Spring Security教程(9)---- 自定义AccessDeniedHandler

最新推荐文章于 2024-10-21 10:01:44 发布
转载 最新推荐文章于 2024-10-21 10:01:44 发布 · 1.1k 阅读 · 1

本文介绍如何在Spring框架中自定义AccessDeniedHandler,以适配Ajax请求的处理方式,避免传统处理方式对Ajax请求的不友好。通过在默认的AccessDeniedHandler基础上进行修改,实现对Ajax请求的异常信息输出和统一处理。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在Spring默认的AccessDeniedHandler中只有对页面请求的处理,而没有对Ajax的处理。而在项目开发是Ajax又是我们要常用的技术,所以我们可以通过自定义AccessDeniedHandler来处理Ajax请求。我们在Spring默认的AccessDeniedHandlerImpl上稍作修改就可以了。

[java]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. public class DefaultAccessDeniedHandler implements AccessDeniedHandler {  
  2.   
  3.     /* (non-Javadoc) 
  4.      * @see org.springframework.security.web.access.AccessDeniedHandler#handle(javax.servlet.http.HttpServletRequest, javax.servlet.http.HttpServletResponse, org.springframework.security.access.AccessDeniedException) 
  5.      */  
  6.     private String errorPage;  
  7.   
  8.     //~ Methods ========================================================================================================  
  9.   
  10.     public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException)  
  11.             throws IOException, ServletException {  
  12.         boolean isAjax = ControllerTools.isAjaxRequest(request);  
  13.         if(isAjax){  
  14.             Message msg = MessageManager.exception(accessDeniedException);  
  15.             ControllerTools.print(response, msg);  
  16.         }else if (!response.isCommitted()) {  
  17.             if (errorPage != null) {  
  18.                 // Put exception into request scope (perhaps of use to a view)  
  19.                 request.setAttribute(WebAttributes.ACCESS_DENIED_403, accessDeniedException);  
  20.   
  21.                 // Set the 403 status code.  
  22.                 response.setStatus(HttpServletResponse.SC_FORBIDDEN);  
  23.   
  24.                 // forward to error page.  
  25.                 RequestDispatcher dispatcher = request.getRequestDispatcher(errorPage);  
  26.                 dispatcher.forward(request, response);  
  27.             } else {  
  28.                 response.sendError(HttpServletResponse.SC_FORBIDDEN, accessDeniedException.getMessage());  
  29.             }  
  30.         }  
  31.     }  
  32.   
  33.     /** 
  34.      * The error page to use. Must begin with a "/" and is interpreted relative to the current context root. 
  35.      * 
  36.      * @param errorPage the dispatcher path to display 
  37.      * 
  38.      * @throws IllegalArgumentException if the argument doesn't comply with the above limitations 
  39.      */  
  40.     public void setErrorPage(String errorPage) {  
  41.         if ((errorPage != null) && !errorPage.startsWith("/")) {  
  42.             throw new IllegalArgumentException("errorPage must begin with '/'");  
  43.         }  
  44.   
  45.         this.errorPage = errorPage;  
  46.     }  
  47.   
  48. }  
这里我们直接将异常信息通过PrintWriter输出到前台,然后在前台做统一的处理就可以了。在前台对后台消息统一处理的方法可以参考我的这篇文章 http://blog.youkuaiyun.com/jaune161/article/details/18135607

最后在配置文件中配置下

[html]  view plain copy 在CODE上查看代码片 派生到我的代码片
  1. <sec:http auto-config="true" access-decision-manager-ref="accessDecisionManager">  
  2.       
  3.     <sec:access-denied-handler ref="accessDeniedHandler"/>  
  4.       
  5.     <sec:session-management invalid-session-url="/login.jsp" />  
  6.       
  7.     <sec:intercept-url pattern="/app.jsp" access="AUTH_LOGIN"/>  
  8.     <sec:intercept-url pattern="/**" access="AUTH_GG_FBGBGG"/>  
  9.       
  10.     <sec:form-login login-page="/login.jsp" authentication-failure-url="/login.jsp"  
  11.         default-target-url="/index.jsp"/>  
  12.           
  13. </sec:http>  
  14.   
  15. <!-- 自定义权限不足处理程序 -->  
  16. <bean id="accessDeniedHandler" class="com.zrhis.system.security.RequestAccessDeniedHandler">  
  17.     <property name="errorPage" value="/WEB-INF/error/403.jsp"></property>  
  18. </bean>  
session-management本来计划在之前就讲的,但是准备深入讲下session-management所以就一直没有讲。今天既然提到了就简单的说下session-management最简单的配置,就是上面的配置invalid-session-url表示Session失效时跳转的连接。随后会深入讲下这个。

