Spring Security(3)——异常处理

最新推荐文章于 2025-07-07 17:29:05 发布
原创 最新推荐文章于 2025-07-07 17:29:05 发布 · 3.1k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Spring Security

本文详细介绍了SpringSecurity中常见的异常类型及其处理流程,包括UsernameNotFoundException、DisabledException等,并通过实例展示了如何自定义异常处理和配置Controller来捕获并显示异常信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

异常处理

我们在这里只是介绍下Spring Security的简单的异常的抓取。并不做源码的分析。

一, 常见的异常
  • UsernameNotFoundException
    用户不存在,但是我程序中抛出该异常的时候,常常抓取到的是BadCredentialsException异常
    这种情况,我们可以自定义异常,继承AuthenticationException 类
  • DisabledException
    用户已经被禁用
  • BadCredentialsException
    坏的凭证
  • LockedException
    账户锁定
  • AccountExpiredException
    账户过期
  • CredentialsExpiredException
    证书过期

    上面的这些异常都是AuthenticationException的子类。
二, spring security的异常处理过程

(1)AbstractAuthenticationProcessingFilter.doFilter()

(2)AbstractAuthenticationProcessingFilter.unsuccessfulAuthentication()

(3)SimpleUrlAuthenticationFailureHandler.onAuthenticationFailure()

  • 这个方法中,首先会判断有没有设置的defaultFailureUrl
  • 如果没有设置,直接返回401错误,即HttpStatus.UNAUTHORIZED
  • 如果设置了首先会执行saveException方法,然后判断forwardToDestination,即是否服务器跳转,默认使用重定向。

(4)SimpleUrlAuthenticationFailureHandler.saveException()

  • 首先判断forwardToDestination
  • 如果使用服务器跳转则写入Request(转发)
  • 如果使用客户端跳转则写入Session(重定向)
  • 将对应的异常信息,写到SPRING_SECURITY_LAST_EXCEPTION ,值为 BadCredentialsException
三, 异常抓取代码

异常的抓取我们需要自己写一个Controller去接取配置的若出错重定向到的页面

  • 配置类
/**
     * 定制登陆行为
     * @param http
     * @throws Exception
     */
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin().loginPage("/login")
                .defaultSuccessUrl("/sayHello")
                .failureUrl("/login/error")
                .permitAll()
                .and()
                .logout().permitAll()
                // 自动登录的校验
                .and().rememberMe()
                .tokenRepository(persistentTokenRepository())
                // 声明有效时间,单位是s
                .tokenValiditySeconds(60)
                // 进行校验的service
                .userDetailsService(userDetailsService);

        // 关闭CSRF
        http.csrf().disable();
    }

里面的.
(1)failureUrl():这个表示的就是重定向,就是客户端跳转,写到session中
(2).failureForwardUrl():这个方法表示的是转发,就是服务端跳转,写到request中

