微信公众号 讲师中心
首页
文章
web3.0 后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 自媒体 新闻
专题
后端开发 web前端 数据库 开发工具 php框架 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程 游戏教程 新闻
AI工具
AI 聊天问答 Agent智能体 AI 文本写作 AI 绘画作图 AI 设计工具 AI 视频创作 AI 音频制作 AI 办公学习 AI 编程开发 Prompt指令
学习
大前端 后端开发 数据库 移动端 运维开发 UI设计 计算机基础
编程手册
大前端 JavaScript 后端开发 数据库 移动端 运维开发 UI设计 计算机基础 XML Web Services
下载
js特效 网站源码 工具下载 类库下载 网站素材 学习资源 插件扩展 手机/移动开发 手机游戏
最近更新
搜索
web3.0 后端开发 web前端 数据库 开发工具 php框架 常见问题 科技 Java 系统教程 电脑教程 硬件教程 手机教程 软件教程
游戏教程 自媒体 新闻
首页 > Java > java教程 > 正文

Spring Security自定义异常响应:在过滤器链中处理认证与授权失败

DDD
发布: 2025-10-22 11:46:01
原创
478人浏览过

Spring Security自定义异常响应:在过滤器链中处理认证与授权失败

spring security的认证与授权异常发生在控制器层之前,无法被`@controlleradvice`捕获。本文将指导如何通过实现`authenticationentrypoint`和`accessdeniedhandler`接口,在spring security过滤器链中定制认证失败和授权拒绝的响应体。通过采用委托模式(delegate approach),可以将这些异常转发给spring mvc的`handlerexceptionresolver`处理,从而利用`@controlleradvice`统一生成友好的json错误信息,提升api的用户体验和错误处理一致性。

Spring Security异常处理机制概述

在Spring Boot应用中,我们通常会使用@ControllerAdvice结合@ExceptionHandler来集中处理控制器层抛出的各种异常,并返回统一的JSON错误响应。然而,Spring Security的过滤器链(Filter Chain)在请求到达控制器之前就已经执行。这意味着,如果在认证(Authentication)或授权(Authorization)阶段发生异常,例如用户未提供有效的凭证(AuthenticationException)或已认证用户但无权访问某个资源(AccessDeniedException),这些异常将不会被@ControllerAdvice捕获。

Spring Security通过ExceptionTranslationFilter来处理这些发生在过滤器链中的特定异常。当ExceptionTranslationFilter捕获到AuthenticationException或AccessDeniedException时,它会委托给相应的处理器来生成响应:

  • 对于AuthenticationException(例如,用户未登录或提供的凭证无效),ExceptionTranslationFilter会调用配置的AuthenticationEntryPoint。
  • 对于AccessDeniedException(例如,已登录用户尝试访问其无权访问的资源),ExceptionTranslationFilter会调用配置的AccessDeniedHandler。

默认情况下,这些处理器可能会重定向到登录页面或返回简单的HTTP状态码。为了实现API风格的JSON错误响应,我们需要自定义这些处理器。

定制认证失败响应:AuthenticationEntryPoint

AuthenticationEntryPoint接口定义了一个commence方法,当未认证用户尝试访问受保护资源,或认证过程中发生异常时,此方法会被调用。

直接写入响应体

最直接的方式是在commence方法中手动构建JSON并写入HttpServletResponse。

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.http.HttpStatus;
import org.springframework.http.MediaType;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.HashMap;
import java.util.Map;

@Component
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {

    private final ObjectMapper objectMapper = new ObjectMapper();

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException) throws IOException, ServletException {
        response.setStatus(HttpStatus.UNAUTHORIZED.value());
        response.setContentType(MediaType.APPLICATION_JSON_VALUE);
        response.setCharacterEncoding("UTF-8");

        Map<String, Object> errorDetails = new HashMap<>();
        errorDetails.put("status", HttpStatus.UNAUTHORIZED.value());
        errorDetails.put("error", "Unauthorized");
        errorDetails.put("message", "认证失败: " + authException.getMessage());
        errorDetails.put("path", request.getRequestURI());

        response.getWriter().write(objectMapper.writeValueAsString(errorDetails));
    }
}
登录后复制

