spring security http无权访问 页面跳转(求助)

最新推荐文章于 2025-02-24 17:08:56 发布
原创 最新推荐文章于 2025-02-24 17:08:56 发布 · 2.8k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Spring #Security #HTTP #页面跳转

本文探讨了Spring Security中配置访问拒绝页面的问题。作者尝试通过设置access-denied-page属性实现无权限访问时跳转到指定页面,但遇到了显示空白页的情况。文章提供了详细的配置代码示例。
最近在做spring-security权限控制,http里配置intercept-url进行权限控制的时候,当用户无权访问该页面的时候显示空白页,我想跳转到指定页面,在网上找了一下都说是配置access-denied-page即可跳转到指定页面,可我按此方法还是显示空白页,那位大侠用过此框架的,希望站出来说两句。在此万分感谢。。。,代码如下: <?xml version="1.0" encoding="UTF-8"?><beans xmlns="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:beans="http://www.springframework.org/schema/beans" xsi:schemalocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-2.5.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-2.0.2.xsd"><!-- FilterChainProxy会按顺序来调用这些filter,使这些filter能享用Spring Ioc的功能, CONVERT_URL_TO_LOWERCASE_BEFORE_COMPARISON 定义url比较前先转为小写 PATTERN_TYPE_APACHE_ANT 定义使用Apache ant的匹配模式 --><bean id="springSecurityFilterChain" class="org.springframework.security.util.FilterChainProxy"><property name="filterInvocationDefinitionSource"><value></value></property></bean><!-- 异常处理filter(异常转换过滤器),主要是处理AccessDeniedException和AuthenticationException, 将给每个异常找到合适的"去向" --><bean id="exceptionTranslationFilter" class="org.springframework.security.ui.ExceptionTranslationFilter"><property name="accessDeniedHandler" ref="accessDeniedHandler"></property><property name="authenticationEntryPoint" ref="authenticationEntryPoint"></property></bean><!-- 处理AccessDeniedException --><bean id="accessDeniedHandler" class="org.springframework.security.ui.AccessDeniedHandlerImpl"><property name="errorPage" value="/403.jsp"></property></bean><bean id="authenticationEntryPoint" class="org.springframework.security.ui.webapp.AuthenticationProcessingFilterEntryPoint"><property name="loginFormUrl" value="/login.html"></property><property name="forceHttps" value="false"></property></bean><authentication-manager alias="authenticationManagerAlias"></authentication-manager><bean id="accessDecisionManager" class="com.shului.tuan.webapp.security.CustomAccessDecisionManager"><property name="allowIfAllAbstainDecisions" value="false"></property><property name="decisionVoters"><list><bean class="org.springframework.security.vote.RoleVoter"></bean><bean class="org.springframework.security.vote.AuthenticatedVoter"></bean></list></property></bean><bean id="authenticationProcessingFilter" class="com.shului.tuan.webapp.filter.CustomAuthenticationFilter"><custom-filter before="AUTHENTICATION_PROCESSING_FILTER"></custom-filter><property name="filterProcessesUrl" value="/j_spring_security_check"></property><property name="alwaysUseDefaultTargetUrl" value="true"></property><property name="defaultTargetUrl" value="/manage/admin/index.html"></property><property name="authenticationFailureUrl" value="/login.html?error=true"></property><property name="authenticationManager" ref="authenticationManagerAlias"></property></bean><bean id="authenticationProcessingFilterEntryPoint" class="org.springframework.security.ui.webapp.AuthenticationProcessingFilterEntryPoint"><property name="loginFormUrl" value="/403.jsp"></property><property name="forceHttps" value="false"></property></bean><!