  • Controller类
    @RequestMapping("/login/error")
    public void loginError(HttpServletRequest request, HttpServletResponse response) {
        response.setContentType("text/html;charset=utf-8");
        AuthenticationException exception =
                (AuthenticationException)request.getSession().getAttribute("SPRING_SECURITY_LAST_EXCEPTION");
        try {
            response.getWriter().write(exception.toString());
        }catch (IOException e) {
            e.printStackTrace();
        }
    }
Spring Security 异常处理
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 314
org.springframework.security.authentication.BadCredentialsException: 用户名或密码错误。当我们登录的时候,如果用户名找不到,则抛出:UsernameNotFoundException,可以被拦截到LoginFailureHandler。因为UsernameNotFoundException继承自:AuthenticationException。
SpringSecurity系列——简单自定义登录流程day1-3
qq_51553982的博客
06-19 1218
SpringSecurity的原理其实是个过滤器链,其内部包含了各式各样功能各异的过滤器,通过这些过滤器,对消息进行拦截、放行、处理操作 这里你可以看到filters中的共计16个过滤器了 2.编写yaml 3.编写entity,mapper User UserMapper 4.自定义登录表单对象实现UserDetails接口 5.自定义UserDetailsServiceImpl实现UserDetailsService 6.修改数据库密码 添加{noop}表示明文存储 访问 使用数据库中的用户
Spring Security之安全异常处理
Evan_L的博客
07-17 2205
Spring Security中,特指对于安全异常的处理。我们知道Spring Security主要是基于过滤器来实现的,因此每个安全过滤器都可能发生安全异常,所以处理逻辑会被散落在各个过滤器中。Spring自然是不能忍受这种设计,于是就有了专门的安全异常处理。注:下文我们都用异常处理来代指安全异常处理异常处理体系包括异常定义分两类 —— 认证异常、访问拒绝异常(鉴权异常)
spring Security 异常处理
weixin_52834606的博客
09-06 5354
spring security 前后端分离 异常处理
springsecurity03--异常拦截处理(认证异常、权限异常)
最新发布
yang_xiao_wu_的博客
07-07 251
第一次测试,测试登陆失败返回结果。第二次,权限不足返回结果。
Spring Security异常处理
大后生大大大的博客
12-09 3652
ExceptionTranslationFilter、AuthenticationEntryPoint、AccessDeniedHandler、自定义异常配置
SpringSecurity系列——自定义登录退出成功处理day5-3(源于官网5.7.2版本)
qq_51553982的博客
07-26 1461
根据上方官方文档的解释我们在前后端分离的项目中,并不需要用户退出后让后端进行重定向,而是要让后端提供给前端一个json数据以确定退出成功而且我们只要对LogoutSuccessHandler接口进行实现即可data.put("msg","退出登录成功");}}......
SpringSecurity】认证与鉴权框架SpringSecurity——授权
低调做人,低调编码,神码都是浮云
06-24 1555
认证与鉴权框架SpringSecurity——授权
Spring Security——基于MyBatis
戏拈秃笔的博客
06-13 1279
国内目前常用的两个数据库操作框架:Spring Data JPA和MyBatis,只需掌握一个即可
SpringSecurity异常处理
拒绝熬夜啊的博客
11-30 1633
SpringSecurity——异常处理 一、常见异常 我们先来列举下一些 Spring Security 中常见的异常: UsernameNotFoundException(用户不存在) DisabledException(用户已被禁用) BadCredentialsException(坏的凭据) LockedException(账户锁定) AccountExpiredException (账户过期) CredentialsExpiredException(证书过期) 二、处理异常 (1) 指定错误U
拒绝访问异常处理(AccessDeniedException)_spring security例子
09-23
拒绝访问异常处理(AccessDeniedException)_spring security例子 博客:blog.youkuaiyun.com/dsundsun
SpringSecurity源码学习二:异常处理
qq_27586963的博客
10-15 1007
首先,ExceptionTranslationFilter 调用 FilterChain.doFilter(request, response) 来调用应用程序的其他过滤器。如果用户没有被认证,或者是一个 AuthenticationException,那么就开始认证,SecurityContextHolder 被清理掉。HttpServletRequest 被保存起来,这样一旦认证成功,它就可以用来重放原始请求。AuthenticationEntryPoint 用于请求客户的凭证。
SpringSecurity(自定义异常处理
Mr_Zerone的博客
05-07 601
*** 认证失败处理器*/@Component@OverrideCustomerResult result = new CustomerResult().code(HttpStatus.UNAUTHORIZED.toString()).msg("用户认证失败");// 处理异常/*** 授权失败处理器*/@Component@Override。
捕获SpringSecurity异常,进行统一返回
wuhao2343的博客
02-22 2590
