一个开发者对 Spring Security 拦截机制的深度追问(续)

原创 已于 2025-11-29 20:32:20 修改 · 619 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring #java #后端

于 2025-11-29 20:30:11 首次发布

作者:旷野说
关键词:Spring Security、Servlet Filter、403 异常、安全架构、过滤器链、口诀记忆

🕵️‍♂️ 三、“静默 403”不是玄学,而是可解的谜题

为搞明白 ExceptionTranslationFilter 的“温柔一刀”——它把所有安全异常都悄悄吞掉,换成一个干净的 403 响应。
对用户友好,对开发者“不友好”。

但好消息是:这个问题完全可解。下面是我总结的四步调试法,从“看到异常”到“精准定位”,再到“生产友好响应”,一气呵成。

✅ 第一步:先开 DEBUG 日志——让安全决策“说话”

这是成本最低、见效最快的方式。只需在 application.yml 中加一行:

logging:
  level:
    org.springframework.security: DEBUG

开启后,你会看到类似这样的日志:

DEBUG o.s.s.w.a.i.FilterSecurityInterceptor - 
  Secure object: FilterInvocation: URL: /api/v1/orders/create
  Attributes: [authenticated]

DEBUG o.s.s.w.a.i.FilterSecurityInterceptor - 
  Previously Authenticated: User [name=admin, roles=[USER, ADMIN]]

DEBUG o.s.s.access.vote.AffirmativeBased - 
  Voter: WebExpressionVoter, returned: -1  👈 权限投票失败!

AccessDeniedException: Access is denied

💡 关键信息

  • 请求的 URL 是什么?
  • 当前用户是谁?
  • 权限校验在哪一步失败?
  • FilterSecurityInterceptor(URL 层)还是 MethodSecurityInterceptor(方法层)抛出的?

这是日常开发的首选手段——无侵入、开箱即用。

✅ 第二步:自定义异常处理器——让 403 “会说话”

DEBUG 日志适合后台看,但前端也需要知道为什么被拒
于是,我实现了两个处理器:

1. CustomAccessDeniedHandler(处理 403)
@Component
public class CustomAccessDeniedHandler implements AccessDeniedHandler {
    private static final Logger log = LoggerFactory.getLogger(CustomAccessDeniedHandler.class);

    @Override
    public void handle(HttpServletRequest req, HttpServletResponse res, AccessDeniedException e) throws IOException {
        String uri = req.getRequestURI();
        Authentication auth = SecurityContextHolder.getContext().getAuthentication();
        String user = auth != null ? auth.getName() : "anonymous";

        // 📝 记录完整上下文,便于排查
        log.warn("ACCESS DENIED | URI: {} | User: {} | Cause: {}", uri, user, e.getMessage());

        // 💬 返回结构化错误,前端可友好提示
        res.setStatus(403);
        res.setContentType("application/json;charset=UTF-8");
        res.getWriter().write("""
            {
              "code": 403,
              "message": "权限不足",
              "detail": "当前用户无权访问此资源",
              "timestamp": "%s"
            }
            """.formatted(Instant.now()));
    }
}
2. CustomAuthenticationEntryPoint(处理 401)
@Component
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest req, HttpServletResponse res, AuthenticationException ex) throws IOException {
        log.warn("UNAUTHENTICATED | URI: {} | Error: {}", req.getRequestURI(), ex.getMessage());
        res.setStatus(401);
        res.getWriter().write("""
            {"code":401,"message":"请先登录","detail":"Token missing or invalid"}
            """);
    }
}
3. 在 SecurityConfig 中注册:
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http
        .exceptionHandling(e -> e
            .accessDeniedHandler(customAccessDeniedHandler)
            .authenticationEntryPoint(customAuthenticationEntryPoint)
        )
        .csrf().disable()
        .authorizeHttpRequests(authz -> authz
            .requestMatchers("/login").permitAll()
            .anyRequest().authenticated()
        )
        .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        .addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);

    return http.build();
}

效果

  • 前端收到 带错误码和提示的 JSON,不再一脸懵;
  • 后台日志留下 完整上下文,支持快速排查。
✅ 第三步:开发环境临时“放行异常”——看原始堆栈

有时候,连日志都不够用。我想直接看到异常堆栈

于是,我在开发环境加了一个开关:

@Value("${app.security.debug:false}")
private boolean securityDebug;

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    // ... 其他配置

    // 🔧 仅在生产关闭异常转换,开发环境直接抛异常!
    if (!securityDebug) {
        http.exceptionHandling(e -> e
            .accessDeniedHandler(accessDeniedHandler)
            .authenticationEntryPoint(authenticationEntryPoint)
        );
    }

    return http.build();
}

启动时开启:

# application-dev.yml
app:
  security:
    debug: true

效果
直接看到 AccessDeniedException 完整堆栈,一眼看出是 Web 层还是方法层拦截

⚠️ 注意:此模式仅用于本地开发,切勿上线

✅ 第四步:快速判断拦截层级——是 Filter 还是 AOP?

这是我总结的快速诊断表

判断依据Filter 拦截(URL 权限)AOP 拦截(方法权限)
Controller 是否执行?❌ 不执行✅ 执行
Service 方法是否进?❌ 不进❌ 不进(但在 Controller 之后被拦)
日志关键词FilterInvocation: URL: /xxxMethod: public void ...
调试技巧Controller 第一行加日志 → 没输出Controller 日志有输出,Service 没进 → 方法级拦截

💡 口诀
“403 无日志?查 Filter;进了 Controller 还 403?查 @PreAuthorize!”

🧠 终极口诀:调试 403 的黄金五步法

一开日志看过程,
二写 Handler 记上下文,
三用开关看堆栈,
四判层级分 Filter 与 AOP,
五记口诀不迷路!

