AccessDeniedHandler 处理当访问被拒绝时的逻辑

原创 于 2024-03-11 22:09:12 发布 · 2.5k 阅读 · 10 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#spring boot #spring #java

AccessDeniedHandler是SpringSecurity的核心组件,用于在访问控制失败时提供统一的处理机制。开发者可以通过实现接口或扩展现有类定制错误处理逻辑,如重定向、记录日志或发送通知。配置时需在WebSecurityConfigurerAdapter中注册自定义的AccessDeniedHandler。

AccessDeniedHandler 是 Spring Security 框架中的一个关键组件,用于处理当访问被拒绝时的逻辑。在基于角色的访问控制(RBAC)或基于权限的访问控制(PBAC)系统中,当用户尝试访问他们没有权限的资源时,Spring Security 会触发 AccessDeniedHandler 来处理这种情况。

AccessDeniedHandler 的作用

AccessDeniedHandler 的主要作用是定义一个统一的、可配置的机制来处理访问被拒绝的情况。这可以包括重定向用户到一个错误页面、返回一个自定义的错误响应、记录一个安全事件,或者执行其他任何适当的逻辑。

通过实现 AccessDeniedHandler 接口或继承其现有的实现类(如 SimpleUrlAuthenticationFailureHandler),开发者可以灵活地定义当访问被拒绝时应用的行为。

AccessDeniedHandler 的实现

实现 AccessDeniedHandler 接口需要重写 handle 方法,该方法接受一个 HttpServletRequest 和一个 HttpServletResponse 对象作为参数。在这个方法中,开发者可以编写自定义的逻辑来处理访问被拒绝的情况。

import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
public class CustomAccessDeniedHandler implements AccessDeniedHandler {
@Override
public void handle(HttpServletRequest request, HttpServletResponse response,
AccessDeniedException accessDeniedException) throws IOException, ServletException {
// 在这里编写处理访问被拒绝的逻辑
// 例如,重定向到一个错误页面
response.sendRedirect(request.getContextPath() + "/error/accessDenied");
}
}

在这个示例中,当访问被拒绝时,用户将被重定向到一个名为 "/error/accessDenied" 的错误页面。

配置 AccessDeniedHandler

要在 Spring Security 中使用自定义的 AccessDeniedHandler,你需要在安全配置中将其注册。这通常是通过扩展 WebSecurityConfigurerAdapter 并重写 configure(HttpSecurity) 方法来完成的。

下面是一个配置示例:

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.access.AccessDeniedHandler;
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
// ... 其他安全配置 ...
.exceptionHandling()
.accessDeniedHandler(accessDeniedHandler());
}
@Bean
public AccessDeniedHandler accessDeniedHandler() {
return new CustomAccessDeniedHandler();
}
}

在这个配置中,我们创建了一个名为 accessDeniedHandler 的 Bean,并将其注入到 HttpSecurity 的 exceptionHandling 配置中。这样,当发生访问被拒绝的情况时,Spring Security 将使用我们的 CustomAccessDeniedHandler 来处理。

使用场景

AccessDeniedHandler 在以下场景中特别有用:

  1. 统一错误处理:为应用提供一个统一的访问被拒绝错误处理机制,确保用户体验的一致性。
  2. 日志记录:记录访问被拒绝的事件,以便于后续的安全审计和问题分析。
  3. 自定义重定向:根据应用的需要,将用户重定向到一个特定的错误页面或登录页面。
  4. 发送通知:在某些情况下,当访问被拒绝时,可能需要发送通知给管理员或用户。

总结

AccessDeniedHandler 是 Spring Security 中处理访问被拒绝情况的关键组件。通过实现和配置这个接口,开发者可以定义自己的访问被拒绝处理逻辑,从而增强应用的安全性和用户体验。无论是重定向用户、记录日志还是执行其他操作,AccessDeniedHandler 都提供了一个灵活且强大的机制来实现这些功能。