需要捕获SpringSecurity中的异常,通过统一返回类封装后返回给前端,但是使用@ControllerAdvice的全局异常处理器无法捕获到SpringSecurity中的异常,原因如下:在SpringSecurity中,如果认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。​所以如果我们需要自定义异常处理,我们只需要实现AuthenticationEntryPoint和AccessDeniedHandler接口然后配置给SpringSecurity即可。
一文搞定 Spring Security 异常处理机制!
江南一点雨的专栏
06-30 1万+
今天来和小伙伴们聊一聊 Spring Security 中的异常处理机制。 在 Spring Security 的过滤器链中,ExceptionTranslationFilter 过滤器专门用来处理异常,在 ExceptionTranslationFilter 中,我们可以看到,异常被分为了两大类:认证异常和授权异常,两种异常分别由不同的回调函数来处理,今天松哥就来和大家分享一下这里的条条框框。 1.异常分类 Spring Security 中的异常可以分为两大类,一种是认证异常,一种是授权异常。 认证异常
SpringSecurity学习之路3-异常处理,APP与浏览器端的不同
kevin
05-02 768
SpringSecurity学习之路1 SpringSecurity学习之路2-处理创建请求,数据校验 本篇将会介绍到的有:SpringBoot关于异常处理的介绍,其中包括SpringBoot异常处理原理(浏览器与APP的不同)、自定义异常处理方式。 看以下代码,我直接抛出了一个运行时异常: 启动之后,通过浏览器访问时会显示以下错误信息: 通过APP访问该地址时(Restlet...
SpringBoot集成Spring Security3)——异常处理
热门推荐
Jitwxs
05-09 2万+
Step1 常见异常 Step2 源码分析 Step3 处理异常 不知道你有没有注意到,当我们登陆失败时候,spring security帮我们跳转到了/login?error,奇怪的是不管是控制台还是网页上都没有打印错误信息。 这是因为首先/login?error是spring security默认的失败url,其次如果你不手动处理这个异常,这个异常是不会被处理...
如何进一步定制化Spring Security中的异常处理机制?
01-15
### 自定义 Spring Security 异常处理机制 为了实现更灵活的错误响应,在 Spring Security 中可以自定义异常处理逻辑。这不仅有助于提高用户体验,还能增强系统的健壮性和可维护性。 #### 创建全局异常处理器 通过创建一个实现了 `HandlerExceptionResolver` 接口或标注有 `@ControllerAdvice` 注解的类来捕获并处理未被控制器层捕捉到的安全相关异常[^1]: ```java @ControllerAdvice public class GlobalExceptionHandler { @ExceptionHandler(AccessDeniedException.class) public ResponseEntity<String> handleAccessDeniedException() { return new ResponseEntity<>("You do not have permission to access this resource.", HttpStatus.FORBIDDEN); } @ExceptionHandler(AuthenticationException.class) public ResponseEntity<String> handleAuthenticationException() { return new ResponseEntity<>("Invalid credentials provided.", HttpStatus.UNAUTHORIZED); } } ``` 上述代码片段展示了两个常见的安全异常——访问拒绝 (`AccessDeniedException`) 和认证失败 (`AuthenticationException`) 的处理方式。每当这些特定类型的异常抛出时,就会触发相应的方法执行,并返回带有适当 HTTP 状态码的消息给客户端。 #### 配置自定义的身份验证入口点 对于想要改变默认行为的情况,比如当用户尝试登录但未能成功时所看到的信息页面或者重定向路径,则可以通过设置自定义的身份验证入口来进行调整: ```java @Override protected void configure(HttpSecurity http) throws Exception { http.exceptionHandling() .authenticationEntryPoint(new CustomAuthenticationEntryPoint()); } // 定义自己的 AuthenticationEntryPoint 实现 public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint { @Override public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException { // 设置响应头和状态码等操作... response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Unauthorized"); } } ``` 这里展示了一个简单的例子,其中 `CustomAuthenticationEntryPoint` 类负责在发生未经授权请求的情况下向客户端发送 401 错误以及一条消息说明原因。 #### 使用过滤器链中的异常转换器 有时可能希望将某些内部发生的低级异常映射成更高层次的应用程序级别的异常以便更好地控制其传播范围。这时可以在配置文件里指定一个 `ExceptionTranslationFilter` 来完成这项工作: ```java @Bean public ExceptionTranslationFilter exceptionTranslationFilter() { ExceptionTranslationFilter filter = new ExceptionTranslationFilter(); // 可以为不同的原始异常类型分配对应的高级别异常对象 Map<Class<? extends Throwable>, AccessDeniedException> mapping = Collections.singletonMap( SomeInternalException.class, (AccessDeniedException)new AccessDeniedException("Mapped from internal error.") ); filter.setExceptionMapping(mapping); return filter; } ``` 这段代码允许开发者根据实际需求定义从一种异常到另一种之间的映射关系,从而简化了跨组件间的异常管理流程
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值