Spring Security(八) —— 异常处理

最新推荐文章于 2025-05-23 21:37:11 发布
最新推荐文章于 2025-05-23 21:37:11 发布
阅读量1.3k 收藏 4
点赞数 2
CC 4.0 BY-SA版权
分类专栏: java 文章标签: spring security 异常处理
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/tongkongyu/article/details/125990980
本文介绍了SpringSecurity框架中的异常体系,包括AuthenticationException和AccessDeniedException,并详细阐述了如何自定义认证和授权异常处理,通过创建CustomAuthenticationEntryPoint和CustomAccessDeniedHandler实现异常信息的返回。最后展示了在configure方法中配置自定义异常处理的步骤。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一:异常体系

Spring Security中异常主要分为两大类:

  • AuthenticationException:认证异常
  • AccessDeniedException:授权异常

其中认证所涉及的异常类型比较多,默认有18种,如下:
在这里插入图片描述
相比于认证异常,权限异常类就要少了很多,默认提供的权限异常如下:
在这里插入图片描述

二:自定义异常配置

在实际开发中,默认异常是无法满足需求的,需要大量的自定义异常类,Spring Security提供了两个方法来配置:

  • authenticationEntryPoint():认证自定义异常
  • accessDeniedHandler():授权自定义异常

至于这两个方法怎么使用,我们可以进入源码看看

首先是authenticationEntryPoint(),可以看到,该方法要求我们传入AuthenticationEntryPoint的对象

	public ExceptionHandlingConfigurer<H> authenticationEntryPoint(
			AuthenticationEntryPoint authenticationEntryPoint) {
		this.authenticationEntryPoint = authenticationEntryPoint;
		return this;
	}

进入AuthenticationEntryPoint接口,可以看到只有一个方法,因此在authenticationEntryPoint方法中可以直接传入Lambda表达式,但那样写不美观,配置与实现应该分离,因此我们可以新建一个类去实现这个接口

public interface AuthenticationEntryPoint {
	/**
	 * 处理认证访问相关异常
	 * @param request 导致AuthenticationException的请求
	 * @param response 响应
	 * @param authException 异常信息
	 */
	void commence(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException authException) throws IOException, ServletException;
}

public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        Map<String, Object> result = new HashMap<>();
        result.put("code", 400);
        result.put("msg", authException.getMessage());
        response.setContentType("application/json;charset=UTF-8");
        String s = new ObjectMapper().writeValueAsString(result);
        response.getWriter().println(s);
    }
}

accessDeniedHandler()方法同理,其源码如下:

	public ExceptionHandlingConfigurer<H> accessDeniedHandler(
			AccessDeniedHandler accessDeniedHandler) {
		this.accessDeniedHandler = accessDeniedHandler;
		return this;
	}

进入AccessDeniedHandler接口:

public interface AccessDeniedHandler {
	/**
	 * 处理权限访问相关异常
	 * @param request 导致AccessDeniedException的请求
	 * @param response 响应
	 * @param accessDeniedException 异常信息
	 */
	void handle(HttpServletRequest request, HttpServletResponse response,
			AccessDeniedException accessDeniedException) throws IOException,
			ServletException;
}

因此我们可以这样实现:

public class CustomAccessDeniedHandler implements AccessDeniedHandler {
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        Map<String, Object> result = new HashMap<>();
        result.put("code", 400);
        result.put("msg", accessDeniedException.getMessage());
        response.setContentType("application/json;charset=UTF-8");
        String s = new ObjectMapper().writeValueAsString(result);
        response.getWriter().println(s);
    }
}

最后再在configure中将自定义处理配置进去:

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .mvcMatchers("/hello1").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .successHandler(new CustomAuthenticationSuccessHandler())
                .failureHandler(new CustomAuthenticationFailureHandler())
                .and()
                .logout()
                .logoutSuccessHandler(new CustomLogoutSuccessHandler())
                // 异常处理
                .and()
                .exceptionHandling()
                .authenticationEntryPoint(new CustomAuthenticationEntryPoint())  // 认证异常
                .accessDeniedHandler(new CustomAccessDeniedHandler())  // 授权异常;
    }