AuthenticationEntryPoint和AccessDeniedHandler接口用法
cominglately的博客
12-20 1704
AuthenticationEntryPoint 接口是 Spring Security 中的一个接口,用于处理在用户尝试访问受保护资源出现的身份验证异常。它定义了一个方法 commence,该方法在身份验证失败被调用,允许应用程序自定义处理方式,例如重定向到登录页面、返回特定的错误响应等。AccessDeniedHandler 访问一个需要需要认证的资源,身份认证成功(登录成功) 但是角色和权限不足 该接口会被调用, 用来返回: 重定向到错误页面、返回特定的错误响应等。
SpringSecurity: 授权和修改User配置角色和权限,修改loadUserByUsername方法,修改SpringSecurity配置类,控制Controller层接口权限,异常处理
qq_73126462的博客
01-22 2395
以用户所属角色为基础进行授权,如管理员、普通用户等,通过为用户分配角色来控制其对资源的访问权限。:以资源为基础进行授权,如 URL、方法等,通过定义资源所需的权限,来控制对该资源的访问权限。Spring Security 提供了多种实现授权的机制,最常用的是使用基于注解的方式,建立起访问资源和权限之间的映射关系。其中最常用的两个注解是@Secured和。@Secured注解是更早的注解,基于角色的授权比较适用,基于SpEL表达式的方式,可灵活定义所需的权限,通常用于基于资源的授权。
spring security webflux 跨域防护
weixin_43931625的博客
06-06 1948
springsecuritywebFlux跨域防护
Spring Security教程(9)---- 自定义AccessDeniedHandler
z69183787的专栏
03-13 1万+
Spring默认的AccessDeniedHandler中只有对页面请求的处理,而没有对Ajax的处理。而在项目开发是Ajax又是我们要常用的技术,所以我们可以通过自定义AccessDeniedHandler处理Ajax请求。我们在Spring默认的AccessDeniedHandlerImpl上稍作修改就可以了。 [java] view plaincopy
Spring Security】AccessDeniedHandler 用户无权限操作接口处理
杜小舟的博客
12-29 2901
AccessDeniedHandler 接口负责处理用户在没有足够权限访问某资源的行为。当用户尝试访问他们没有权限的资源,这个处理器被触发。 官方是给了几个默认的处理器,当然,我们也可以自己自定义处理器,那么先简单介绍一下官方的处理器,然后再自己写一个自定义处理器。
Spring security 配置的AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
热门推荐
单筱风的博客
12-17 2万+
1.Spring Security 中的异常处理 我们在 Spring Security 实战干货系列文章中的 自定义配置类入口 WebSecurityConfigurerAdapter 一文中提到 HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口: AuthenticationEntryPoint 该类用来统一处理 AuthenticationEx
AccessDeniedHandler
01-13
当用户尝试访问一个受保护的资源,但是由于缺乏相应的权限而被拒绝访问AccessDeniedHandler会被调用来处理该情况。 AccessDeniedHandler接口定义了一个方法handle(),该方法接收HttpServletRequest、...
springsecurity同配置了failureHandler和exceptionHandling,在AuthenticationProvider抛出异常只执行exceptionHandling定义的处理逻辑
03-14
根据引用[3],ExceptionTranslationFilter是处理过滤器链中抛出的认证和授权异常的关键组件,它会根据异常类型决定调用认证入口点(如登录页面跳转)或访问拒绝处理器。 现在,当同配置了failureHandler(如...
AccessDeniedHandler 里面写什么内容
05-27
当用户尝试访问一个被保护的资源但没有足够的权限AccessDeniedHandler 就会被触发。 在 AccessDeniedHandler 中,可以通过实现其 handle 方法来处理访问拒绝的情况。具体来说,可以在 handle 方法中编写一些...
springsecurity配置AccessDeniedHandler不生效,请问是什么原因
最新发布
08-24
Spring Security 中,自定义 `AccessDeniedHandler` 用于处理访问拒绝异常(`AccessDeniedException`),但配置后可能不生效。根据您提供的引用内容(特别是 [^1], [^2], [^3], [^4]),结合常见实践,以下是可能...
拒绝访问异常处理(AccessDeniedException)_spring security例子
09-23
拒绝访问异常处理(AccessDeniedException)_spring security例子 博客:blog.youkuaiyun.com/dsundsun
SpringSecurity自定义异常处理配置源码解析
当已认证用户访问受限资源而抛出 `AccessDeniedException`,则交由 `AccessDeniedHandler` 处理。因此,要实现自定义异常信息处理,关键在于替换这两个接口的默认实现。 具体而言,`AuthenticationEntryPoint` 的...
Spring-Security笔记6 自定义AccessDeniedHandler
杨毅的专栏
03-01 1万+
Spring默认的AccessDeniedHandler中只有对页面请求的处理,而没有对Ajax的处理。而在项目开发是Ajax又是我们要常用的技术,所以我们可以通过自定义AccessDeniedHandler处理Ajax请求。我们在Spring默认的AccessDeniedHandlerImpl上稍作修改就可以了。package com.fhzz.core.sercurity.handler;...
Spring Security 自定义 AuthenticationEntryPoint 和 AccessDeniedHandler(匿名/已认证)的用户访问无权限资源的异常
wangooo的博客
02-21 4103
AuthenticationEntryPoint简介 AuthenticationEntryPoint是Spring Security Web一个概念模型接口,顾名思义,他所建模的概念是:“认证入口点”。 它在用户请求处理过程中遇到认证异常,被ExceptionTranslationFilter用于开启特定认证方案(authentication schema)的认证流程。 AccessDeniedHandler AccessDeniedHandler仅适用于已通过身份验证的用户。未经身份验证的用户的默认
访问拒绝:“Access denied You do not have access…”,如何解决?
终码一生
01-18 2925
登录出现这个界面,说明你的IP被OpenAI拉黑了,OpenAI对比较频繁访问的云主机商屏蔽了相关的IP出口段,所以可能需要更换IP。说明:拒绝访问,您无法访问chat.openai.com。网站所有者可能设置了阻止您访问该网站的限制。2、尝试更换科学上网节点(欧美,东南亚节点较好),避免使用热门代理导致封号。1、清理浏览器缓存,尝试使用无痕浏览模式访问。3、休息一段间,在重新登陆账号。
Security 自定义异常 AccessDeniedHandler不生效解决
qq_39535439的博客
06-06 1516
ControllerAdvice\Security\AccessDeniedHandler\自定义异常不生效
spring security 3 配置 access-denied-handler
weixin_34342578的博客
01-20 1010
2019独角兽企业重金招聘Python工程师标准>>> ...
spring security中PreAuthorize注解中配置了AccessDeniedHandler没有生效问题
shan165310175的专栏
04-09 8488
版本: spring security 2.1.0.RELEASE 出现情况的配置: 在接口中增加了注解: @PreAuthorize("hasRole('ROLE_AAA')") @RequestMapping("/hello0") public String hello(){ return "HELLO"; } 在WebSecurityConfigurerAda...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

wddblog

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值