委托模式(Delegate Approach)

为了保持错误处理的一致性并利用@ControllerAdvice的强大功能(如统一的JSON序列化、国际化等),推荐使用委托模式。这种方法通过将异常重新转发给Spring MVC的HandlerExceptionResolver,使得@ControllerAdvice中的@ExceptionHandler能够捕获并处理这些异常。

首先,定义一个简单的错误响应DTO:

public class ErrorResponse {
    private String code;
    private String message;
    private int status;

    public ErrorResponse(String code, String message, int status) {
        this.code = code;
        this.message = message;
        this.status = status;
    }

    // Getters and Setters
    public String getCode() { return code; }
    public void setCode(String code) { this.code = code; }
    public String getMessage() { return message; }
    public void setMessage(String message) { this.message = message; }
    public int getStatus() { return status; }
    public void setStatus(int status) { this.status = status; }
}
登录后复制

然后,创建自定义的AuthenticationEntryPoint,注入HandlerExceptionResolver:

百度文心百中
百度文心百中

百度大模型语义搜索体验中心

百度文心百中22
查看详情 百度文心百中 
import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerExceptionResolver;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class RestAuthenticationEntryPoint implements AuthenticationEntryPoint {

    private final HandlerExceptionResolver handlerExceptionResolver;

    // 注入Spring MVC的HandlerExceptionResolver,通常是ExceptionHandlerExceptionResolver
    public RestAuthenticationEntryPoint(@Qualifier("handlerExceptionResolver") HandlerExceptionResolver handlerExceptionResolver) {
        this.handlerExceptionResolver = handlerExceptionResolver;
    }

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException) throws IOException, ServletException {
        // 将AuthenticationException委托给HandlerExceptionResolver处理
        // 这样,@ControllerAdvice中的@ExceptionHandler就能捕获到这个异常
        handlerExceptionResolver.resolveException(request, response, null, authException);
    }
}
登录后复制

注意:@Qualifier("handlerExceptionResolver")确保注入的是Spring MVC用于处理@ExceptionHandler的那个HandlerExceptionResolver实例。

定制授权拒绝响应:AccessDeniedHandler

AccessDeniedHandler接口定义了一个handle方法,当已认证用户尝试访问其没有权限的资源时,此方法会被调用。

与AuthenticationEntryPoint类似,我们可以选择直接写入响应体或使用委托模式。为了保持一致性,同样推荐使用委托模式。

import org.springframework.beans.factory.annotation.Qualifier;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;
import org.springframework.stereotype.Component;
import org.springframework.web.servlet.HandlerExceptionResolver;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@Component
public class RestAccessDeniedHandler implements AccessDeniedHandler {

    private final HandlerExceptionResolver handlerExceptionResolver;

    public RestAccessDeniedHandler(@Qualifier("handlerExceptionResolver") HandlerExceptionResolver handlerExceptionResolver) {
        this.handlerExceptionResolver = handlerExceptionResolver;
    }

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException, ServletException {
        // 将AccessDeniedException委托给HandlerExceptionResolver处理
        handlerExceptionResolver.resolveException(request, response, null, accessDeniedException);
    }
}
登录后复制

全局异常处理器:@ControllerAdvice

在实现了委托模式后,我们需要一个@ControllerAdvice来捕获这些被转发的异常,并生成统一的JSON响应。

import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.core.AuthenticationException;
import org.springframework.web.bind.annotation.ControllerAdvice;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.ResponseStatus;

@ControllerAdvice
public class GlobalExceptionHandler {

    @ExceptionHandler(AuthenticationException.class)
    @ResponseStatus(HttpStatus.UNAUTHORIZED)
    public ResponseEntity<ErrorResponse> handleAuthenticationException(AuthenticationException ex) {
        // 根据AuthenticationException类型和信息构建具体的ErrorResponse
        return new ResponseEntity<>(new ErrorResponse("AUTH_001", "认证失败: " + ex.getMessage(), HttpStatus.UNAUTHORIZED.value()), HttpStatus.UNAUTHORIZED);
    }

