投稿获客
  1. 创想鸟首页
  2. java

Spring Security自定义认证入口点:实现JSON格式未授权响应

程序猿 java 阅读 0

Spring Security自定义认证入口点:实现JSON格式未授权响应

spring security默认的认证失败响应是html页面。本教程将指导如何通过实现自定义的authenticationentrypoint来拦截401未授权错误,并将其转换为统一的json格式响应,从而提供更友好的api错误处理机制。内容涵盖配置securityconfiguration、编写customauthenticationentrypoint以及相应的单元测试,确保api客户端能正确解析错误信息。

1. Spring Security默认的认证失败处理与API需求

在构建RESTful API时,客户端通常期望接收结构化的错误响应,例如JSON格式,而不是Web服务器生成的HTML错误页面。然而,Spring Security在处理用户未认证(HTTP 401 Unauthorized)的请求时,其默认行为是返回一个包含HTML内容的错误页面。这对于Web应用可能尚可接受,但对于API客户端来说,解析HTML以获取错误详情既不高效也不方便。

例如,当未认证用户访问受保护资源时,Spring Security可能返回类似以下内容的HTML响应:

    HTTP Status 401 – Unauthorized        
HTTP Status 401 – Unauthorized

而API客户端通常期望得到的是类似以下JSON格式的错误响应:

{    "errors": [        {            "status": "401",            "title": "UNAUTHORIZED",            "detail": "认证失败,请提供有效的凭据。"        }    ]}

为了满足这一需求,我们需要定制Spring Security的认证入口点(AuthenticationEntryPoint)。

2. 理解AuthenticationEntryPoint

AuthenticationEntryPoint是Spring Security提供的一个核心接口,用于处理未经认证的请求。当用户尝试访问受保护资源但未提供有效凭据时,或者提供的凭据无法通过认证时,Spring Security会调用配置的AuthenticationEntryPoint的commence方法。

commence方法签名如下:

void commence(HttpServletRequest request, HttpServletResponse response,              AuthenticationException authException) throws IOException, ServletException;

在该方法中,我们可以对HttpServletResponse进行操作,例如设置HTTP状态码、添加响应头,以及最重要的——写入自定义的响应体。

Find JSON Path Online Find JSON Path Online

Easily find JSON paths within JSON objects using our intuitive Json Path Finder

Find JSON Path Online 30 查看详情 Find JSON Path Online

3. 实现自定义的JSON格式认证入口点

要实现JSON格式的未授权响应,关键在于在CustomAuthenticationEntryPoint中直接向HttpServletResponse的输出流写入JSON数据,而不是使用response.sendError()。response.sendError()方法通常会委托给Servlet容器来生成错误页面,这会导致返回HTML。

以下是一个实现自定义AuthenticationEntryPoint的示例:

import com.fasterxml.jackson.databind.ObjectMapper; // 推荐使用Jackson进行JSON序列化import jakarta.servlet.ServletException;import jakarta.servlet.http.HttpServletRequest;import jakarta.servlet.http.HttpServletResponse;import org.springframework.http.HttpStatus;import org.springframework.http.MediaType;import org.springframework.security.core.AuthenticationException;import org.springframework.security.web.AuthenticationEntryPoint;import org.springframework.stereotype.Component;import java.io.IOException;import java.util.Collections;import java.util.Map;@Componentpublic class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {    private final ObjectMapper objectMapper = new ObjectMapper(); // 用于JSON序列化    @Override    public void commence(HttpServletRequest request, HttpServletResponse response,                         AuthenticationException authException) throws IOException, ServletException {        // 设置响应内容类型为JSON        response.setContentType(MediaType.APPLICATION_JSON_VALUE);        // 设置HTTP状态码为401 Unauthorized        response.setStatus(HttpStatus.UNAUTHORIZED.value());        // 对于Basic认证,通常需要添加WWW-Authenticate头        response.addHeader("WWW-Authenticate", "Basic realm="Realm"");        // 构建自定义的错误响应体        // 实际项目中可以定义一个专门的ErrorResponse DTO        Map errorDetails = Map.of(                "status", HttpStatus.UNAUTHORIZED.value(),                "title", HttpStatus.UNAUTHORIZED.getReasonPhrase(),                "detail", authException.getMessage() != null ? authException.getMessage() : "认证失败,请提供有效凭据。"        );        Map errorResponse = Collections.singletonMap("errors", Collections.singletonList(errorDetails));        // 使用ObjectMapper将Map转换为JSON字符串并写入响应        objectMapper.writeValue(response.getWriter(), errorResponse);    }}

代码解析:

