投稿获客
  1. 创想鸟首页
  2. 用户投稿

Spring Security自定义认证入口点:实现JSON格式未授权响应

程序猿 用户投稿 阅读 4

Spring Security自定义认证入口点:实现JSON格式未授权响应

spring security默认的认证失败响应是html页面。本教程将指导如何通过实现自定义的authenticationentrypoint来拦截401未授权错误,并将其转换为统一的json格式响应,从而提供更友好的api错误处理机制。内容涵盖配置securityconfiguration、编写customauthenticationentrypoint以及相应的单元测试,确保api客户端能正确解析错误信息。

1. Spring Security默认的认证失败处理与API需求

在构建RESTful API时,客户端通常期望接收结构化的错误响应,例如JSON格式,而不是Web服务器生成的HTML错误页面。然而,Spring Security在处理用户未认证(HTTP 401 Unauthorized)的请求时,其默认行为是返回一个包含HTML内容的错误页面。这对于Web应用可能尚可接受,但对于API客户端来说,解析HTML以获取错误详情既不高效也不方便。

例如,当未认证用户访问受保护资源时,Spring Security可能返回类似以下内容的HTML响应:

    HTTP Status 401 – Unauthorized        
HTTP Status 401 – Unauthorized

而API客户端通常期望得到的是类似以下JSON格式的错误响应:

{    "errors": [        {            "status": "401",            "title": "UNAUTHORIZED",            "detail": "认证失败,请提供有效的凭据。"        }    ]}

为了满足这一需求,我们需要定制Spring Security的认证入口点(AuthenticationEntryPoint)。

2. 理解AuthenticationEntryPoint

AuthenticationEntryPoint是Spring Security提供的一个核心接口,用于处理未经认证的请求。当用户尝试访问受保护资源但未提供有效凭据时,或者提供的凭据无法通过认证时,Spring Security会调用配置的AuthenticationEntryPoint的commence方法。

commence方法签名如下:

void commence(HttpServletRequest request, HttpServletResponse response,              AuthenticationException authException) throws IOException, ServletException;

在该方法中,我们可以对HttpServletResponse进行操作,例如设置HTTP状态码、添加响应头,以及最重要的——写入自定义的响应体。

Find JSON Path Online Find JSON Path Online

Easily find JSON paths within JSON objects using our intuitive Json Path Finder

Find JSON Path Online 30 查看详情 Find JSON Path Online

3. 实现自定义的JSON格式认证入口点

要实现JSON格式的未授权响应,关键在于在CustomAuthenticationEntryPoint中直接向HttpServletResponse的输出流写入JSON数据,而不是使用response.sendError()。response.sendError()方法通常会委托给Servlet容器来生成错误页面,这会导致返回HTML。

以下是一个实现自定义AuthenticationEntryPoint的示例:

import com.fasterxml.jackson.databind.ObjectMapper; // 推荐使用Jackson进行JSON序列化import jakarta.servlet.ServletException;import jakarta.servlet.http.HttpServletRequest;import jakarta.servlet.http.HttpServletResponse;import org.springframework.http.HttpStatus;import org.springframework.http.MediaType;import org.springframework.security.core.AuthenticationException;import org.springframework.security.web.AuthenticationEntryPoint;import org.springframework.stereotype.Component;import java.io.IOException;import java.util.Collections;import java.util.Map;@Componentpublic class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {    private final ObjectMapper objectMapper = new ObjectMapper(); // 用于JSON序列化    @Override    public void commence(HttpServletRequest request, HttpServletResponse response,                         AuthenticationException authException) throws IOException, ServletException {        // 设置响应内容类型为JSON        response.setContentType(MediaType.APPLICATION_JSON_VALUE);        // 设置HTTP状态码为401 Unauthorized        response.setStatus(HttpStatus.UNAUTHORIZED.value());        // 对于Basic认证,通常需要添加WWW-Authenticate头        response.addHeader("WWW-Authenticate", "Basic realm="Realm"");        // 构建自定义的错误响应体        // 实际项目中可以定义一个专门的ErrorResponse DTO        Map errorDetails = Map.of(                "status", HttpStatus.UNAUTHORIZED.value(),                "title", HttpStatus.UNAUTHORIZED.getReasonPhrase(),                "detail", authException.getMessage() != null ? authException.getMessage() : "认证失败,请提供有效凭据。"        );        Map errorResponse = Collections.singletonMap("errors", Collections.singletonList(errorDetails));        // 使用ObjectMapper将Map转换为JSON字符串并写入响应        objectMapper.writeValue(response.getWriter(), errorResponse);    }}

