Spring Security 自定义 AuthenticationEntryPoint 和 AccessDeniedHandler(匿名/已认证)的用户访问无权限资源时的异常

最新推荐文章于 2025-05-23 21:37:11 发布
最新推荐文章于 2025-05-23 21:37:11 发布
阅读量4k 收藏 8
点赞数
CC 4.0 BY-SA版权
分类专栏: Spring
原文链接:https://blog.youkuaiyun.com/xixiyuguang/article/details/109072468?utm_medium=distribute.pc_relevant_t0.none-task-blog-BlogCommendFromMachineLearnPai2-1.control&dist_request_id=03aaabf6-0c42-4a3a-b4d9-e5e2607f636b&depth_1-utm_source=distribute.pc_relevant_t0.non
本文介绍了Spring Security中的AuthenticationEntryPoint和AccessDeniedHandler,它们分别处理匿名用户和已认证用户访问无权限资源的异常。AuthenticationEntryPoint用于启动认证流程,而AccessDeniedHandler则针对已认证但无权访问的情况返回错误信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

AuthenticationEntryPoint 用来解决匿名用户访问无权限资源时的异常

AccessDeineHandler 用来解决认证过的用户访问无权限资源时的异常
 

AuthenticationEntryPoint

AuthenticationEntryPoint 是 Spring Security Web 一个概念模型接口,顾名思义,他所建模的概念是:“认证入口点”。
它在用户请求处理过程中遇到认证异常时,被 ExceptionTranslationFilter 用于开启特定认证方案 (authentication schema) 的认证流程。

该接口只定义了一个方法 :

void commence(HttpServletRequest request, HttpServletResponse response,
			AuthenticationException authException) throws IOException, ServletException;

这里参数 request 是遇到了认证异常 authException 用户请求,response 是将要返回给客户的相应,方法 commence 实现,也就是相应的认证方案逻辑会修改 response 并返回给用户引导用户进入认证流程。

当用户请求了一个受保护的资源,但是用户没有通过认证,那么抛出异常,AuthenticationEntryPoint.Commence(..)就会被调用。这个对应的代码在ExceptionTranslationFilter中,如下,当ExceptionTranslationFilter catch到异常后,就会间接调用AuthenticationEntryPoint。

public class ExceptionTranslationFilter extends GenericFilterBean {
    private AuthenticationEntryPoint authenticationEntryPoint;
......
 
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest)req;
        HttpServletResponse response = (HttpServletResponse)res;
 
        try {
            chain.doFilter(request, response);
            this.logger.debug("Chain processed normally");
        } catch (IOException var9) {
            throw var9;
        } catch (Exception var10) {
            ......
 
            this.handleSpringSecurityException(request, response, chain, (RuntimeException)ase);
        }
 
    }
 
    private void handleSpringSecurityException(HttpServletRequest request, HttpServletResponse response, FilterChain chain, RuntimeException exception) throws IOException, ServletException {
        ......
        this.sendStartAuthentication(request, response, chain, (AuthenticationException)exception);
        ......
    }
 
    protected void sendStartAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, AuthenticationException reason) throws ServletException, IOException {
        SecurityContextHolder.getContext().setAuthentication((Authentication)null);
        this.requestCache.saveRequest(request, response);
        this.logger.debug("Calling Authentication entry point.");
        this.authenticationEntryPoint.commence(request, response, reason);
    }
......

匿名用户访问某个接口时

/**
 * 认证失败处理类 返回未授权
 * 用来解决匿名用户访问无权限资源时的异常
 */
@Component
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint, Serializable {
 
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException e)
            throws IOException {
        response.setCharacterEncoding("utf-8");
        response.setContentType("text/javascript;charset=utf-8");
        response.getWriter().print(JSONObject.toJSONString(RestMsg.error("没有访问权限!")));
    }
}

 

AccessDeniedHandler

AccessDeniedHandler 仅适用于已通过身份验证的用户。未经身份验证的用户的默认行为是重定向到登录页面(或适用于正在使用的身份验证机制的任何内容)。
 

已经授权但是没有访问权限

/**
 * 认证失败处理类 返回未授权
 * 用来解决认证过的用户访问无权限资源时的异常
 */
@Component
public class CustomAccessDeniedHandler implements AccessDeniedHandler {
 
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
            AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setCharacterEncoding("utf-8");
        response.setContentType("text/javascript;charset=utf-8");
        response.getWriter().print(JSONObject.toJSONString(RestMsg.error("没有访问权限!")));
    }
}

 

