SpringBoot+SpringSecurity 认证失败返回错误信息

最新推荐文章于 2025-05-20 00:16:54 发布
转载 最新推荐文章于 2025-05-20 00:16:54 发布 · 7.7k 阅读 · 1 ·
CC 4.0 BY-SA版权
原文链接:https://juejin.im/post/5cc3ddf55188252d8b3ad825
文章标签:

#java #前端 #json #ViewUI

本文探讨了Spring Security如何处理登录验证。在AbstractAuthenticationProcessingFilter中,Spring Security拦截请求,UsernamePasswordAuthenticationFilter负责用户登录。当登录失败时,异常处理逻辑位于doFilter方法内。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

AbstractAuthenticationProcessingFilter

Spring Security对于请求是经过一系列Filter进行拦截的,其中用户登录验证这类的处理都是在UsernamePasswordAuthenticationFilter中,它继承自AbstractAuthenticationProcessingFilter。

在AbstractAuthenticationProcessingFilter里面对于登录失败这类异常的处理都在doFilter方法中

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
    	throws IOException, ServletException {
    
    HttpServletRequest request = (HttpServletRequest) req;
    HttpServletResponse response = (HttpServletResponse) res;
    
    if (!requiresAuthentication(request, response)) {
    	chain.doFilter(request, response);
    