通过这套组合拳,我终于把“神秘 403”变成了可追踪、可解释、可修复的普通 bug。
Spring Security 不再是黑盒,而是一条透明、可控的安全流水线

安全,本该如此清晰。 🔐

Spring框架中的过滤器、拦截器与Spring Security:深入比较与应用实践
m0_75236543的博客
04-16 1699
Spring框架是一个轻量级的开源Java平台,它为现代Java应用程序开发提供了全面的基础设施支持。Spring的核心特性包括依赖注入(DI)、面向切面编程(AOP)、事务管理、数据访问等,这些特性使得开发者能够构建松耦合、易于测试和维护的企业级应用。:提供IoC容器和依赖注入功能Spring AOP:提供面向切面编程实现Spring MVC:基于模型-视图-控制器模式的Web框架:认证和授权框架:简化数据访问操作:快速应用开发的约定优于配置解决方案。
SpringSecurity笔记,编程不良人笔记
10-28
- 用户提交登录请求,请求被SpringSecurity的过滤器拦截。 - 认证过滤器(如`UsernamePasswordAuthenticationFilter`)提取用户名和密码,并调用`UserDetailsService`进行验证。 - 验证成功后,创建`...
IP: thread:http-nio-8080-exec-1 USER: message:An internal error occurred while t解决方案
m0_65065082的博客
12-01 2126
【代码】IP: thread:http-nio-8080-exec-1 USER: message:An internal error occurred while t解决方案。
一个开发者Spring Security 拦截机制深度追问
Talbot3的笔记
11-29 1245
摘要:Spring Security 403异常解析 本文通过作者解决一个403访问拒绝问题的经历,深入剖析了Spring Security的安全机制。当/api/v1/orders/create接口返回403但未进入Controller时,作者发现请求被Spring Security在Servlet Filter层提前拦截。关键发现包括:1) Spring Security通过FilterChainProxy封装安全过滤器链;2) URL权限(authorizeHttpRequests)和方法权限(@Pr
最新Spring Security实战教程(一)初识Spring Security安全框架
Micro麦可乐的博客
03-05 6260
随着Web应用和微服务架构的普及,作为JAVA开发者如何保证系统免受各种安全威胁(如未经授权的访问、数据泄露、跨站请求伪造等)成为一个我们必须要解决的问题。作为Spring生态系统中的核心组件,通过提供认证()与授权()和针对常见攻击等一系列安全功能,为开发者构建安全稳定的应用提供了强有力的支持。是一个基于Spring认证(Authentication): 确定访问者身份的过程。Spring Security通过多种方式(如表单登录、Basic认证、OAuth2等)实现用户身份验证。
SpringBoot 安全框架二选一:SpringSecurity vs Shiro 深度对比
梵心白莲的博客
03-10 1630
在当今的 Web 应用开发中,安全性是至关重要的一环。Spring Boot 作为一个广泛使用的 Java 开发框架,为开发者提供了便捷的开发体验。而在 Spring Boot 项目中,选择合适的安全框架来保障应用的安全性是开发者常常面临的问题。Spring Security 和 Apache Shiro 是两个备受关注的安全框架,它们都可以为 Spring Boot 应用提供安全防护。本文将对这两个框架进行深度对比,帮助技术人员根据项目需求做出更合适的选择。
最新Spring Security实战教程(三)Spring Security 的底层原理解析
Micro麦可乐的博客
03-10 5076
相信通过前面两个章节的讲解,大家已经对有了一个初步认识,今天这个章节我们主要聊一聊的底层原理。为什么我们只要简单的一个配置就可以实现我们想要的功能?实际上的Servlet支持就是基于Servlet过滤器Filter!Spring Security 的设计充分考虑了扩展性。自定义 Filter:在现有 FilterChain 中插入新的安全过滤器;自定义 AuthenticationProvider:实现特定业务场景下的身份验证;自定义 AccessDecisionManager:满足细粒度的授权需求。
Spring Security详解
技术人集结地
04-14 1277
Spring Security 凭借其模块化设计、深度 Spring 整合及全面的安全防护,成为 Java企业级安全解决方案的首选。无论是传统 Web 应用、REST API 还是微服务架构,均可通过其灵活的配置和扩展能力构建高安全性的系统。对于开发者而言,掌握其核心过滤器链和注解驱动的权限控制是提升开发效率的关键。Spring Security一个功能强大且高度可定制的身份验证和访问控制框架,专为基于 Spring 的应用程序设计。
Java中的Spring Security与认证授权机制!
欢迎来到菜鸟不学编程的博客
07-26 950
随着互联网的快速发展,Web应用的安全性变得越来越重要,尤其是在涉及用户隐私和敏感信息的场景中,如何保护数据的安全、避免未授权访问、提升系统的抗攻击能力是每个开发者必须关注的问题。Spring Security作为Java Web应用中常用的安全框架,提供了一整套强大的认证与授权管理解决方案。通过Spring Security开发者能够实现用户认证、权限控制、以及防止各种常见安全漏洞的保护措施。