-- auto-config:包含<form-login />、<http-basic />、<logout />三项默认配置,如果自己配置则覆盖默认配置 access-denied-page:出错(eg没有权限)后跳转的页面,没有该属性,则抛出403错误-访问指定资源被禁止 access-decision-manager-ref="accessDecisionManager":当角色名前缀不是ROLE_时,需要自定义访问策略管理器 --><http auto-config="false" lowercase-comparisons="false" access-denied-page="/403.jsp" entry-point-ref="authenticationProcessingFilterEntryPoint"><intercept-url pattern="/admin/*.html*" access="ROLE_ADMIN,ROLE_ADMIN_YHGLY"></intercept-url><intercept-url pattern="/admin/**/*.html*" access="ROLE_ADMIN"></intercept-url><intercept-url pattern="/sales/*.html*" access="ROLE_SALES"></intercept-url><intercept-url pattern="/sales/**/*.html*" access="ROLE_SALES"></intercept-url><intercept-url pattern="/login.html*" access="ROLE_ANONYMOUS,ROLE_ADMIN_0,ROLE_SALES,ROLE_SUPPLIER,ROLE_USER"></intercept-url><form-login login-page="/login.html" default-target-url="/index.jsp" authentication-failure-url="/403.jsp"></form-login><logout logout-success-url="/login.html"></logout><remember-me user-service-ref="userDao" key="e37f4b31-0c45-11dd-bd0b-0800200c9a66"></remember-me><!-- --><anonymous></anonymous></http><authentication-provider user-service-ref="userDao"><password-encoder ref="passwordEncoder"></password-encoder></authentication-provider><!-- Override the default password-encoder (SHA) by uncommenting the following and changing the class --><!-- <bean id="passwordEncoder" class="org.springframework.security.providers.encoding.ShaPasswordEncoder"/> --><global-method-security jsr250-annotations="enabled" secured-annotations="enabled"><protect-pointcut expression="execution(* com.shului.tuan.service.UserManager.getDataCount(..))" access="ROLE_ADMIN,ROLE_ADMIN_0,ROLE_SALES"></protect-pointcut><protect-pointcut expression="execution(* *..service.UserManager.removeUser(..))" access="ROLE_ADMIN"></protect-pointcut></global-method-security></beans>
SpringSecurityOAuth2登录后无法跳转获取授权码地址,直接跳转根路径原因详解
程序员劝退师的博客
12-10 1万+
这篇文章需要结合这篇文章来看, 当完成前面的铺垫问题后,先确保httpBasic登录认证没问题! 配置摘要 至于UserDetailsService、TokenConfig、ResourceServerConfig 令牌配置、AuthorityServerConfig、Controller请自行到本文开头提到的那篇文章中查看 SpringSecurity ResourceServerConfig 其中上面WebSecurityConfig这里重写configure方法可以不重写,因为这里是为了好做权限
Spring Security 6.x 系列(11)—— Form表单认证和注销流程
gmHappy
12-18 8457
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面
Spring Security跳转页面失败问题解决
08-25
主要介绍了Spring Security跳转页面失败问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
Spring security中自定义403页面(没有权限跳转自定义页面
godkzz的博客
08-31 1660
在configure(HttpSecurity http)方法中加入 http.exceptionHandling().accessDeniedPage("/error.html");//配置没有权限访问跳转的自定义页面 整体方法如下 @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService user
springsecurity记住我登录时访问无权限接口,跳转登录界面
weixin_44928129的博客
02-18 1127
记住我状态:用户可能选择了“记住我”功能,在记住我状态下,用户的会话仍然有效,但并没有进行实际的身份验证。未登录状态:如果用户尝试访问需要认证的资源但未登录,即未经过认证,在这种情况下应该跳转到登录页面或者返回登录提示,让用户进行身份验证。这就是springsecurity对于记住我的处理逻辑,我想要通过记住我登录的时候,访问无权限接口依然调用AccessDeniedHandler抛出无权限,下面是我的处理方案。贴一下springsecurity无权限时异常处理的逻辑。
SpringSecurity-权限验证失败后的自定义路径跳转集成
06-27 2707
应用场景: (1)一般权限校验和Oauth2权限校验,针对跳转页面、返回信息等场景进行修改 应用方式: (1)httpSecurity设置formLogin中对验证失败情况下的跳转地址进行设置 (2)通过自定义Exception**Filter的AuthenticationEntryPoint进行匹配设置,这种情况主要用于在集成N中登录授权时使用 具体配置如下: 有时间再写 ...