    	return;
    }
最低0.47元/天 解锁文章

200万优质内容无限畅学
Spring Boot - 无法从Java对象进行反序列化
ByteGlide的博客
09-03 359
这个错误提示表明在进行对象反序列化时,Jackson框架无法找到合适的构造函数来创建对象实例。要解决这个问题,我们需要为对象添加一个默认构造函数或在对象中添加其他构造函数,并确保Jackson框架能够正确地使用这些构造函数来创建对象实例。当使用Spring Boot进行对象反序列化时,如果遇到类似的错误提示,我们需要确保对象具有默认构造函数或其他可用的构造函数,并通过。接下来,我们需要确保在进行对象反序列化时,Jackson框架能够正确地使用这些构造函数。如果你的对象有其他构造函数,你也可以添加它们。
SpringBoot+Spring Security+JWT(三更草堂)
Roc的博客
09-12 8340
Springsecurity是Spring家族中的一个安全管理框架。相比与另外一个安全框架shiro,它提供了更丰富的功能,社区资源也比Shiro丰富。一般来说中大型的项目都是使用来做安全框架。小项目有Shiro的比较多,因为相比与SpringSecurity,Shiro的上手更加的简单。—般Web应用的需要进行认证和授权。认证:验证当前访问系统的是不是本系统的用户,并且要确认具体是哪个用户授权:经过认证后判断当前用户是否有权限进行某个操作而认证和授权也是SpringSecurity作为安全框架的核心功能。
记录一下spring boot+spring security认证authorities反序列化失败的错误
m0_47576928的博客
07-30 4235
控制台报错如下: 2021-07-30 14:54:14.423 ERROR 2348 --- [nio-9002-exec-2] o.a.c.c.C.[.[.[/].[dispatcherServlet] : Servlet.service() for servlet [dispatcherServlet] in context with path [] threw exception [Request processing failed; nested exception is org.spr
Spring boot + Spring Security + Thymeleaf 认证失败返回错误信息
热门推荐
sun1021873926的博客
03-04 2万+
Spring boot +Spring Security + Thymeleaf 认证失败返回错误信息 经过验证,通过这样设置,完美的解决了我遇到的问题,到现在,我仍没有明白设置true的含义,望知道的读者可以告诉小编。 小编来总结哈,在Spring boot +Spring Security + Thymeleaf框架下,通过用户名/密码表单提交,在登录界面获取异常信息的步骤,主要有以下两点: 其一:将登录失败的url设置为”/login?error=true”(即后缀带?error=true),使前
Spring Security 登录失败后弹窗提示的一种方案
Fymphony的博客
05-20 963
Spring Security 登录失败怎么弹窗提示
springBoot安全配置SpringSecurity的使用密码验证框输入无效
kk12927的博客
06-29 1575
1.无效的效果: 不管怎么输入都是验证不通过的 2.可能出错原因:只配置了Spring-security的依赖包,而没有配置加密策略。但是我看我的已经配置了,但是还是没有反应。 3.但是我发现log里还是打印出了一串密钥,感觉像是没有调用我实现的方法。 4.最后想到一个可能,那就是我的加密策略适配器没有扫描进入Spring容器 于是,我看了一下包的结果,是配资的包在,com.mengxuegu.security.config 而启动程序在 com.ck(web启动),根据SpringBoot的加载策略
使用spring-security-oauth2做前后端分离时vue axios 报错‘No ‘Access-Control-Allow-Origin‘ header ‘ 的跨域问题
单筱风的博客
01-20 908
1.问题由来 以前只用spring-security做权限认证,也遇到过跨域问题主要是在后端的继承WebSecurityConfigurerAdapter 的类中配置下面的bean,然后前端vue配置代理来解决。 /** *Security推荐的跨域配置 */ @Bean public CorsConfigurationSource corsConfigurationSource() { CorsConfigurationSource source =
SpringBoot+SpringSecurity实现前后端分离安全认证Demo
最新发布
06-30
用户访问受保护接口 → Spring Security校验Token → 验证失败返回401 → 前端捕获状态码 → 跳转登录页 → 用户认证成功后获取新Token → 重新请求接口。 此方案实现了前后端职责分离:后端专注安全逻辑,前端处理...
SpringBoot+SpringSecurity+Jwt权限认证---认证
weixin_45987961的博客
12-10 673
1. 整体逻辑 1. SpringSecurity认证的逻辑规则 启动项目时,SpringBoot自动检索所有带@Configuration的注解,所以就将我们的WebSecurityConfig给加载了,这个config中,我们需要在configure(AuthenticationManagerBuilder auth)方法中注册一个继承自UserDetailsService的接口,这个接口中只有一个方法,那就是使用username获取到数据库中用户信息并返回成UserDetail实体。这个方法需要我
SpringBoot+SpringSecurity改造为前后端分离+Jwt的权限认证系统,Token过期刷新问题
zzzgd_666的博客
07-18 1万+
前言 一般来说,我们用SpringSecurity默认的话是前后端整在一起的,比如thymeleaf或者Freemarker,SpringSecurity还自带login登录页,还让你配置登出页,错误页。 但是现在前后端分离才是正道,前后端分离的话,那就需要将返回页面换成Json格式交给前端处理了 SpringSecurity默认的是采用Session来判断请求的用户是否登录的,但是不方便分布式...
springSecurity+redis反序列化失败--problem deserializing ‘setterless‘ property (“authorities“)
Memory_2020的博客
07-29 5115
springSecurity+redis反序列化失败,problem deserializing 'setterless' property ("authorities"):no way to handle typed deser with setterless yet
spring security登录失败的错误提示
softwarehe的专栏
06-29 1万+