    @ExceptionHandler(AccessDeniedException.class)
    @ResponseStatus(HttpStatus.FORBIDDEN)
    public ResponseEntity<ErrorResponse> handleAccessDeniedException(AccessDeniedException ex) {
        // 根据AccessDeniedException类型和信息构建具体的ErrorResponse
        return new ResponseEntity<>(new ErrorResponse("AUTH_002", "权限不足: " + ex.getMessage(), HttpStatus.FORBIDDEN.value()), HttpStatus.FORBIDDEN);
    }

    // 可以添加其他通用异常处理器
    @ExceptionHandler(Exception.class)
    @ResponseStatus(HttpStatus.INTERNAL_SERVER_ERROR)
    public ResponseEntity<ErrorResponse> handleGenericException(Exception ex) {
        return new ResponseEntity<>(new ErrorResponse("SYS_001", "系统内部错误: " + ex.getMessage(), HttpStatus.INTERNAL_SERVER_ERROR.value()), HttpStatus.INTERNAL_SERVER_ERROR);
    }
}
登录后复制

Spring Security配置整合

最后一步是将自定义的AuthenticationEntryPoint和AccessDeniedHandler注册到Spring Security的配置中。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    private final RestAuthenticationEntryPoint authenticationEntryPoint;
    private final RestAccessDeniedHandler accessDeniedHandler;

    // 注入自定义的处理器
    public SecurityConfig(RestAuthenticationEntryPoint authenticationEntryPoint,
                          RestAccessDeniedHandler accessDeniedHandler) {
        this.authenticationEntryPoint = authenticationEntryPoint;
        this.accessDeniedHandler = accessDeniedHandler;
    }

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .csrf(csrf -> csrf.disable()) // 通常RESTful API会禁用CSRF
            .authorizeHttpRequests(authorize -> authorize
                .antMatchers("/public/**").permitAll() // 允许公共访问的路径
                .anyRequest().authenticated() // 其他所有请求需要认证
            )
            .exceptionHandling(exceptionHandling -> exceptionHandling
                .authenticationEntryPoint(authenticationEntryPoint) // 配置认证失败处理器
                .accessDeniedHandler(accessDeniedHandler)     // 配置授权拒绝处理器
            )
            .sessionManagement(session -> session
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS) // RESTful API通常无状态
            );
        return http.build();
    }
}
登录后复制

总结

通过上述步骤,我们成功地在Spring Security过滤器链中定制了认证失败和授权拒绝的响应体。采用委托模式,将AuthenticationException和AccessDeniedException转发给HandlerExceptionResolver,使得@ControllerAdvice能够统一处理这些异常,从而确保API在任何错误场景下都能返回一致、友好的JSON错误响应。这种方法极大地提升了API的健壮性和可维护性,为前端应用提供了统一的错误处理机制。

以上就是Spring Security自定义异常响应:在过滤器链中处理认证与授权失败的详细内容,更多请关注php中文网其它相关文章!

相关标签:
java js 前端 json 处理器 app access session ai 状态码 restful api mvc spring spring boot json Filter 接口 Delegate 委托 http

大家都在看:

最佳 Windows 性能的顶级免费优化软件
最佳 Windows 性能的顶级免费优化软件

每个人都需要一台速度更快、更稳定的 PC。随着时间的推移,垃圾文件、旧注册表数据和不必要的后台进程会占用资源并降低性能。幸运的是,许多工具可以让 Windows 保持平稳运行。