SpringSecurity设置白名单
pan_junbiao的博客
02-22 905
白名单(Whitelist)是一个安全术语,它指的是一个明确的列表或集合,其中包含了被系统、程序或网络明确授权允许访问或执行的对象。这些对象可以是用户、IP地址、电子邮件地址、域名、文件、进程或其他任何实体。在 Spring Security 中设置白名单(即允许某些特定的URL路径无需认证即可访问)是一项常见的需求。你可以通过配置 WebSecurityConfigurerAdapter 来实现这一点。以下是一个示例,展示了如何配置 Spring Security 以允许特定的 URL 路径无需认证即
SpringSecurity认证授权
qq_49474843的博客
09-11 1516
RBAC模型详解,SpringSecurity入门到精通一文搞定
Spring Security概念与应用
weixin_45119534的博客
07-09 413
Spring Security-认证和授权
SpringSecurity处理器:登录成功处理器、登录失败处理器、无权限处理器、注销成功处理器
pan_junbiao的博客
02-24 593
Spring Security 中,你可以通过实现特定的接口或扩展某些类来自定义各种处理器,例如登录成功处理器、登录失败处理器、无权限处理器和登出成功处理器。以下是每种处理器的具体实现方法:登录成功处理器,需要实现 AuthenticationSuccessHandler 接口,当登录认证成功后会执行调用。登录失败处理器,需要实现 AuthenticationFailureHandler 接口,当登录认证失败后会执行调用。
Spring Security Web应用中用户访问自己无权访问的资源时发生了什么?
Details Inside Spring
08-07 1694
在应用Spring Security的Web应用中,假定全部采用缺省配置,如果用户已经登录(且未超时过期),但试图访问一个自己没有权限的HTTP资源,此时: Spring Security会抛出一个异常AccessDeniedException; ExceptionTranslationFilter过滤器会调用其属性accessDeniedHandler对象(类型为AccessDeniedHa...
springboot整合springsecurity框架,开启授权,并且实现不同的用户有不同的权限,实现权限不足跳转到自定义的页面(集中式项目)(三)
一天不写代码难受的博客
10-14 1003
不同的用户实现不同的权限,在后端进行控制 在之前的ssm项目里面,我们开启授权的配置代码是 因为我们要在项目里面使用授权的注解,这个默认是关闭的,之前我们在springmvc的配置里面进行开启,现在我们在springboot项目里面开启的方法是 在配置类上写这个注解EnableGlobalMethodSecurity 以上就开启了,之后我们就可以在controller和业务层写注解进行权限的控制了。 权限不足之后,实现跳转到自定义的页面 回顾之前我们咋处理的 只要写以上的就可以实现 现在的是spri
Spring Security无法跳转页面,一直在login.html页面
egegerhn的博客
04-22 2157
解决Spring Security无法跳转页面,一直在login.html页面的方法 在Spring Security中删除配置login-processing-url="/login.html"即可
serverhttpsecurity 缺少_请求失败,HTTP状态401:未经授权在SSRS
weixin_28622215的博客
01-13 429
My Application is in Asp.Net MVC3 coded in C#, i have a SSRS solution in SQL Server Business Intelligence Developement Studio in Visual Studio 2008 , I'm calling the SSRS report through my Asp.Net MV...
security在前后端分离开发中,拒绝访问的处理
12-23 736
前端h5+js:页面导航交给前端,数据请求全部通过js完成,静态资源的请求security全部放开 后端security + springmvc:后端接口与前端交互,有权限返回请求数据和请求状态的响应,无权限依然按照 security配置的拒绝页面返回 这里就有个问题...