@Component:将CustomAuthenticationEntryPoint声明为一个Spring组件,以便可以被Spring容器管理。response.setContentType(MediaType.APPLICATION_JSON_VALUE):这是确保客户端将响应识别为JSON的关键步骤。response.setStatus(HttpStatus.UNAUTHORIZED.value()):显式设置HTTP状态码为401。response.addHeader(“WWW-Authenticate”, “Basic realm=”Realm””):如果使用Basic认证,此头是必要的,它告知客户端需要Basic认证。objectMapper.writeValue(response.getWriter(), errorResponse):这是将JSON数据写入响应体的核心。我们推荐使用ObjectMapper(如Jackson库提供)来序列化Java对象到JSON,因为它比手动拼接字符串更健壮、更灵活,尤其是在处理复杂对象时。errorResponse是一个简单的Map结构,模拟了预期的JSON格式。

4. 配置Spring Security以使用自定义入口点

接下来,我们需要在Spring Security的配置类中注册这个自定义的AuthenticationEntryPoint。这通常在继承WebSecurityConfigurerAdapter(或使用SecurityFilterChain)的配置类中完成。

import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.http.HttpMethod;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.web.SecurityFilterChain;@Configuration@EnableWebSecuritypublic class SecurityConfiguration {    private final CustomAuthenticationEntryPoint customAuthenticationEntryPoint;    // 通过构造器注入自定义的AuthenticationEntryPoint    public SecurityConfiguration(CustomAuthenticationEntryPoint customAuthenticationEntryPoint) {        this.customAuthenticationEntryPoint = customAuthenticationEntryPoint;    }    @Bean    public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {        httpSecurity                .csrf(csrf -> csrf.disable()) // 禁用CSRF,通常RESTful API不需要                .authorizeHttpRequests(authorize -> authorize                        .requestMatchers(HttpMethod.GET, "/**").permitAll() // 允许GET请求无需认证                        .anyRequest().authenticated() // 其他所有请求需要认证                )                .httpBasic(httpBasic -> {}) // 启用HTTP Basic认证                .exceptionHandling(exceptionHandling -> exceptionHandling                        // 注册自定义的AuthenticationEntryPoint                        .authenticationEntryPoint(customAuthenticationEntryPoint)                );        return httpSecurity.build();    }}

注意: Spring Security 5.7.0-M2及更高版本推荐使用SecurityFilterChain和Lambda DSL进行配置,而不是继承WebSecurityConfigurerAdapter。上述代码已更新为现代Spring Security的配置方式。

5. 编写单元测试验证JSON响应

为了确保自定义的认证入口点按预期工作,编写一个单元测试是必不可少的。我们可以使用Spring的MockMvc来模拟HTTP请求并验证响应。

package com.example.security.custom.entrypoint;import org.junit.jupiter.api.Test;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.boot.test.autoconfigure.web.servlet.WebMvcTest;import org.springframework.context.annotation.Import;import org.springframework.test.web.servlet.MockMvc;import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.post;import static org.springframework.test.web.servlet.result.MockMvcResultHandlers.print;import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.*;// 指定需要测试的Web层组件,并导入SecurityConfiguration@WebMvcTest // 仅加载Web层相关的bean@Import({SecurityConfiguration.class, CustomAuthenticationEntryPoint.class}) // 导入安全配置和自定义入口点class SecurityCustomEntrypointApplicationTests {  @Autowired  private MockMvc mvc;  @Test  void testUnauthorizedResponseIsJson() throws Exception {    mvc        .perform(post("/somewhere")) // 发送一个POST请求到任意受保护的路径,但不提供认证凭据        .andDo(print()) // 打印请求

以上就是Spring Security自定义认证入口点:实现JSON格式未授权响应的详细内容,更多请关注创想鸟其它相关文章!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/306188.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
0 0

关于作者

程序猿的头像

程序猿签约作者

265.8K 文章
0 评论
1 粉丝
这个人很懒,什么都没有留下~
上一篇 2025年11月5日 03:08:58
下一篇 2025年11月5日 03:10:32

相关推荐

  • MyBatis 中 XML 映射文件无法调用的问题排查与解决 java

    MyBatis 中 XML 映射文件无法调用的问题排查与解决

    本文旨在帮助开发者解决在使用 Spring Boot 和 MyBatis 框架时,XML 映射文件中定义的 SQL 语句无法被正确调用的问题。文章将通过分析常见原因、提供解决方案以及代码示例,帮助读者快速定位并解决类似问题,确保 MyBatis 能够正确加载和执行 XML 映射文件中的 SQL 语句…

    程序猿的头像 程序猿
    2025年12月5日
    500
  • HiDream-I1— 智象未来开源的文生图模型 科技

    HiDream-I1— 智象未来开源的文生图模型

    hidream-i1:一款强大的开源图像生成模型 HiDream-I1是由HiDream.ai团队开发的17亿参数开源图像生成模型,采用MIT许可证,在图像质量和对提示词的理解方面表现卓越。它支持多种风格,包括写实、卡通和艺术风格,广泛应用于艺术创作、商业设计、科研教育以及娱乐媒体等领域。 HiDr…

