微信公众号 讲师中心
首页
文章
web3.0 后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 计算机基础
编程手册
大前端 后端开发 数据库 移动端 运维开发 计算机基础
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
最近更新
搜索
web3.0 后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程
游戏教程 自媒体 新闻
首页 > Java > java教程 > 正文

Spring Security自定义异常响应:在过滤器链中处理认证与授权失败

DDD
发布: 2025-10-22 11:46:01
原创
500人浏览过

Spring Security自定义异常响应:在过滤器链中处理认证与授权失败

spring security的认证与授权异常发生在控制器层之前,无法被`@controlleradvice`捕获。本文将指导如何通过实现`authenticationentrypoint`和`accessdeniedhandler`接口,在spring security过滤器链中定制认证失败和授权拒绝的响应体。通过采用委托模式(delegate approach),可以将这些异常转发给spring mvc的`handlerexceptionresolver`处理,从而利用`@controlleradvice`统一生成友好的json错误信息,提升api的用户体验和错误处理一致性。

Spring Security异常处理机制概述

在Spring Boot应用中,我们通常会使用@ControllerAdvice结合@ExceptionHandler来集中处理控制器层抛出的各种异常,并返回统一的JSON错误响应。然而,Spring Security的过滤器链(Filter Chain)在请求到达控制器之前就已经执行。这意味着,如果在认证(Authentication)或授权(Authorization)阶段发生异常,例如用户未提供有效的凭证(AuthenticationException)或已认证用户但无权访问某个资源(AccessDeniedException),这些异常将不会被@ControllerAdvice捕获。

Spring Security通过ExceptionTranslationFilter来处理这些发生在过滤器链中的特定异常。当ExceptionTranslationFilter捕获到AuthenticationException或AccessDeniedException时,它会委托给相应的处理器来生成响应:

  • 对于AuthenticationException(例如,用户未登录或提供的凭证无效),ExceptionTranslationFilter会调用配置的AuthenticationEntryPoint。
  • 对于AccessDeniedException(例如,已登录用户尝试访问其无权访问的资源),ExceptionTranslationFilter会调用配置的AccessDeniedHandler。

默认情况下,这些处理器可能会重定向到登录页面或返回简单的HTTP状态码。为了实现API风格的JSON错误响应,我们需要自定义这些处理器。

定制认证失败响应:AuthenticationEntryPoint

AuthenticationEntryPoint接口定义了一个commence方法,当未认证用户尝试访问受保护资源,或认证过程中发生异常时,此方法会被调用。

直接写入响应体

最直接的方式是在commence方法中手动构建JSON并写入HttpServletResponse。

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.http.HttpStatus;
import org.springframework.http.MediaType;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

@Component
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {

    private final ObjectMapper objectMapper = new ObjectMapper();

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException) throws IOException, ServletException {
        response.setStatus(HttpStatus.UNAUTHORIZED.value());
        response.setContentType(MediaType.APPLICATION_JSON_VALUE);
        response.setCharacterEncoding("UTF-8");

        Map<String, Object> errorDetails = new HashMap<>();
        errorDetails.put("status", HttpStatus.UNAUTHORIZED.value());
        errorDetails.put("error", "Unauthorized");
        errorDetails.put("message", "认证失败: " + authException.getMessage());
        errorDetails.put("path", request.getRequestURI());

        response.getWriter().write(objectMapper.writeValueAsString(errorDetails));
    }
}
登录后复制

委托模式(Delegate Approach)

为了保持错误处理的一致性并利用@ControllerAdvice的强大功能(如统一的JSON序列化、国际化等),推荐使用委托模式。这种方法通过将异常重新转发给Spring MVC的HandlerExceptionResolver,使得@ControllerAdvice中的@ExceptionHandler能够捕获并处理这些异常。

首先,定义一个简单的错误响应DTO:

public class ErrorResponse {
    private String code;
    private String message;
    private int status;

    public ErrorResponse(String code, String message, int status) {
        this.code = code;
        this.message = message;
        this.status = status;
    }

    // Getters and Setters
    public String getCode() { return code; }
    public void setCode(String code) { this.code = code; }
    public String getMessage() { return message; }
    public void setMessage(String message) { this.message = message; }
    public int getStatus() { return status; }
    public void setStatus(int status) { this.status = status; }
}
登录后复制

然后,创建自定义的AuthenticationEntryPoint,注入HandlerExceptionResolver:

百度文心百中
百度文心百中

百度大模型语义搜索体验中心

百度文心百中 22
查看详情 百度文心百中 
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerExceptionResolver;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {

    private final HandlerExceptionResolver handlerExceptionResolver;

    // 注入Spring MVC的HandlerExceptionResolver,通常是ExceptionHandlerExceptionResolver
    public RestAuthenticationEntryPoint(@Qualifier("handlerExceptionResolver") HandlerExceptionResolver handlerExceptionResolver) {
        this.handlerExceptionResolver = handlerExceptionResolver;
    }