这篇文章讲得很清楚了,http://forum.springsource.org/showthread.php?96206-How-to-display-error-message-in-spring-security 另外需要解决的是验证码问题,可以用filter方式解决,只有验证码通过了才去真的用spring security验证 这篇文章解决方案更好:http://www.mkyong.
认证授权失败处理以及统一异常处理
afjja的博客
08-20 2755
​ 实际我们在开发过程中可能需要做很多的判断校验,如果出现了非法情况我们是期望响应对应的提示的。但是如果我们每次都自己手动去处理就会非常麻烦。我们可以选择直接抛出异常的方式,然后对异常进行统一处理。把异常中的信息封装成ResponseResult响应给前端。我们的项目在认证出错或者权限不足的时候响应回来的Json是Security的异常处理结果。但是这个响应的格式肯定是不符合我们项目的接口规范的。所以需要自定义异常处理。统一异常处理(全局异常处理器):所有的异常都会交给这个全局异常去处理。
Spring Security——自定义认证错误提示信息及自适应返回格式解决方案
无限迭代中......
02-20 2335
解决方案 package com.hailiu.web.handler; import com.hailiu.model.Log; import com.hailiu.web.bean.ResponseBean; import com.hailiu.web.util.HttpServletUtil; import lombok.extern.slf4j.Slf4j; import org.springframework.beans.factory.annotation.Autowired; impor
SpringSecurity自定义认证失败处理器
m0_67401761的博客
08-25 428
第一步:实现接口。
springboot redis token_SpringBoot前后端分离项目,集成Spring Security(完整版)
weixin_39583162的博客
11-21 840
本文讲解使用SpringBoot版本:2.2.6.RELEASE,Spring Security版本:5.2.2.RELEASEJava流行的安全框架有两种Apache Shiro和Spring Security,其中Shiro对于前后端分离项目不是很友好,最终选用了Spring Security。SpringBoot提供了官方的spring-boot-starter-security,能够方便的...
Spring boot + Spring security 跨域鉴权失败却报跨域问题。
weixin_38391672的博客
06-14 1065
问题场景: Spring boot + Spring security 跨域鉴权失败当我重写AuthenticationEntryPoint 的 commence方法, @Component public class CustomAuthExceptionEntryPoint implements AuthenticationEntryPoint { @Override public void commence(HttpServletRequest request, HttpS...
Spring Security用户认证成功失败自定义实现
OceanSky的专栏
08-08 6498
【一】Spring boot Security OAuth2用户登录失败事件发布及监听 【二】Spring Security用户认证成功失败源码分析 上一篇文章讲解了用户认证成功或者失败事件发布的整个流程, 这一篇就讲解下自定义的实现方式。首先看一下认证的异常都有哪些: 在org.springframework.security.authentication.event包下定义了发生认证时的所有事...
SpringBoot+vue整合了SpringSecurity登录报错:Access is denied或NullPointerException
weixin_52450674的博客
03-29 1091
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
springboot+SpringSecurity中的AccessDecisionManager继承类,为什么请求结束后还会触发一次无权限的请求
05-13
<think>好的,我现在需要解决用户关于Spring Boot和Spring Security中,请求结束后触发AccessDecisionManager无权限判断的问题。首先,我得理解用户的问题场景:用户发现在请求处理完毕后,系统仍然进行了权限判断,导致意外的无权限异常。这可能发生在哪些环节呢? 首先,回顾一下Spring Security的流程。请求进入时,会经过一系列的SecurityFilterChain,其中包含认证和授权的步骤。AccessDecisionManager通常在FilterSecurityInterceptor中被调用,用于在请求到达控制器之前进行权限判断。所以正常情况下,授权决策应该在请求处理前完成。 用户提到的是请求结束后触发权限判断,这听起来有点反常。可能的情况是,在请求处理完成后,某些后续处理触发了安全相关的检查。比如,可能是异步处理、过滤器链的后续处理,或者某些监听器、AOP拦截器等。 接下来,我需要考虑可能的引用内容。用户提供的引用中提到了FilterChainProxy和SecurityFilterChain的结构,以及自动配置相关的信息。例如,引用[3]提到FilterChainProxy委托给多个SecurityFilterChain实例。如果请求处理完毕后,有其他的SecurityFilterChain被触发,可能会再次进行权限检查。 另一个可能性是,用户配置了多个SecurityFilterChain,并且某些链在请求处理之后被错误地匹配到了。例如,某些路径的配置可能存在问题,导致请求处理结束后又进入了另一个需要权限检查的过滤器链。 另外,引用[4]提到WebSecurityConfiguration负责构建FilterChainProxy。如果在配置中,存在多个SecurityFilterChain,并且它们的匹配顺序有问题,可能导致重复的权限检查。比如,默认情况下,Spring Security可能有多个链,比如用于静态资源和API的,如果它们的顺序不对,请求结束后可能被另一个链拦截。 还有一种情况是,请求处理过程中触发了重定向或转发,导致新的请求被发起,这时候新的请求会重新经过安全过滤器链,从而触发权限检查。例如,控制器方法返回一个重定向到需要权限的URL,这时新的请求会被SecurityFilterChain处理,导致再次的AccessDecisionManager调用。 此外,异步处理也是一个可能因素。如果请求处理完成后,有异步线程继续执行某些操作,而这些操作没有正确的安全上下文,或者配置了安全拦截,可能会触发权限判断。例如,使用@Async注解的方法,如果在异步线程中访问受保护的资源,可能会因为没有传递安全上下文而导致权限问题。 还有可能是用户自定义的过滤器或拦截器在请求处理之后执行了某些需要权限的操作。例如,日志记录过滤器在请求完成后尝试记录用户信息,但该操作可能涉及权限检查,导致触发AccessDecisionManager。 