    程序猿的头像 程序猿
    2025年12月5日
    000
  • 如何在Laravel中集成支付网关 PHP框架

    如何在Laravel中集成支付网关

    在laravel中集成支付网关的核心步骤包括:1.根据业务需求选择合适的支付网关,如stripe、paypal或支付宝等;2.通过composer安装对应的sdk或laravel包,如stripe/stripe-php或yansongda/pay;3.在.env文件和config/services.…

    程序猿的头像 程序猿
    2025年12月5日
    300

  • Java中死锁如何避免 分析死锁产生的四个必要条件

    预防死锁最有效的方法是破坏死锁产生的四个必要条件中的一个或多个。死锁的四个必要条件分别是互斥、占有且等待、不可剥夺和循环等待;其中,互斥通常无法破坏,但可以减少使用;占有且等待可通过一次性申请所有资源来打破;不可剥夺可通过允许资源被剥夺打破;循环等待可通过按序申请资源解决。此外,reentrantl…

    程序猿的头像 程序猿
    2025年12月5日 java
    300

  • js如何实现剪贴板历史 js剪贴板历史管理的4种技术方案

    要实现js剪贴板历史,核心在于拦截复制事件、存储复制内容并展示历史记录。1. 使用document.addeventlistener(‘copy’)监听复制事件,并通过e.clipboarddata.getdata获取内容;2. 用localstorage或indexeddb…

    程序猿的头像 程序猿
    2025年12月5日 web前端
    100
  • 如何利用JavaScript实现前端日志记录与用户行为分析? web前端

    如何利用JavaScript实现前端日志记录与用户行为分析?

    前端日志与用户行为分析可通过封装Logger模块实现,支持分级记录并上报;结合事件监听自动采集点击、路由变化等行为数据。 前端日志记录与用户行为分析能帮助开发者了解用户操作路径、发现潜在问题并优化产品体验。通过JavaScript,我们可以轻量高效地实现这些功能,无需依赖复杂工具也能获取关键数据。 …

    程序猿的头像 程序猿
    2025年12月5日
    000
  • 喜茶微信点单怎么用抖音券:详细教程及优惠攻略 自媒体

    喜茶微信点单怎么用抖音券:详细教程及优惠攻略

    【引言】 作为新式茶饮的领军品牌,喜茶凭借其高品质原料与持续创新的产品赢得了广大消费者的喜爱。为提升服务效率与用户体验,喜茶全面上线了微信小程序点单功能,让用户无需排队即可完成下单。与此同时,喜茶携手抖音平台推出专属优惠活动——抖音券,进一步降低消费门槛。本文将为您全面解析如何在喜茶微信点单时使用抖…

    程序猿的头像 程序猿
    2025年12月5日
    000
  • 抖音的私信定位在哪里?私信功能有什么作用? 软件教程

    抖音的私信定位在哪里?私信功能有什么作用?

    作为广受欢迎的社交平台,抖音中的私信功能是用户沟通的重要方式之一。然而不少刚接触抖音的朋友常常困惑:私信到底在哪?它又能用来做什么? 一、抖音私信入口在哪里? 其实,抖音的私信入口设计得十分直观,主要分布在手机App和电脑端两个场景中。 手机端抖音App 这是大多数用户使用的操作方式,主要有两个常用…

    程序猿的头像 程序猿
    2025年12月5日
    000
  • 如何在Laravel中实现缓存机制 PHP框架

    如何在Laravel中实现缓存机制

    laravel的缓存机制用于提升应用性能,通过存储耗时操作结果避免重复计算。1. 配置缓存驱动:在.env文件中设置cache_driver,如redis,并安装相应扩展;2. 使用cache facade进行缓存操作,包括put、get、has、forget等方法;3. 使用remember和pu…

    程序猿的头像 程序猿
    2025年12月5日
    000

  • 如何解决前端JS文件过大导致加载缓慢的问题,使用linkorb/jsmin-php助你轻松实现JS代码压缩优化

    可以通过一下地址学习composer:学习地址 在快节奏的互联网世界里,网站的加载速度是用户体验的生命线。用户往往没有耐心等待一个缓慢的页面,而搜索引擎也更青睐加载迅速的网站。作为一名开发者,我深知这一点,但最近在优化我的php项目时,却遇到了一个让人头疼的问题:前端的javascript文件随着功…

    程序猿的头像 程序猿
    开发工具 2025年12月5日
    000

  • Java中Executors类的用途 掌握线程池工厂的创建方法

    如何使用executors创建线程池?1.使用newfixedthreadpool(int nthreads)创建固定大小的线程池;2.使用newcachedthreadpool()创建可缓存线程池;3.使用newsinglethreadexecutor()创建单线程线程池;4.使用newsched…

    程序猿的头像 程序猿
    2025年12月5日 java
    000

  • js如何解析XML格式数据 处理XML数据的4种常用方法!