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException) throws IOException, ServletException {
        // 将AuthenticationException委托给HandlerExceptionResolver处理
        // 这样,@ControllerAdvice中的@ExceptionHandler就能捕获到这个异常
        handlerExceptionResolver.resolveException(request, response, null, authException);
    }
}
登录后复制

注意:@Qualifier("handlerExceptionResolver")确保注入的是Spring MVC用于处理@ExceptionHandler的那个HandlerExceptionResolver实例。

定制授权拒绝响应:AccessDeniedHandler

AccessDeniedHandler接口定义了一个handle方法,当已认证用户尝试访问其没有权限的资源时,此方法会被调用。

与AuthenticationEntryPoint类似,我们可以选择直接写入响应体或使用委托模式。为了保持一致性,同样推荐使用委托模式。

import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerExceptionResolver;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class RestAccessDeniedHandler implements AccessDeniedHandler {

    private final HandlerExceptionResolver handlerExceptionResolver;

    public RestAccessDeniedHandler(@Qualifier("handlerExceptionResolver") HandlerExceptionResolver handlerExceptionResolver) {
        this.handlerExceptionResolver = handlerExceptionResolver;
    }

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException, ServletException {
        // 将AccessDeniedException委托给HandlerExceptionResolver处理
        handlerExceptionResolver.resolveException(request, response, null, accessDeniedException);
    }
}
登录后复制

全局异常处理器:@ControllerAdvice

在实现了委托模式后,我们需要一个@ControllerAdvice来捕获这些被转发的异常,并生成统一的JSON响应。

import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.core.AuthenticationException;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseStatus;

@ControllerAdvice
public class GlobalExceptionHandler {

    @ExceptionHandler(AuthenticationException.class)
    @ResponseStatus(HttpStatus.UNAUTHORIZED)
    public ResponseEntity<ErrorResponse> handleAuthenticationException(AuthenticationException ex) {
        // 根据AuthenticationException类型和信息构建具体的ErrorResponse
        return new ResponseEntity<>(new ErrorResponse("AUTH_001", "认证失败: " + ex.getMessage(), HttpStatus.UNAUTHORIZED.value()), HttpStatus.UNAUTHORIZED);
    }

    @ExceptionHandler(AccessDeniedException.class)
    @ResponseStatus(HttpStatus.FORBIDDEN)
    public ResponseEntity<ErrorResponse> handleAccessDeniedException(AccessDeniedException ex) {
        // 根据AccessDeniedException类型和信息构建具体的ErrorResponse
        return new ResponseEntity<>(new ErrorResponse("AUTH_002", "权限不足: " + ex.getMessage(), HttpStatus.FORBIDDEN.value()), HttpStatus.FORBIDDEN);
    }

    // 可以添加其他通用异常处理器
    @ExceptionHandler(Exception.class)
    @ResponseStatus(HttpStatus.INTERNAL_SERVER_ERROR)
    public ResponseEntity<ErrorResponse> handleGenericException(Exception ex) {
        return new ResponseEntity<>(new ErrorResponse("SYS_001", "系统内部错误: " + ex.getMessage(), HttpStatus.INTERNAL_SERVER_ERROR.value()), HttpStatus.INTERNAL_SERVER_ERROR);
    }
}
登录后复制

Spring Security配置整合

最后一步是将自定义的AuthenticationEntryPoint和AccessDeniedHandler注册到Spring Security的配置中。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    private final RestAuthenticationEntryPoint authenticationEntryPoint;
    private final RestAccessDeniedHandler accessDeniedHandler;

    // 注入自定义的处理器
    public SecurityConfig(RestAuthenticationEntryPoint authenticationEntryPoint,
                          RestAccessDeniedHandler accessDeniedHandler) {
        this.authenticationEntryPoint = authenticationEntryPoint;
        this.accessDeniedHandler = accessDeniedHandler;
    }

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .csrf(csrf -> csrf.disable()) // 通常RESTful API会禁用CSRF
            .authorizeHttpRequests(authorize -> authorize
                .antMatchers("/public/**").permitAll() // 允许公共访问的路径
                .anyRequest().authenticated() // 其他所有请求需要认证
            )
            .exceptionHandling(exceptionHandling -> exceptionHandling
                .authenticationEntryPoint(authenticationEntryPoint) // 配置认证失败处理器
                .accessDeniedHandler(accessDeniedHandler)     // 配置授权拒绝处理器
            )
            .sessionManagement(session -> session
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS) // RESTful API通常无状态
            );
        return http.build();
    }
}
登录后复制

总结

通过上述步骤,我们成功地在Spring Security过滤器链中定制了认证失败和授权拒绝的响应体。采用委托模式,将AuthenticationException和AccessDeniedException转发给HandlerExceptionResolver,使得@ControllerAdvice能够统一处理这些异常,从而确保API在任何错误场景下都能返回一致、友好的JSON错误响应。这种方法极大地提升了API的健壮性和可维护性,为前端应用提供了统一的错误处理机制。

以上就是Spring Security自定义异常响应:在过滤器链中处理认证与授权失败的详细内容,更多请关注php中文网其它相关文章!