如果有兴趣了解更多相关内容,欢迎来我的个人网站看看:瞳孔的个人网站

Spring Security之安全异常处理
Evan_L的博客
07-17 2167
Spring Security中,特指对于安全异常的处理。我们知道Spring Security主要是基于过滤器来实现的,因此每个安全过滤器都可能发生安全异常,所以处理逻辑会被散落在各个过滤器中。Spring自然是不能忍受这种设计,于是就有了专门的安全异常处理。注:下文我们都用异常处理来代指安全异常处理异常处理体系包括异常定义分两类 —— 认证异常、访问拒绝异常(鉴权异常
SpringSecurity系列——简单自定义登录流程day1-3
qq_51553982的博客
06-19 1213
SpringSecurity的原理其实是个过滤器链,其内部包含了各式各样功能各异的过滤器,通过这些过滤器,对消息进行拦截、放行、处理操作 这里你可以看到filters中的共计16个过滤器了 2.编写yaml 3.编写entity,mapper User UserMapper 4.自定义登录表单对象实现UserDetails接口 5.自定义UserDetailsServiceImpl实现UserDetailsService 6.修改数据库密码 添加{noop}表示明文存储 访问 使用数据库中的用户
SpringSecurity-4-AuthenticationFailureHandler接口(登录失败之后的处理逻辑)
文天大人
09-14 9827
怀念二抱三抱
史上最简单的Spring Security教程(十):AuthenticationFailureHandler高级用法
银河架构师的博客
07-07 1万+
在前面,我们简述了如何自定义用户登录失败页面。但是,在工作中,所遇到的业务场景压根不会这么简单。 比如要求记录登录失败时的IP、时间、SessionId;发送登录失败提醒到微信、邮箱、短信,提醒用户当前登录失败事件;同时记录到日志中,或者发送到远端日志监控平台,分析是否是攻击行为等等。 而这一切,Spring Security框架非常贴心的提供了AuthenticationFailureHandler接口,当然了,框架同时也提供了一些简单的实现,最重要的,用户可自行扩展,以满足不同的业务场景...
AuthenticationEntryPoint使用
最新发布
az44yao的专栏
05-23 39
所有需要被认证的请求 都会走FilterSecurityInterceptor 这个拦截器会去判断是否认证,是否有权限访问,,如果没有权限,,,会被跳到 ExceptionTranslateFilter这个filter中。当用户尝试访问受保护的资源而未经过身份验证,,或者身份验证失败的时候,调用。ExceptionTranslateFilter : 处理身份验证和访问控制过程中的异常,,主要捕获spring security中抛出的异常,,并根据异常的类型,,来处理。
Spring Security】AuthenticationFailureHandler 用户认证失败后处理
杜小舟的博客
12-28 2618
`AuthenticationFailureHandler` 主要是做用户认证失败后调用的处理器,这里的失败一般是指用户名或密码错误。当出现错误后,该处理器就会被调用,一般在开发中,会自己实现一个处理器,用来给前端返回一些已经商量好的异常码,下面分成两大块,先简单介绍一下官方给的一些用户失败后的处理器,再介绍我们自己实现的自定义处理器。
Spring Security 入门 自定义认证失败处理器
SheTing'Blog
04-16 941
实现接口 AuthenticationFailureHandler 自定义认证成功处理器 @Component public class CustomAuthenticationFailureHandler implements AuthenticationFailureHandler { @Override public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse respons
Spring Security自定义登录失败处理
Leon_Jinhai_Sun的博客
05-05 1887
和自定义登录成功处理一样,Spring Security 同样为前后端分离开发提供了登录失败的处理,这个类就是 AuthenticationFailureHandler,源码为: public interface AuthenticationFailureHandler { /** * Called when an authentication attempt fails. * @param request the request during which the authenticatio
SpringSecurity系列——自定义登录退出成功处理day5-3(源于官网5.7.2版本)
qq_51553982的博客
07-26 1447
根据上方官方文档的解释我们在前后端分离的项目中,并不需要用户退出后让后端进行重定向,而是要让后端提供给前端一个json数据以确定退出成功而且我们只要对LogoutSuccessHandler接口进行实现即可data.put("msg","退出登录成功");}}......
SpringSecurity】认证与鉴权框架SpringSecurity——授权
低调做人,低调编码,神码都是浮云
06-24 1516
认证与鉴权框架SpringSecurity——授权
Spring Security——基于MyBatis
戏拈秃笔的博客
06-13 1263
国内目前常用的两个数据库操作框架:Spring Data JPA和MyBatis,只需掌握一个即可
SpringSecurity系列 之 AuthenticationEntryPoint接口及其实现类的用法
向心行者
09-24 2万+
1、AuthenticationEntryPoint接口 1.1、简介   被ExceptionTranslationFilter用来作为认证方案的入口,即当用户请求处理过程中遇见认证异常时,被异常处理器(ExceptionTranslationFilter)用来开启特定的认证流程。接口定义如下: public interface AuthenticationEntryPoint { void commence(HttpServletRequest request, HttpServletRespons
捕获SpringSecurity异常,进行统一返回
a1k2l45k的博客
04-19 635
SpringSecurity中,如果认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。所以如果我们需要自定义异常处理,我们只需要实现AuthenticationEntryPoint和AccessDeniedHandler接口然后配置给SpringSecurity即可。
SpringSecurity 登录处理
weixin_45295046的博客
02-13 824
failureForwardUrl 方法的底层实现逻辑就是 ForwardAuthenticationFailureHandler。(2)ExceptionMappingAuthenticationFailureHandler 可以实现根据不同的异常类型,映射。(1)SimpleUrlAuthenticationFailureHandler 默认的处理逻辑就是通过重定向跳转到登录页。(5)DelegatingAuthenticationFailureHandler 可以实现为不同的异常类型配置不同的登录。