    在javascript中解析xml数据主要有四种方式:原生domparser、xmlhttprequest、第三方库(如jquery)以及fetch api配合domparser。使用domparser时,创建实例并调用parsefromstring方法解析xml字符串,返回document对象以便…

    程序猿的头像 程序猿
    2025年12月5日 web前端
    100
  • 解决WordPress博客首页无法显示页面标题的问题 后端开发

    解决WordPress博客首页无法显示页面标题的问题

    摘要:本文针对WordPress主题开发中,使用静态页面作为博客首页时,home.php无法正确显示页面标题的问题,提供了详细的解决方案。通过使用get_the_title()函数并结合get_option(‘page_for_posts’)获取文章页面的ID,从而正确显示博…

    程序猿的头像 程序猿
    2025年12月5日
    000
  • 如何在Laravel中处理表单提交 PHP框架

    如何在Laravel中处理表单提交

    在laravel中处理表单提交的步骤如下:1. 创建包含正确method、action属性和@csrf指令的html表单;2. 在routes/web.php或routes/api.php中定义路由,如route::post(‘/your-route’, ‘you…

    程序猿的头像 程序猿
    2025年12月5日
    100
  • WordPress博客首页无法显示页面标题的解决方案 后端开发

    WordPress博客首页无法显示页面标题的解决方案

    本教程旨在解决WordPress主题开发中,使用静态首页和博客页面展示最新文章时,home.php无法正确获取页面标题和特色图像的问题。通过使用get_the_title()函数并结合get_option(‘page_for_posts’)获取博客页面的ID,可以确保博客首页…

    程序猿的头像 程序猿
    2025年12月5日
    000

  • Java中jstat的用法 详解性能统计

    要使用jstat监控jvm,首先通过jps获取进程id,然后执行jstat命令并指定监控类型、采样间隔和次数。1)常用选项包括-gcutil查看垃圾回收利用率统计;2)-gc查看更详细的垃圾回收信息;3)-class监控类加载与卸载情况。例如:jstat -gcutil 1234 1000可每秒输出…

    程序猿的头像 程序猿
    2025年12月5日 java
    100
  • 126邮箱官网登录入口网页版 126邮箱登录首页官网 软件教程

    126邮箱官网登录入口网页版 126邮箱登录首页官网

    126邮箱官网登录入口网页版为https://mail.126.com,用户可通过邮箱账号或手机号快速注册登录,支持密码找回、扫码验证;页面适配多设备,具备分栏式收件箱、邮件筛选、批量操作及星标分类功能;附件上传下载支持实时进度与断点续传,兼容多种文件格式预览。 126邮箱官网登录入口网页版在哪里?…

    程序猿的头像 程序猿
    2025年12月5日
    100
  • 曝小米已终止澎湃OS 2全部开发工作!聚焦澎湃OS 3 行业动态

    曝小米已终止澎湃OS 2全部开发工作!聚焦澎湃OS 3

    CNMO从海外媒体获悉,小米已全面停止对澎湃OS 2的所有开发进程,集中力量推进下一代操作系统——澎湃OS 3的开发与发布准备。 据最新消息,澎湃OS 3有望于今年8月或9月正式亮相。初步资料显示,新系统将重点提升用户界面的精致度、系统动画的流畅性以及整体运行性能。小米方面强调,将确保现有设备用户能…

    程序猿的头像 程序猿
    2025年12月5日
    000

  • js怎样实现粒子动画效果 炫酷粒子动画的3种实现方式

    实现炫酷的粒子动画可通过以下三种方式:1. 使用 canvas 实现基础 2d 粒子动画,通过创建 canvas 元素、定义粒子类、使用 requestanimationframe 创建动画循环来不断更新和绘制粒子;2. 使用 three.js 实现 3d 粒子动画,借助 webgl 渲染器、场景、…

    程序猿的头像 程序猿
    2025年12月5日 web前端
    000
  • AI 赋能云电脑智变升级 中兴通讯助力中国移动共绘端云算网新生态 科技

    AI 赋能云电脑智变升级 中兴通讯助力中国移动共绘端云算网新生态

    ☞☞☞AI 智能聊天, 问答助手, AI 智能搜索, 免费无限量使用 DeepSeek R1 模型☜☜☜ 2025中国移动云智算大会在苏州举行,中兴通讯与中国移动携手展示基于AI技术的云电脑创新成果,彰显双方在智能算力领域的深度合作。 大会集中展示了涵盖训练及推理集群、智算网络和智慧终端的全场景智算…

    程序猿的头像 程序猿
    2025年12月5日
    000

发表回复

登录后才能评论
关注微信