代码解析:

@Component:将CustomAuthenticationEntryPoint声明为一个Spring组件,以便可以被Spring容器管理。response.setContentType(MediaType.APPLICATION_JSON_VALUE):这是确保客户端将响应识别为JSON的关键步骤。response.setStatus(HttpStatus.UNAUTHORIZED.value()):显式设置HTTP状态码为401。response.addHeader(“WWW-Authenticate”, “Basic realm=”Realm””):如果使用Basic认证,此头是必要的,它告知客户端需要Basic认证。objectMapper.writeValue(response.getWriter(), errorResponse):这是将JSON数据写入响应体的核心。我们推荐使用ObjectMapper(如Jackson库提供)来序列化Java对象到JSON,因为它比手动拼接字符串更健壮、更灵活,尤其是在处理复杂对象时。errorResponse是一个简单的Map结构,模拟了预期的JSON格式。

4. 配置Spring Security以使用自定义入口点

接下来,我们需要在Spring Security的配置类中注册这个自定义的AuthenticationEntryPoint。这通常在继承WebSecurityConfigurerAdapter(或使用SecurityFilterChain)的配置类中完成。

import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.http.HttpMethod;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.web.SecurityFilterChain;@Configuration@EnableWebSecuritypublic class SecurityConfiguration {    private final CustomAuthenticationEntryPoint customAuthenticationEntryPoint;    // 通过构造器注入自定义的AuthenticationEntryPoint    public SecurityConfiguration(CustomAuthenticationEntryPoint customAuthenticationEntryPoint) {        this.customAuthenticationEntryPoint = customAuthenticationEntryPoint;    }    @Bean    public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {        httpSecurity                .csrf(csrf -> csrf.disable()) // 禁用CSRF,通常RESTful API不需要                .authorizeHttpRequests(authorize -> authorize                        .requestMatchers(HttpMethod.GET, "/**").permitAll() // 允许GET请求无需认证                        .anyRequest().authenticated() // 其他所有请求需要认证                )                .httpBasic(httpBasic -> {}) // 启用HTTP Basic认证                .exceptionHandling(exceptionHandling -> exceptionHandling                        // 注册自定义的AuthenticationEntryPoint                        .authenticationEntryPoint(customAuthenticationEntryPoint)                );        return httpSecurity.build();    }}

注意: Spring Security 5.7.0-M2及更高版本推荐使用SecurityFilterChain和Lambda DSL进行配置,而不是继承WebSecurityConfigurerAdapter。上述代码已更新为现代Spring Security的配置方式。

5. 编写单元测试验证JSON响应

为了确保自定义的认证入口点按预期工作,编写一个单元测试是必不可少的。我们可以使用Spring的MockMvc来模拟HTTP请求并验证响应。

package com.example.security.custom.entrypoint;import org.junit.jupiter.api.Test;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.boot.test.autoconfigure.web.servlet.WebMvcTest;import org.springframework.context.annotation.Import;import org.springframework.test.web.servlet.MockMvc;import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.post;import static org.springframework.test.web.servlet.result.MockMvcResultHandlers.print;import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.*;// 指定需要测试的Web层组件,并导入SecurityConfiguration@WebMvcTest // 仅加载Web层相关的bean@Import({SecurityConfiguration.class, CustomAuthenticationEntryPoint.class}) // 导入安全配置和自定义入口点class SecurityCustomEntrypointApplicationTests {  @Autowired  private MockMvc mvc;  @Test  void testUnauthorizedResponseIsJson() throws Exception {    mvc        .perform(post("/somewhere")) // 发送一个POST请求到任意受保护的路径,但不提供认证凭据        .andDo(print()) // 打印请求

以上就是Spring Security自定义认证入口点:实现JSON格式未授权响应的详细内容,更多请关注创想鸟其它相关文章!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/306188.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
0 0

关于作者

程序猿的头像

程序猿签约作者

414.1K 文章
0 评论
2 粉丝
这个人很懒,什么都没有留下~
华为手机也能和iPhone互传文件了 鸿蒙6.0打通苹果生态
上一篇 2025年11月5日 03:09:43
巧文书AI官方下载链接最新 巧文书AI在线写作生成官网首页直达
下一篇 2025年11月5日 03:09:46

