基于spring-security 401 403错误自定义处理方案

2024-09-30 23:11:08

spring-security 401 403错误自定义处理

为了返回给前端统一的数据格式，

一般所有的数据都会以类似下面的方式返回：

public class APIResultDto<T> {
    /**
     * 状态码：-1代表成功,具体参考APIErrorCode类
     */
    private int er;

    /**
     * 状态描述，可以自行设置或使用APIErrorCode类中默认描述
     */
    private String erMessage;

    /**
     * 实际返回实体，isSuccess()返回true时该字段有效
     */
    private T items;
}

但是一些框架，比如本文要说的spring-security是不按照我们自定义规范处理的，幸运的是spring-security框架给了我们可以定制化的地方，只需继承

ResourceServerConfigurerAdapter

重写

public void configure(ResourceServerSecurityConfigurer resources) throws Exception

方法即可，在里面添加自定义的针对授权时返回的401以及403错误码，

具体如下：

@Autowired
    private AccessDeniedHandler accessDeniedHandler;
    @Autowired
    private AuthenticationEntryPoint authenticationEntryPoint;

    @Override
    public void configure(ResourceServerSecurityConfigurer resources) {
        resources.authenticationEntryPoint(authenticationEntryPoint);
        resources.accessDeniedHandler(accessDeniedHandler);
    }

里面涉及到的AccessDeniedHandler以及AuthenticationEntryPoint

如下所示：

@Component
public class CustomizedAuthenticationEntryPoint implements AuthenticationEntryPoint {

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException) throws IOException, ServletException {
        response.setContentType("application/json;charset=UTF-8");

         //按照系统自定义结构返回授权失败
response.getWriter().write(JSON.toJSONString(APIResultDto.failed(APIErrorCode.AUTH_FAILED)));
    }
}
@Component
public class CustomAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setContentType("application/json;charset=UTF-8");

          //按照系统自定义结构返回授权失败
 response.getWriter().write(JSON.toJSONString(APIResultDto.failed(APIErrorCode.AUTH_FAILED)));
    }
}

关于状态码401与403区别

401 表示用户没有权限(令牌，用户名，密码错误)

403 表示用户有权限，只是访问是被禁止的(可以理解为，用户有权限，但是某些目录禁止访问)

以上为个人经验，希望能给大家一个参考，也希望大家多多支持我们。

SpringSecurity自定义成功失败处理器的示例代码

1. 新建SpringBoot工程 2. 项目依赖 <dependencies>  <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency>
自定义Spring Security的身份验证失败处理方法

1.概述在本快速教程中,我们将演示如何在Spring Boot应用程序中自定义Spring Security的身份验证失败处理.目标是使用表单登录方法对用户进行身份验证. 2.认证和授权(Authentication and Authorization) 身份验证和授权通常结合使用,因为它们在授予系统访问权限时起着重要且同样重要的作用. 但是,它们具有不同的含义,并在验证请求时应用不同的约束: 身份验证 - 在授权之前;它是关于验证收到的凭证;我们验证用户名和密码是否与我们的应用程序识别的用户
SpringBoot项目访问任意接口出现401错误的解决方案

之前搭建了一个SpringBoot项目用于测试集成Redis和MyBatis以及Freemarker,搭建完成测通之后就没有再打开过.今天打开之后想要测试一个问题,发现在这个项目下无论请求哪个接口,浏览器都会跳转到一个登录页面,而且这个页面不是我写的,如下图: 地址栏里的login也是在我输入了自己的接口之后,自动跳转到了login 于是用Postman测试,得到401响应: 当时一脸蒙蔽,心想我代码里面没有写拦截器啊,而且拦截之后的页面也不是我写的.刚开始认为可能和端口有关,后来发现不是.于是
解析SpringSecurity自定义登录验证成功与失败的结果处理问题

一.需要自定义登录结果的场景在我之前的文章中,做过登录验证流程的源码解析.其中比较重要的就是当我们登录成功的时候,是由AuthenticationSuccessHandler进行登录结果处理,默认跳转到defaultSuccessUrl配置的路径对应的资源页面(一般是首页index.html). 当我们登录失败的时候,是由AuthenticationfailureHandler进行登录结果处理,默认跳转到failureUrl配置的路径对应的资源页面(一般是登录页login.html). 但是
基于spring-security 401 403错误自定义处理方案

spring-security 401 403错误自定义处理为了返回给前端统一的数据格式, 一般所有的数据都会以类似下面的方式返回: public class APIResultDto<T> { /** * 状态码:-1代表成功,具体参考APIErrorCode类 */ private int er; /** * 状态描述,可以自行设置或使用APIErrorCode类中默认描述 */ private String erMessage; /** * 实际返回实体,isSuccess()返回tr
基于Spring Security前后端分离的权限控制系统问题