配置

public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Autowired
    private CustomAuthenticationEntryPoint authenticationEntryPoint;
    
    @Autowired
    private CustomAccessDeniedHandler customAccessDeniedHandler;
   
    // 省略部分代码
 
    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
         httpSecurity
                // 认证失败处理类
                .exceptionHandling()
                    .authenticationEntryPoint(authenticationEntryPoint)
                    .accessDeniedHandler(customAccessDeniedHandler);               
    }
 
    // 省略部分代码
 
}

 

Spring Security 6.x 系列(11)—— Form表单认证注销流程
gmHappy
12-18 8287
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
springsecurity配置AuthenticationFailureHandle后UserDetailsService的用户名为空?如何解决?
**My Coding Family**
04-28 766
🏆 本文收录于《全栈Bug调优(实战版)》专栏,致力于分享我在项目实战过程中遇到的各类Bug及其原因,并提供切实有效的解决方案。无论你是初学者还是经验丰富的开发者,本文将为你指引出一条更高效的Bug修复之路,助你早日登顶,迈向财富自由的梦想🚀!同,欢迎大家关注、收藏、订阅本专栏,更多精彩内容正在持续更新中。让我们一起进步,Up!Up!Up!    备注: 部分问题/难题源自互联网,但经过精心筛选整理,保证每一条解决方案都经过实战验证,真实可靠。
Spring Security:身份验证入口AuthenticationEntryPoint介绍与Debug分析
egegerhn的博客
08-02 1483
)允许将转换为HTTP响应。作为之一插入到中。SEC-112想要了解的过滤器链如何在Spring
AuthenticationEntryPointAccessDeniedHandler接口用法
cominglately的博客
12-20 1551
AuthenticationEntryPoint 接口是 Spring Security 中的一个接口,用于处理在用户尝试访问受保护资源出现的身份验证异常。它定义了一个方法 commence,该方法在身份验证失败被调用,允许应用程序自定义处理方式,例如重定向到登录页面、返回特定的错误响应等。AccessDeniedHandler 访问一个需要需要认证资源,身份认证成功(登录成功) 但是角色权限不足 该接口会被调用, 用来返回: 重定向到错误页面、返回特定的错误响应等。
AuthenticationEntryPoint使用
最新发布
az44yao的专栏
05-23 43
所有需要被认证的请求 都会走FilterSecurityInterceptor 这个拦截器会去判断是否认证,是否有权限访问,,如果没有权限,,,会被跳到 ExceptionTranslateFilter这个filter中。当用户尝试访问受保护的资源而未经过身份验证,,或者身份验证失败的候,调用。ExceptionTranslateFilter : 处理身份验证访问控制过程中的异常,,主要捕获spring security中抛出的异常,,并根据异常的类型,,来处理。
Spring Security教程(9)---- 自定义AccessDeniedHandler
z69183787的专栏
03-13 1万+
Spring默认的AccessDeniedHandler中只有对页面请求的处理,而没有对Ajax的处理。而在项目开发是Ajax又是我们要常用的技术,所以我们可以通过自定义AccessDeniedHandler来处理Ajax请求。我们在Spring默认的AccessDeniedHandlerImpl上稍作修改就可以了。 [java] view plaincopy
AuthenticationEntryPoint 与 AccessDeineHandler 的用法及区别
以爱护甲,爱满枫林。
03-03 4037
AuthenticationEntryPoint 用来解决匿名用户访问无权限资源异常 AccessDeineHandler 用来解决认证过的用户访问无权限资源异常 配置类: @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(prePostEnabled=true) public class MyWebSecur...
Springboot +spring security自定义认证授权异常处理器
weixin_40991408的博客
05-26 2071
Springboot +spring security自定义认证授权异常处理器
spring security 自定义URL权限权限校验异常
雷X峰
06-09 3049
Spring Security使用FilterSecurityInterceptor过滤器来进行URL权限校验,实际使用流程大致如下: 通过数据库动态配置url资源权限 系统启动,通过FilterSecurityInterceptor滤器到数据库加载系统资源权限列表 用户登陆通过自定义的UserDetailsService加载当前用户的角色列表 当有请求访问,通过FilterSecurityInterceptor对比系统资源权限列表用户资源权限列表(在用户登录添加到用户信息中)来判断用户是否有该
Spring Security自定义登录验证及登录返回结果
娃儿回家
07-16 6040
Spring Security自定义登录验证及登录返回结果一.功能描述二.处理逻辑简单流程自定义UserDetails自定义UserDetailsDAO自定义UserDetailsService自定义用户登录验证逻辑AuthenticationProvider三.Spring Security基本配置信息四.登录登出自定义处理器登录成功处理器LocalAuthenticationSuccessHandler登录失败处理器LocalAuthenticationFailureHandler登出成功处理器Loca