需要检查用户的配置,特别是WebSecurityConfigurerAdapter的实现,看看是否有多个HttpSecurity配置,或者是否错误地配置了多个SecurityFilterChain。例如,使用多个configure(HttpSecurity http)方法而没有正确指定请求匹配条件,可能导致过滤器链在请求结束后被错误应用。 另外,Spring Security的默认行为是在请求处理前完成授权,所以请求结束后触发的情况可能涉及异常处理流程。例如,在异常处理中,可能重定向到某个受保护的页面,从而触发新的安全验证。 总结可能的原因: 1. 存在多个SecurityFilterChain,请求结束后匹配到另一个需要权限检查的链。 2. 请求处理过程中触发了重定向或转发,导致新的请求被处理。 3. 异步处理或后续操作在没有安全上下文的情况下访问受保护资源。 4. 自定义过滤器或拦截器在请求结束后执行了需要权限检查的操作。 5. 异常处理流程中触发了需要权限的后续请求。 接下来,需要根据这些可能性,结合用户提供的引用,分析具体原因。例如,引用[3]提到SecurityFilterChain的结构,可能存在多个链的情况。而引用[4]提到WebSecurityConfiguration的配置,可能用户配置了多个链但没有正确排序或匹配条件。 最后,建议用户检查他们的SecurityFilterChain配置,查看是否有意外的链匹配,检查异步处理或重定向逻辑,以及自定义过滤器的执行顺序和权限需求。</think>在Spring Security架构中,`AccessDecisionManager`在请求结束后触发权限判断属于异常现象,以下是可能原因及技术分析: ### 一、核心机制解析 1. **FilterChainProxy的拦截时机** Spring Security的安全过滤链`SecurityFilterChain`通过`FilterChainProxy`在请求处理前完成权限校验[^3]。标准流程中`AccessDecisionManager`的调用应发生在`FilterSecurityInterceptor`阶段(位于过滤链末端,控制器方法执行前)。 2. **异常触发场景** 出现请求结束后触发权限判断的情况,通常源于以下特殊处理流程: ```text HTTP请求 → SecurityFilterChain → 控制器方法 → 视图渲染 → 异步处理/重定向 → 二次触发安全过滤链 ``` ### 二、常见触发原因 #### 1. 重定向/转发穿透安全链(高频原因) 当控制器方法返回重定向指令时(如`redirect:/secure-page`),新的请求会**重新经过完整的安全过滤链**,此时若目标路径受权限保护且当前上下文无对应权限,将触发二次鉴权失败。 *示例代码片段:* ```java @GetMapping("/api/v1/process") public String processData() { // 处理完成后触发重定向 return "redirect:/admin/dashboard"; // 若/admin/dashboard需要ADMIN权限 } ``` #### 2. 异步线程上下文丢失 使用`@Async`异步任务时,若未显式传递`SecurityContext`,异步线程会丢失认证信息: ```java @Async public void asyncOperation() { // 此处SecurityContextHolder.getContext()为空 sensitiveService.doSomething(); // 触发权限校验异常 } ``` *解决方法:配置`SecurityContext`传播* ```java @Bean public Executor asyncExecutor() { ThreadPoolTaskExecutor executor = new ThreadPoolTaskExecutor(); executor.setTaskDecorator(new DelegatingSecurityContextAsyncTaskExecutor()); return executor; } ``` #### 3. 视图层安全标签二次校验 在JSP/Thymeleaf模板中使用安全标签(如`sec:authorize`)时,**模板引擎会再次调用权限判断逻辑**。若此时会话凭证过期或上下文信息被清除,会导致`AccessDeniedException`。 #### 4. 自定义过滤器的执行顺序 错误地将自定义过滤器放置在`FilterSecurityInterceptor`之后: ```java @Override protected void configure(HttpSecurity http) { http.addFilterAfter(customFilter(), FilterSecurityInterceptor.class); // 此过滤器的响应处理可能触发后续安全校验 } ``` *正确做法:将非安全相关过滤器置于安全链之前* ### 三、诊断与排查步骤 1. **启用DEBUG日志定位触发点** ```properties logging.level.org.springframework.security=DEBUG ``` 观察日志中`AccessDecisionManager`的调用堆栈,确认是哪个`SecurityFilterChain`触发。 2. **检查重定向端点权限配置** ```java http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") // 确认重定向目标路径的权限要求 .anyRequest().authenticated(); ``` 3. **验证异步上下文传播** 在异步任务入口处添加上下文断言: ```java SecurityContext context = SecurityContextHolder.getContext(); Assert.notNull(context.getAuthentication(), "安全上下文丢失"); ``` ### 四、解决方案 | 场景 | 解决方案 | |---------------------|--------------------------------------------------------------------------| | 重定向穿透安全链 | 使用`ForwardedHeaderFilter`处理内部转发,或调整重定向目标路径的权限规则 | | 异步上下文丢失 | 配置`DelegatingSecurityContextAsyncTaskExecutor`进行上下文传播 | | 视图层二次校验 | 检查会话超时设置,或使用`@ControllerAdvice`统一处理视图层权限异常 | | 过滤器顺序错误 | 通过`http.addFilterBefore()`调整过滤器位置至安全链前端 | ### 五、扩展建议 对于RESTful API场景,建议禁用视图层安全标签的隐式鉴权: ```yaml spring: security: filter: dispatcher-types: REQUEST # 仅拦截原始请求,不处理FORWARD/INCLUDE等 ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值