Spring Security-认证和授权
Spring SecurityWeb资源保护功能研究与扩展
10-17
如果用户无权访问Spring Security会阻止其访问并可能重定向到错误或登录页面。 然而,Spring Security在默认情况下对授权信息的外化存储支持不够完善,即它不鼓励将授权信息存储在数据库或其他外部存储中。为了...
Spring MVC Security-添加自定义登录表单,显示无效凭据、基于角色的访问、自定义访问被拒绝的错误消息.zip
01-09
用户试图访问他们无权访问资源Spring Security会抛出`AccessDeniedException`。要自定义访问被拒绝的错误消息,我们需要实现`AccessDeniedHandler`接口,这样在访问被拒绝,我们可以控制返回的响应,包括...
springSecurity实现用户登录及异步执行无权限,重定向到登录页面
最新发布
09-10
综合来看,使用Spring Security实现用户登录及异步执行无权限重定向到登录页面,不仅需要对Spring Security框架有深入的理解,还需要对Web应用的安全机制和最佳实践有所掌握。开发者应该充分利用Spring Security...
springsecurity前端素材.zip
05-19
在本“springsecurity前端素材”中,我们有两个主要的文件夹:templates和static,它们分别代表了前端展示层的不同方面。 **templates** 文件夹通常包含了应用的HTML模板文件,这些文件被用于构建用户界面。在...
Spring Security 自定义资源服务器实践
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
08-21 2285
在前面我们使用最小化配置的方式搭建了自己的授权服务器,现在我们依旧用最小化的方式配置自己的资源服务器。资源服务器负责scope的鉴权、authorities的鉴权、基于用户角色的鉴权等。到此,我们通过自己搭建的授权服务器和资源服务器,完整体验了OAuth2流程,再来体会下第一篇文章中说明的交互流程。在整个流程中,我们使用的是最严密的授权码模式,它将用户引导到授权服务器进行身份验证,授权服务器将发放的访问令牌传递给客户端,目前主流都是使用该模式,因此特别重要,要好好体会。
使用Spring Security 限制URL访问
neweastsun的专栏
02-13 2万+
使用Spring Security 限制URL访问 通常保护url方式有以下几种: 允许每个人访问的url 基于角色保护url 基于多个角色保护url 基于IP地址保护url 本文介绍如何通过spring security 实现这些功能。 指定URL 指定url最常用的方法是通过antMatcher,如果我们想保护下列url: url 访问限制 http...
关于Spring Boot下Spring Security权限访问设置@PreAuthorize("hasRole('ROLE_ADMIN')")没有用
热门推荐
邹浩阳的专栏
08-25 8万+
承接上篇:Spring Security整合后post数据不了,403拒绝访问 前几天想要限制不同角色的访问权限,于是就直接使用:@PreAuthorize("hasRole('ROLE_ADMIN')")注解来标注一个实现类的方法上,但是其他权限依然可以访问 orz,于是我怀疑是放的位置不对,于是放在了Service接口里的方法上,也未果。于是直接放在Controller层的访问方法上,还是未果
Spring Security源码分析十五:Spring Security 页面权限控制
weixin_34250709的博客
03-06 315
Spring Security是一个能够为基于Spring的企业应用系统提供声明式的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了...
浅谈spring security 403机制
weixin_33965305的博客
06-01 778
403就是access denied ,就是请求拒绝,因为权限不足 三种权限级别 一、无权限访问 <security:http security="none" pattern="/index.jsp" /> 这种即是不需要登录,也可以访问的,但是不会传csrf_key 二、匿名访问 <security:http> <security:in...
Spring Security框架中文手册:Acegi安全系统与Servlet过滤器保护
Acegi(现为Spring Security的一部分)为Spring应用程序提供了声明式的安全控制,允许开发者通过配置来定义哪些用户、角色或权限可以访问特定的资源。它提供了一系列的Bean,这些Bean可以在Spring应用上下文中配置,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值