关于accessDeniedHandlerauthenticationEntryPoint 全局异常处理问题
u014226080的博客
11-17 2387
会在全局异常捕获前捕获异常;会在全局异常之后捕获。
Spring SecurityAccessDeniedHandler 用户无权限操作接口处理
杜小舟的博客
12-29 2685
AccessDeniedHandler 接口负责处理用户在没有足够权限访问资源的行为。当用户尝试访问他们没有权限的资源,这个处理器被触发。 官方是给了几个默认的处理器,当然,我们也可以自己自定义处理器,那么先简单介绍一下官方的处理器,然后再自己写一个自定义处理器。
AccessDeniedHandler 处理当访问被拒绝的逻辑
wddblog的博客
03-11 2246
Spring Security 中处理访问被拒绝情况的关键组件。通过实现配置这个接口,开发者可以定义自己的访问被拒绝处理逻辑,从而增强应用的安全性用户体验。无论是重定向用户、记录日志还是执行其他操作,都提供了一个灵活且强大的机制来实现这些功能。
Spring security 配置的AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
单筱风的博客
12-17 2万+
1.Spring Security 中的异常处理 我们在 Spring Security 实战干货系列文章中的 自定义配置类入口 WebSecurityConfigurerAdapter 一文中提到 HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口: AuthenticationEntryPoint 该类用来统一处理 AuthenticationEx
AuthenticationEntryPoint:实现自定义的未授权访问处理逻辑
wddblog的博客
03-14 3785
是一个接口,它用于定义当用户尝试访问受保护的资源但没有进行身份验证应该执行的操作。当用户未通过身份验证就尝试访问安全资源Spring Security会调用。现在,当用户尝试访问需要身份验证的资源但未通过身份验证Spring Security将使用我们自定义的。方法被重写以设置响应的状态码为401,并附带一条错误消息"Unauthorized access"。的实现来启动身份验证过程或提供有关未授权访问的反馈。下面是一个简单的示例,展示了如何实现一个自定义的。的bean,并将其设置为。
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
孟秋与你的博客
05-13 2万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
SpringSecurity系列 之 AuthenticationEntryPoint接口及其实现类的用法
热门推荐
向心行者
09-24 2万+
1、AuthenticationEntryPoint接口 1.1、简介   被ExceptionTranslationFilter用来作为认证方案的入口,即当用户请求处理过程中遇见认证异常,被异常处理器(ExceptionTranslationFilter)用来开启特定的认证流程。接口定义如下: public interface AuthenticationEntryPoint { void commence(HttpServletRequest request, HttpServletRespons
如何在Spring Security 的配置AuthenticationEntryPoint AccessDeniedHandler
05-27
Spring Security 中,可以通过配置 AuthenticationEntryPoint AccessDeniedHandler 来处理未经身份验证的访问请求访问被拒绝的情况。具体步骤如下: 1. 创建 AuthenticationEntryPoint AccessDeniedHandler 的实现类,并实现对应的方法。 2. 在 Spring Security 的配置类中,通过配置 http 对象的 `exceptionHandling()` 方法来设置 AuthenticationEntryPoint AccessDeniedHandler,例如: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private MyAuthenticationEntryPoint authenticationEntryPoint; @Autowired private MyAccessDeniedHandler accessDeniedHandler; @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasRole("USER") .anyRequest().authenticated() .and() .exceptionHandling() .authenticationEntryPoint(authenticationEntryPoint) .accessDeniedHandler(accessDeniedHandler) .and() .formLogin() .loginPage("/login") .permitAll() .and() .logout() .logoutUrl("/logout") .logoutSuccessUrl("/") .permitAll(); } } ``` 在上述的代码中,我们首先通过 `@Autowired` 注解将我们自己实现的 AuthenticationEntryPoint AccessDeniedHandler 注入进来。然后在 `configure()` 方法中,我们通过 `exceptionHandling()` 方法来配置 AuthenticationEntryPoint AccessDeniedHandler,最后将两个实现类传入对应的方法中即可。 需要注意的是,AuthenticationEntryPoint AccessDeniedHandler 都是针对不同的场景进行处理的,因此在配置需要区分清楚。AuthenticationEntryPoint 处理的是未经身份验证的访问请求,而 AccessDeniedHandler 处理的是访问被拒绝的情况。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值