下载
来源:php中文网
收藏 点赞
上一篇:解决跨时区测试失败:使用@DefaultTimeZone确保测试环境一致性 下一篇:在Java中如何使用Arrays工具类操作数组
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系admin@php.cn
作者最新文章
最新问题
在Java中如何实现线程安全的共享资源访问 答案:Java中实现线程安全的核心是通过同步机制、原子类、锁和避免共享来保证数据一致性。1.使用synchronized关键字可对方法或代码块加锁,确保同一时刻只有一个线程执行;2.ReentrantLock提供更灵活的显式锁控制,支持尝试获取、超时和中断,需配合finally释放锁;3.原子类如AtomicInteger基于CAS实现无锁并发,适用于高并发下的简单变量操作;4.ThreadLocal为每个线程提供独立副本,避免共享竞争,适合线程私有状态管理;选择方式应根据场景权衡性能与复杂度。
2025-10-22 23:56:02
1002
在Java中如何实现依赖注入与松耦合 使用构造函数注入和接口编程实现松耦合,通过Spring框架的@Component与@Autowired注解自动装配Bean,或在无框架时采用工厂模式分离依赖创建,提升代码可测试性与可维护性。
2025-10-22 23:54:02
677
Java中this关键字的作用与常见使用场景 this是Java中指向当前对象的关键字,用于区分成员变量与局部变量,如this.name=name;可在构造器中通过this()调用其他构造器,实现代码复用;能将当前对象作为参数传递给其他方法,如EventManager.register(this);还可用于链式调用,通过returnthis实现连续方法调用,提升代码可读性与封装性。
2025-10-22 23:50:01
460
在Java中多态是如何通过虚方法实现的 多态通过动态方法调度实现,JVM利用虚方法表(vtable)在运行时根据对象实际类型确定方法调用。Java中除private、static、final方法和构造器外均为虚方法,子类重写方法后其vtable指向新实现,调用时JVM通过对象类型查找vtable定位具体方法。如Animala=newDog()调用a.makeSound()时,尽管引用类型为Animal,但实际执行Dog类的makeSound方法,输出“Bark”,体现“同一行为,不同实现”的多态特性。
2025-10-22 23:49:01
602
Java中设计可扩展类的技巧与经验 设计可扩展类应优先组合而非继承,通过接口解耦;明确开放protected扩展点并封闭关键逻辑;提供详细文档说明扩展规则;谨慎处理状态与初始化,避免构造器中调用可重写方法;多数场景推荐接口与组合,必要时才允许继承。
2025-10-22 23:48:02
778
在Java中如何处理数组越界异常 数组越界异常由非法索引访问引发,如循环条件错误或负数索引,应通过边界检查和正确逻辑预防。
2025-10-22 23:42:01
135
如何在Java中配置Eclipse插件支持开发 正确配置Java开发环境需先安装JDK并设置JAVA_HOME及PATH,验证java和javac命令;再下载EclipseIDEforJavaDevelopers版本,解压后启动;接着在Preferences中配置JDK路径,添加StandardVM并设为默认;最后创建Java项目,编写含main方法的类并运行,若控制台输出成功则环境配置完成。
2025-10-22 23:41:01
228
在Java中如何比较两个Set集合是否相等 答案:在Java中可直接使用equals()方法判断两个Set是否相等,该方法会比较元素内容是否一致且忽略顺序,支持不同Set实现类间的比较,前提是集合元素正确重写equals和hashCode方法;示例中HashSet与TreeSet的相同元素集合返回true;对于自定义对象需重写equals和hashCode以确保逻辑正确;空集合相互比较返回true,但需避免对null调用equals,推荐使用Objects.equals进行安全比较。
2025-10-22 23:34:01
333
在Java中如何使用局部变量和全局变量 局部变量在方法或代码块内声明,仅在其作用域内有效且每次执行时重新创建,必须显式初始化,存储于栈内存。
2025-10-22 23:29:02
928
如何在虚拟机中搭建Java开发环境 安装VirtualBox并创建虚拟机,分配资源后安装操作系统;2.安装OpenJDK并配置JAVA_HOME和PATH环境变量;3.安装IntelliJIDEA等IDE,设置JDK路径并测试HelloWorld程序;4.可选配置共享文件夹和网络以便文件传输与服务访问。
2025-10-22 23:14:01
148
相关专题
更多>
热门推荐
开源免费商场系统广告
热门教程
更多>
相关推荐
热门推荐
最新课程
最新下载
更多>
网站特效
网站源码
网站素材
前端模板
关于我们 免责申明 意见反馈 讲师合作 广告合作 最新更新 English
php中文网:公益在线php培训,帮助PHP学习者快速成长!
关注服务号 技术交流群
PHP中文网订阅号
每天精选资源文章推送
PHP中文网APP
随时随地碎片化学习
PHP中文网抖音号
发现有趣的

Copyright 2014-2025 https://www.php.cn/ All Rights Reserved | php.cn | 湘ICP备2023035733号

  • PHP学习

  • 技术支持

  • 返回顶部