Spring——Security安全框架之没有权限访问处理
专注写bug
02-23 7434
文章目录前言本篇博客做的内容项目创建环境、配置等增加未认证跳转页面配置类中增加无权访问页面跳转配置请求测试前后分离配置先创建无权监测类修改配置类测试代码下载 前言 前面的博客中,针对基于内存、基于数据库的方式实现了用户的校验操作。 同时也对于基于内存、针对部分请求设定访问权限的操作,也做了大致的配置和测试展示。 本篇博客做的内容 自定义403 无权访问页面; 以及前后分离 403的提示。 项目创建 springboot-security-07。 环境、配置等 参照springboot-security-0
Spring Security配置访问权限在登录页循环并报错302
个人学习笔记库,一篇一篇记录成长的足迹
03-25 2563
spring security登录时陷入登录页面的循环,返回302状态码的问题。
Spring Security登录后一直跳转登录页面原因分析
oPeiJie1的博客
04-11 6362
,主要是分析由于存在多个RequestCache对象,当资源服务器接管路径的配置不正确时,无法获取正确的RequestCache对象,导致无法得到授权码。获取授权码的时候,因为此时没有登陆,所以会将我们重定向到登录页面/login,在重定向之前还有一个动作就是缓存本次请求。既然我们是因为无法从缓存中拿到之前的请求而导致再次被重定向到登录界面的,那我们就看一下,获取缓存请求是怎么执行的?至此,我们晓得了,为什么我们得不到缓存请求,被一直重定向到登录页面,那如何解决呢?输入正确的用户名和密码,点击登录。
Spring Security 一直 403 Forbidden 无权限访问被拒绝
zgy956645239的博客
08-31 5848
1、配置路径权限 //SpringSecurity配置信息 public void configure(HttpSecurity http) throws Exception { http //关闭跨站请求防护 .cors() .and() .csrf() .disable() //
spring scurity跳转页面
最新发布
08-03
在使用 Spring Security 时,页面跳转的配置和问题解决主要围绕认证(登录)和授权(权限不足)的跳转行为。以下是几种常见的配置方式和问题解决方案。 ### 3.1 登录页面跳转配置 在默认情况下,Spring Security 会自动跳转到内置的登录页面。如果希望自定义登录页面,可以在 `HttpSecurity` 的配置中使用 `.loginPage("/login.html")` 方法,指向自定义的登录页面。 ```java @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() .loginPage("/login.html") // 自定义登录页面 .loginProcessingUrl("/login") // 处理登录请求的 URL .successForwardUrl("/main") // 登录成功后跳转的 URL .failureForwardUrl("/fail"); // 登录失败后跳转的 URL } ``` 上述配置中,`.loginPage("/login.html")` 表示自定义的登录页面路径,`.successForwardUrl("/main")` 表示登录成功后跳转的路径,而 `.failureForwardUrl("/fail")` 表示登录失败后跳转的路径[^2]。 ### 3.2 登录成功或失败的跳转处理 在 Spring Security 中,可以通过实现 `AuthenticationSuccessHandler` 或 `AuthenticationFailureHandler` 接口来自定义登录成功或失败的跳转逻辑。 ```java @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin() .successHandler((request, response, authentication) -> { response.sendRedirect("/main"); // 登录成功后的跳转 }) .failureHandler((request, response, exception) -> { response.sendRedirect("/fail"); // 登录失败后的跳转 }); } ``` 通过 `.successHandler()` 和 `.failureHandler()` 可以灵活地控制跳转逻辑,甚至可以基于用户的权限或角色进行不同的跳转操作。 ### 3.3 访问无权限资源时的跳转 当用户尝试访问一个没有权限的资源时,Spring Security 默认会跳转到登录页面。如果希望在用户已经登录但仍然没有权限访问某个资源时跳转到特定的拒绝访问页面,可以通过配置 `accessDeniedPage()` 方法来实现。 ```java @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .and() .exceptionHandling() .accessDeniedPage("/access-denied"); // 无权限跳转页面 } ``` 通过 `.accessDeniedPage("/access-denied")`,可以指定用户在访问被拒绝资源时跳转页面[^3]。 ### 3.4 禁止跳转到登录页面 在某些场景下(如前后端分离应用),可能不希望 Spring Security 自动跳转到登录页面,而是返回一个 JSON 格式的错误信息。可以通过禁用表单登录 `.formLogin().disable()` 并自定义异常处理来实现。 ```java @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin().disable() .exceptionHandling() .authenticationEntryPoint((request, response, authException) -> { response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized"); }); } ``` 通过禁用 `.formLogin()` 并设置 `.authenticationEntryPoint()`,可以阻止 Spring Security 自动跳转到登录页面,而是返回一个 401 未授权的错误信息[^1]。 ### 3.5 忽略某些路径的安全检查 如果某些路径(如静态资源、API 接口)不需要进行安全检查,可以通过 `WebSecurityCustomizer` 来忽略这些路径。 ```java @Bean public WebSecurityCustomizer webSecurityCustomizer() { return web -> web.ignoring().requestMatchers("/resources/**", "/static/**"); } ``` 通过 `.ignoring().requestMatchers()` 可以指定不需要经过 Spring Security 过滤器链的路径,从而避免不必要的跳转[^1]。 ### 3.6 总结 Spring Security 提供了多种方式来配置页面跳转行为,包括: - 自定义登录页面和登录成功/失败的跳转; - 无权限访问时的跳转; - 禁止自动跳转到登录页面; - 忽略某些路径的安全检查。 通过合理配置这些选项,可以灵活控制 Spring Security跳转逻辑,满足不同场景下的需求。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值