目录 1. 引入maven依赖 2. 建表并生成相应的实体类 3. 自定义UserDetails 4. 自定义各种Handler 5. Token处理 6. 访问控制 7. 配置WebSecurity 8. 看效果 9. 补充:手机号+短信验证码登录前后端分离的项目,前端有菜单(menu),后端有API(backendApi),一个menu对应的页面有N个API接口来支持,本文介绍如何基于Spring Security前后端分离的权限控制系统问题. 话不多说,入正题.一个简单的权限控制系统需要
基于spring security实现登录注销功能过程解析

这篇文章主要介绍了基于spring security实现登录注销功能过程解析,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 1.引入maven依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependenc
基于Spring Security的Oauth2授权实现方法

前言经过一段时间的学习Oauth2,在网上也借鉴学习了一些大牛的经验,推荐在学习的过程中多看几遍阮一峰的<理解OAuth 2.0>,经过对Oauth2的多种方式的实现,个人推荐Spring Security和Oauth2的实现是相对优雅的,理由如下: 1.相对于直接实现Oauth2,减少了很多代码量,也就减少的查找问题的成本. 2.通过调整配置文件,灵活配置Oauth相关配置. 3.通过结合路由组件(如zuul),更好的实现微服务权限控制扩展. Oauth2概述 oauth2根据使用场景不同
如何基于spring security实现在线用户统计

1.修改web.xml,需要在web.xml描述文件中配置中使得o.s.s.web.session.HttpSessionEventPublisher生效,这样servelt容器将会通知Spring Security session生命周期的事件(通过HttpSessionEventPublisher) <listener> <listener-class> org.springframework.web.context.ContextLoaderListener </lis
Spring Security基于自定义的认证提供器实现图形验证码流程解析

目录前言一. 认证提供器简介 1. 认证提供器AuthenticationProver 2. WebAuthenticationDetails类介绍二. 实现图形验证码 1. 添加依赖包 2. 创建Producer对象 3. 创建生成验证码的接口 4. 自定义异常 5. 自定义WebAuthenticationDetails 6. 自定义AuthenticationDetailsSource 7. 自定义DaoAuthenticationProver 8. 添加SecurityConfig
Spring Security自定义登录原理及实现详解

1. 前言前面的关于 Spring Security 相关的文章只是一个预热.为了接下来更好的实战,如果你错过了请从 Spring Security 实战系列开始.安全访问的第一步就是认证(Authentication),认证的第一步就是登录.今天我们要通过对 Spring Security 的自定义,来设计一个可扩展,可伸缩的 form 登录功能. 2. form 登录的流程下面是 form 登录的基本流程: 只要是 form 登录基本都能转化为上面的流程.接下来我们看看 Spring
Spring Security之默认的过滤器链及自定义Filter操作

Spring Security 过滤器链及自定义Filter 别名类名称 Namespace Element or Attribute CHANNEL_FILTER ChannelProcessingFilter http/intercept-url@requires-channel SECURITY_CONTEXT_FILTER SecurityContextPersistenceFilter http CONCURRENT_SESSION_FILTER ConcurrentSessionF
Spring Security基于过滤器实现图形验证码功能

目录前言一. 验证码简介二. 基于过滤器实现图形验证码 1. 实现概述 2. 创建新模块 3. 添加依赖包 4. 创建Producer对象 5. 创建生成验证码的接口 6. 自定义异常 7. 创建拦截验证码的过滤器 8. 编写SecurityConfig 9. 编写测试页面 10. 代码结构 11. 启动项目测试前言在前两个章节中,一一哥带大家学习了Spring Security内部关于认证授权的核心API,以及认证授权的执行流程和底层原理.掌握了这些之后,对于Spring Secu
一个注解搞定Spring Security基于Oauth2的SSO单点登录功能

目录一.说明二.原理说明 2.1. 同域单点登录 2.2. 跨域单点登录 2.3. 基于Oauth2的跨域单点登录流程三.Spring Security实现四.demo下载地址一.说明单点登录顾名思义就是在多个应用系统中,只需要登录一次,就可以访问其他相互信任的应用系统,免除多次登录的烦恼.本文主要介绍同域和跨域两种不同场景单点登录的实现原理,并使用 Spring Security 来实现一个最简单的跨域 SSO客户端 . 二.原理说明单点登录主流都是基于共享 cookie