权限框架SpringSecurity(一)——自定义登录
热门推荐
scorpio的博客
05-12 1万+
权限框架SpringSecurity(一)——自定义登录
SpringSecurity-springsecurity
09-13
Spring Security一个强大的、可高度定制的身份验证和访问控制框架,它是 Java 应用安全领域的事实标准之一。它主要关注于为 Java 应用程序提供认证和授权功能。Spring Security 提供了一套完整的安全性解决方案,...
Spring Security.pdf
05-25
Shiro是Apache旗下一个项目,提供身份验证、授权、会话管理等功能,相对Spring Security而言,Shiro更加简单和轻巧,适合快速上手。Shiro的设计相对独立,可以不依赖任何框架或容器,也可以实现单点登录等安全需求。...
SpringBoot_SpringSecurity:前后端分离登陆拦截设计
05-01
SpringBoot以其简化Spring应用的初始搭建以及开发过程而受到广大开发者喜爱,而SpringSecurity则是一个强大的安全框架,为Web应用程序提供了全面的安全服务。在这个"SpringBoot_SpringSecurity:前后端分离登陆拦截...
【开题答辩过程】以《基于Springboot的惠美乡村助农系统的设计与实现》为例,不知道这个选题怎么做的,不知道这个选题怎么开题答辩的可以进来看看
最新发布
2509_93103891的博客
12-09 691
该系统主要为解决农产品滞销、销售渠道单一等问题,搭建线上批发与零售相结合的农产品交易平台。系统包含用户、农户、管理员三个角色,用户可查看农产品信息、购买农产品及管理订单,农户能发布农产品、处理订单,管理员负责系统整体运营管理。技术栈方面,前台采用 JSP 技术开发,后台以 Springboot 为框架,搭配 MySQL 数据库保障系统功能实现。
计算机毕业设计|基于springboot + vue在线考试管理系统(源码+数据库+文档)
12-07 889
本文介绍了一个基于SpringBoot+Vue的在线考试管理系统。系统采用前后端分离架构,后端使用SpringBoot框架简化开发流程,前端采用Vue.js实现响应式界面,数据库选用MySQL存储数据。文章详细说明了系统设计原则、技术选型理由,并提供了功能演示视频、代码示例和测试用例。此外,还包含毕业设计选题推荐和源码获取方式。该系统具有用户友好的界面设计、完善的安全机制和良好的扩展性,适合作为计算机相关专业的毕业设计项目参考。
回顾-springboot自定义xml
weixin_46136610的博客
12-09 806
创建普通 Java 类,作为自定义 XML 标签要实例化的 Bean:java运行@Data // Lombok 简化 getter/setter,也可手动编写实现接口,将自定义 XML 标签的属性映射到User类的属性,并生成java运行/*** 解析 <my:user> 标签,生成 User 的 BeanDefinition*/// 指定 Bean 的类型(User.class)@Override。
Spring AI核心知识点
qq_34823185的博客
12-07 681
Spring AI是Spring官方推出的AI开发框架,为Java开发者提供了统一的大语言模型(LLM)集成方案。该框架基于Spring生态,具有以下核心特性:1)提供统一的AiClient接口,支持OpenAI等主流LLM;2)完善的Prompt管理,支持模板化和多轮对话;3)输出解析器可将AI响应转换为Java对象;4)支持函数调用和RAG(检索增强生成)模式;5)集成向量数据库实现语义搜索。Spring AI通过Spring Boot原生支持,简化了AI功能集成,使开发者无需深入Prompt工程即可快
实现一个功能:springboot项目启动将controller地址拼接打印到txt文件
极客鼠之家
12-07 639
本文介绍了一种在SpringBoot项目启动时自动扫描Controller接口地址并写入TXT文件的方法。通过实现一个工具类ControllerUrlScanner,利用Spring上下文获取所有Controller Bean,反射解析@RequestMapping等注解路径,拼接类级和方法级路径,最终将完整接口地址按规范格式写入指定TXT文件。该方案支持自定义文件路径,可自动处理路径格式统一,并区分不同HTTP请求方法(GET/POST等)。适用于学生管理系统等需要快速获取API接口清单的场景,便于开发调
基于Springboot民族文化与旅游网站j9x74dt2(程序、源码、数据库、调试部署方案及开发环境)系统界面展示及获取方式置于文档末尾,可供参考。
2509_93102599的博客
12-05 1366
本项目在借鉴国内外经验基础上,结合禄劝实际,提出以下创新: 内容创新:聚焦禄劝特色民族文化,深度挖掘彝族、苗族文化内涵 技术创新:采用Spring Boot + Vue.js前后端分离架构,实现高性能、易维护的系统 功能创新:设计文化地图、节庆日历、手工艺在线体验等特色功能
深度解析:Spring Security Filter的工作机制
Spring Security一个强大且高度可定制的身份验证和访问控制框架,广泛用于Java Web应用的安全管理。其核心组件之一是Filter,本文将重点探讨Spring Security Filter的工作流程。 1. **Filter的启动过程** ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值