相关标签:
java js 前端 json 处理器 app access session ai 状态码 restful api mvc spring spring boot json Filter 接口 Delegate 委托 http

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇:解决跨时区测试失败:使用@DefaultTimeZone确保测试环境一致性 下一篇:在Java中如何使用Arrays工具类操作数组
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
最新问题
在Java中如何开发简易账单管理系统 该账单管理系统基于Java面向对象设计,包含Bill类用于封装账单信息,BillManager类实现增删改查功能,使用ArrayList存储数据并提供菜单交互界面,支持添加、查看、删除和搜索账单,可通过文件或数据库扩展持久化存储。
2025-11-04 01:21:25
621
在Java中如何使用自定义异常提高代码可维护性_自定义异常应用技巧 自定义异常能提升Java代码可读性和维护性,通过命名明确异常语义,如UserAlreadyExistsException;继承Exception或RuntimeException并封装错误信息;统一组织在exception包中,建立BaseBusinessException基类;结合枚举管理错误码;合理控制异常数量,在业务层主动抛出并包装底层异常,使错误处理更清晰可控。
2025-11-04 00:01:07
961
MinIO中用户访问控制:桶策略与IAM策略的正确应用 在MinIO中,桶策略主要用于管理匿名(未认证)用户的访问权限,而要对特定认证用户进行精细化访问控制,则必须通过IAM(身份与访问管理)策略实现。本文将详细阐述这两种策略的区别与应用场景,并提供具体的IAM策略示例,指导用户如何为MinIO中的特定用户配置桶操作权限,避免混淆MinIO与AWSS3的策略机制。
2025-11-03 23:33:01
901
Android开发:使用java.time API优雅处理时间选择与比较 本文旨在解决Android应用中用户选择时间并与当前时间进行比较的常见问题,特别是在处理TimePickerDialog时,如何避免使用旧版Calendar和TimeAPI带来的复杂性和潜在错误。我们将详细介绍如何利用Java8引入的java.time.LocalTimeAPI,以更简洁、健壮的方式实现时间的选择、初始化和有效性验证,确保用户无法选择已过去的时间。
2025-11-03 23:00:02
407
Java中如何使用CountedCompleter处理ForkJoin任务 CountedCompleter是ForkJoinTask的抽象子类,通过维护待完成计数器控制任务完成时机,适用于需协调多个子任务的场景。其核心在于pendingcount机制:调用addToPendingCount增加计数,tryComplete减少计数并传播完成状态,当计数归零时触发onCompletion方法执行汇总操作。示例中并行求和任务在拆分时增加计数,子任务完成后自动递减,最终在onCompletion中合并结果。该机制灵活支持树形处理、图遍历等复杂依赖结构,但需确保计数管理正确,避
2025-11-03 22:25:32
939
在Java中如何使用AtomicInteger实现原子操作_AtomicInteger应用技巧解析 AtomicInteger通过CAS机制实现线程安全的整数操作,避免synchronized开销,适用于高并发计数、状态控制等场景,典型方法包括incrementAndGet、compareAndSet等,配合volatile与Unsafe类保证原子性,常用于请求计数、限流控制和状态标记,但高竞争下可能因自旋导致性能下降,极端场景可考虑LongAdder替代。
2025-11-03 22:24:02
152
在Java中如何实现对象方法调用_OOP方法调用开发技巧 对象方法调用需先创建实例,通过点号访问公共方法。示例:Personperson=newPerson();person.sayHello();this指当前对象,用于区分变量、实现链式调用。多态通过重写实现,运行时动态绑定,如Animala=newDog();a.makeSound();输出“Dogbarks”。静态方法属类,无需实例,如Calculator.add(5,3);实例方法操作对象状态。掌握这些可提升代码可读性与扩展性。
2025-11-03 22:23:07
152
解决Jakarta EE 8中CDI限定符与抽象类/接口组合的依赖注入问题 本文探讨了在JakartaEE8(Payara5)环境下,使用CDI限定符注入继承抽象类并实现接口的EJB时,可能遇到的Unsatisfieddependencies错误。通过分析问题场景,我们发现此问题源于EJB接口识别机制的变化。解决方案是为EJB的本地业务接口显式添加@jakarta.ejb.Local注解,以确保容器正确解析并提供合格的Bean实例,从而实现CDI的动态选择功能。
2025-11-03 22:22:01
740
在Java中如何实现内部类封装与访问控制_OOP内部类访问实践经验 内部类提升封装与组织,成员内部类可访问外部私有成员并支持私有化,静态内部类降低耦合与内存开销,局部及匿名内部类适用于临时逻辑与回调,合理使用可增强安全性与可维护性。
2025-11-03 22:20:02
168
在Java中如何使用final关键字修饰类与方法_OOPfinal使用方法分享 final修饰类不可继承,修饰方法不可重写。如MathUtils类用final防止扩展,String类确保不可变;Vehicle的start()方法设为final避免被重写,保证核心逻辑安全,适用于工具类或关键算法,增强代码稳定性与安全性。
2025-11-03 22:18:07
527
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部