深入浅出SpringSecurity读书笔记-第二章-SpringSecurity认证-01
qq_31693055的博客
07-21 402
快速入门: 1.引入Spring Security依赖: <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dep...
Spring Security Web : AuthenticationEntryPoint 认证入口点及其实现类简介
热门推荐
Details Inside Spring
06-09 4万+
AuthenticationEntryPoint简介 AuthenticationEntryPointSpring Security Web一个概念模型接口,顾名思义,他所建模的概念是:“认证入口点”。 它在用户请求处理过程中遇到认证异常时,被ExceptionTranslationFilter用于开启特定认证方案(authentication schema)的认证流程。 该接口只定义了一个方法...
Spring Security系列之认证(Authentication)架构
Carroll的博客
06-17 1059
AbstractAuthenticationProcessingFilter 被用作验证用户凭证的基础 Filter。在认证凭证之前,Spring Security 通常通过使用AuthenticationEntryPoint 来请求凭证。接下来,AbstractAuthenticationProcessingFilter 可以对提交给它的任何认证请求进行认证。
Spring Security 实战干货: 401和403状态
码农小胖哥
07-27 6063
1. 前言最近几篇我对Spring Security中用户认证流程进行了分析,同时在分析的基础上我们实现了一个验证码登录认证的实战功能。当认证失败后交给了AuthenticationFa...
Spring Security系列教程07--前后端分离时的安全处理方案
一一哥
09-17 2898
前言 在前面的几个章节中,一一哥 带大家学会了如何利用Spring Security来保护我们的Web项目,以及3种认证方式。你可能会觉得,Spring Security没啥东西啊,代码也不复杂呀!别急,我们的学习是渐进的,Spring Security的内容和功能都多着呢,我们要Get的点也多着呢。 今天 一一哥 就带大家来学习一下在前后端分离的开发模式下,如何保护我们项目的安全。有的小伙伴会问,啥是前后端分离啊?如果你对此一无所知,一一哥 只能建议你先查阅一下相关资料,本文 一一哥 只能带你简单了解
如何进一步定制化Spring Security中的异常处理机制?
01-15
### 自定义 Spring Security 异常处理机制 为了实现更灵活的错误响应,在 Spring Security 中可以自定义异常处理逻辑。这不仅有助于提高用户体验,还能增强系统的健壮性和可维护性。 #### 创建全局异常处理器 通过创建一个实现了 `HandlerExceptionResolver` 接口或标注有 `@ControllerAdvice` 注解的类来捕获并处理未被控制器层捕捉到的安全相关异常[^1]: ```java @ControllerAdvice public class GlobalExceptionHandler { @ExceptionHandler(AccessDeniedException.class) public ResponseEntity<String> handleAccessDeniedException() { return new ResponseEntity<>("You do not have permission to access this resource.", HttpStatus.FORBIDDEN); } @ExceptionHandler(AuthenticationException.class) public ResponseEntity<String> handleAuthenticationException() { return new ResponseEntity<>("Invalid credentials provided.", HttpStatus.UNAUTHORIZED); } } ``` 上述代码片段展示了两个常见的安全异常——访问拒绝 (`AccessDeniedException`) 和认证失败 (`AuthenticationException`) 的处理方式。每当这些特定类型的异常抛出时,就会触发相应的方法执行,并返回带有适当 HTTP 状态码的消息给客户端。 #### 配置自定义的身份验证入口点 对于想要改变默认行为的情况,比如当用户尝试登录但未能成功时所看到的信息页面或者重定向路径,则可以通过设置自定义的身份验证入口来进行调整: ```java @Override protected void configure(HttpSecurity http) throws Exception { http.exceptionHandling() .authenticationEntryPoint(new CustomAuthenticationEntryPoint()); } // 定义自己的 AuthenticationEntryPoint 实现 public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint { @Override public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException { // 设置响应头和状态码等操作... response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized"); } } ``` 这里展示了一个简单的例子,其中 `CustomAuthenticationEntryPoint` 类负责在发生未经授权请求的情况下向客户端发送 401 错误以及一条消息说明原因。 #### 使用过滤器链中的异常转换器 有时可能希望将某些内部发生的低级异常映射成更高层次的应用程序级别的异常以便更好地控制其传播范围。这时可以在配置文件里指定一个 `ExceptionTranslationFilter` 来完成这项工作: ```java @Bean public ExceptionTranslationFilter exceptionTranslationFilter() { ExceptionTranslationFilter filter = new ExceptionTranslationFilter(); // 可以为不同的原始异常类型分配对应的高级别异常对象 Map<Class<? extends Throwable>, AccessDeniedException> mapping = Collections.singletonMap( SomeInternalException.class, (AccessDeniedException)new AccessDeniedException("Mapped from internal error.") ); filter.setExceptionMapping(mapping); return filter; } ``` 这段代码允许开发者根据实际需求定义从一种异常到另一种之间的映射关系,从而简化了跨组件间的异常管理流程。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值