spring-security【2022-3-18更新】
m0_53964515的博客
03-14 4965
话不多说导包本质上主要是使用了AOP 和 拦截器! 导包 <!-- spring security 包含下面两个注释掉的包 --> <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <!-- &l
SpringBoot3】Spring Security使用mybatis-plus存储用户角色权限,实现动态权限处理
不积跬步无以至千里,不积小流无以成江海。一个喜欢学习分享的程序员
02-23 1168
一、使用mybatis-plus存储用户角色权限 1)创建相关数据库表 2)从数据库中读取用户、角色、权限数据 3)登录成功返回token 4)访问相关资源时,通过自定义的过滤器解析token,判断权限 动态权限可以通过创建自定义类(如 `MyAuthorizationManager`)实现接口 `AuthorizationManager`,在实现类的 `check()` 方法中判断用户是否有请求资源的权限。
拒绝访问异常处理(AccessDeniedException)_spring security例子
09-23
拒绝访问异常处理(AccessDeniedException)_spring security例子 博客:blog.youkuaiyun.com/dsundsun
【Kotlin Spring Boot 服务端开发: 问题集锦】 Spring Security : 自定义AccessDeniedHandler 处理 Ajax 请求...
AI天才研究院
12-13 9856
【Kotlin Spring Boot 服务端开发: 问题集锦】 Spring Security : 自定义AccessDeniedHandler 处理 Ajax 请求 AccessDeniedHandler 接口定义: package org.springframework.security.web.access; import org.springf...
Spring SecurityAccessDeniedHandler 用户无权限操作接口时处理
杜小舟的博客
12-29 2703
AccessDeniedHandler 接口负责处理用户在没有足够权限访问某资源时的行为。当用户尝试访问他们没有权限的资源时,这个处理器被触发。 官方是给了几个默认的处理器,当然,我们也可以自己自定义处理器,那么先简单介绍一下官方的处理器,然后再自己写一个自定义处理器。
spring-security-web-extensions:Spring Security Web的扩展
04-29
Spring Security 是一个强大的Java框架,用于提供Web应用程序和企业级应用程序的安全性。它提供了一整套功能,包括认证、授权、会话管理以及对常见攻击的防护。在本项目"spring-security-web-extensions"中,我们...
spring-security-oauth2详细配置demo
09-30
Spring Security OAuth2 是一个强大的框架,用于为Java应用提供安全认证和授权服务。这个详细配置的Demo旨在帮助开发者理解并实现OAuth2在Spring Security中的应用。在这个Demo中,我们将探讨OAuth2的核心概念、...
Spring security 自定义 token 身份验证
最新发布
让 Java 再次伟大!
10-21 748
既然 Spring securtiy 的核心是 Filter chains,那我们只需要定义一个符合 security 标准的 filter ,再把自己的 chain 加入到 VirtualFilterChain 里面,就可以自定义身份验证的认证逻辑了。more之前提到过,大部分身份认证相关的过滤器都继承了 AbstractAuthenticationProcessingFilter。但是这一次我们让接下来的自定义过滤器不选择继承它,而是继承 OncePerRequestFilter。
SpringSecurity-6-GrantedAuthority/AccessDeniedHandler接口(权限菜单/权限接口/权限失败后的逻辑)
文天大人
09-14 1万+
怀念二抱三抱
spring security 3 配置 access-denied-handler
weixin_34342578的博客
01-20 970
2019独角兽企业重金招聘Python工程师标准>>> ...
Spring security 配置的AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
热门推荐
单筱风的博客
12-17 2万+
1.Spring Security 中的异常处理 我们在 Spring Security 实战干货系列文章中的 自定义配置类入口 WebSecurityConfigurerAdapter 一文中提到 HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口: AuthenticationEntryPoint 该类用来统一处理 AuthenticationEx
Spring Security中配置AccessDeniedHandler没有生效
编程札记
10-27 3312
在 WebSecurityConfigurerAdapter 配置了如下代码: // 自定义未授权和未登录异常 http.exceptionHandling() .accessDeniedHandler(new RestAccessDeniedHandler()) .authenticationEntryPoint(new RestAuthenticationEntryPoint()); 在 Controller 层 REST 接口中添加有 @PreAuthorize
SpringSecurity抛出异常但AccessDeniedHandler不生效
qq_45848700的博客
01-05 1579
最近在学习SpringSecurity权限管理框架,在测试权限管理时发现在使用没有权限的接口时异常被全局异常处理器给捕获了 查询资料后,发现解决方法有很多,所以把我觉得比较方便的方法记录下来:全局异常中捕获AccessDeniedException再抛出就可以被AccessDeniedHandler捕获到了 @ExceptionHandler(AccessDeniedException.class) public void accessDeniedException(AccessDeniedExcep
Spring security AccessDeniedHandler 不被调用
jmppok的专栏
04-02 1万+
在使用Spring Security时,在applicationContext-security.xml中配置了accecc-denied-handler,但是AccessDecisionManager模块明明抛出了AccessDeniedException却不被捕获。是因为只有确实的访问失败才会进入AccessDeniedHandler,如果是未登陆或者会话超时等,不会触发AccessDeniedHandler,而是会直接跳转到登陆页面。所以使用时还是要注意区分登陆失败和没有权限访问的情况。
SpringSecurity 自定义 AccessDeniedHandler 不生效的问题解决
SB_YYGY_FHVK的博客
08-13 1027
问题描述 在 Security配置类中 正确配置了 AccessDeniedHandler,但是发现实际运行时 AccessDeniedHandler 没有被触发! 问题原因 出现这种问题的原因一般都是因为项目中还配置了 GlobalExceptionHandler 。 由于GlobalExceptionHandler 全局异常处理器会比 AccessDeniedHandler 先捕获 AccessDeniedException 异常,因此当配置了 GlobalExceptionHandler 后,会发
【解决】分析SpringSecurity访问请求权限不足AccessDeniedException问题
sunao1106的博客
08-13 7387
> 该方法中首先调用了`this.obtainSecurityMetadataSource().getAttributes(object)`方法,通过当前请求路径获取到**访问该请求所需要的权限**(object是上一步调用传过来的参数,封装了我们请求路径的一些信息)。.........
Spring Security权限管理实战教程
"Spring security是Java应用中广泛使用的安全框架,用于实现高级的权限管理和认证机制。本示例将深入探讨如何使用Spring security来构建一个权限管理系统。" 在Spring security实现权限管理的过程中,主要包括以下...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值