相关推荐

  • 修复Django电商项目中AJAX过滤产品列表图片不显示问题 用户投稿

    修复Django电商项目中AJAX过滤产品列表图片不显示问题

    在Django电商项目中,当使用AJAX动态加载过滤后的产品列表时,常遇到图片无法正常显示的问题。这通常是由于前端模板中图片加载方式(如data-setbg属性结合JavaScript库)与AJAX动态内容更新机制不兼容所致。解决方案是直接在AJAX返回的HTML中使用标准的标签来渲染图片,确保浏览…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 开源免费PHP工具 PHP开发效率提升利器 用户投稿

    开源免费PHP工具 PHP开发效率提升利器

    推荐开源免费PHP开发工具以提升效率:VS Code、Sublime Text轻量高效,PhpStorm专业强大;调试用Xdebug、Kint、Ray;依赖管理选Composer;代码质量工具包括PHPStan、Psalm、PHP_CodeSniffer;数据库管理可用%ignore_a_1%MyA…

    程序猿的头像 程序猿
    2026年5月10日
    000

  • Matplotlib 地图中多类型图例的创建与优化

    Matplotlib 地图中多类型图例的创建与优化Matplotlib 地图中多类型图例的创建与优化Matplotlib 地图中多类型图例的创建与优化Matplotlib 地图中多类型图例的创建与优化

    本教程旨在解决matplotlib地图可视化中,如何在一个图例中同时展示颜色块(如区域分类)和自定义标记(如特定兴趣点)的问题。文章详细介绍了当传统`patch`对象无法正确显示标记时,如何利用`matplotlib.lines.line2d`创建标记图例句柄,并将其与颜色块图例句柄合并,从而生成一…

    程序猿的头像 程序猿
    2026年5月10日 用户投稿
    100
  • Golang JSON序列化:控制敏感字段暴露的最佳实践 用户投稿

    Golang JSON序列化:控制敏感字段暴露的最佳实践

    本教程探讨golang中如何高效控制结构体字段在json序列化时的可见性。当需要将包含敏感信息的结构体数组转换为json响应时,通过利用`encoding/json`包提供的结构体标签,特别是`json:”-“`,可以轻松实现对特定字段的忽略,从而避免敏感数据泄露,确保api…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 怎么在PHP代码中实现图片上传功能_PHP图片上传功能实现与安全处理教程 用户投稿

    怎么在PHP代码中实现图片上传功能_PHP图片上传功能实现与安全处理教程

    首先创建含enctype的HTML表单,再用PHP接收文件,检查目录、移动临时文件,验证类型与大小,生成唯一文件名,并调整php.ini限制以确保上传成功。 如果您尝试在PHP项目中添加图片上传功能,但服务器无法正确接收或保存文件,则可能是由于表单配置、文件处理逻辑或安全限制的问题。以下是实现该功能…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • 比特币新手教程 比特币交易平台有哪些 用户投稿

    比特币新手教程 比特币交易平台有哪些

    比特币是一种去中心化的数字货币,基于区块链技术实现点对点交易,具有匿名性、有限发行和不可篡改等特点;新手可通过交易所购买,P2P交易获得比特币,常用平台包括Binance、OKX和Huobi;交易流程包括注册账户、实名认证、绑定支付方式、充值法币并下单购买,可选择市价单或限价单;比特币存储方式有交易…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • c++中的SFINAE技术是什么_c++模板编程中的SFINAE原理与应用 用户投稿

    c++中的SFINAE技术是什么_c++模板编程中的SFINAE原理与应用

    SFINAE 是“替换失败不是错误”的原则,指模板实例化时若参数替换导致错误,只要存在其他合法候选,编译器不报错而是继续重载决议。它用于条件启用模板、类型检测等场景,如通过 decltype 或 enable_if 控制函数重载,实现类型特征判断。尽管 C++20 引入 Concepts 简化了部分…

    程序猿的头像 程序猿
    2026年5月10日
    000

  • HTML如何隐藏滚动条或去除滚动条

    滚动条可以存在也可以不存在,本文主要介绍了html 隐藏滚动条和去除滚动条的方法的相关资料,大家一起来学习一下html隐藏滚动条或去除滚动条的方法吧。 1. html 标签加属性 XML/HTML Code复制内容到剪贴板 2.body中加入以下代码 立即学习“前端免费学习笔记(深入)”; html…

    程序猿的头像 程序猿
    用户投稿 2026年5月10日
    000
  • Go语言mgo查询构建:深入理解bson.M与日期范围查询的正确实践 用户投稿

    Go语言mgo查询构建:深入理解bson.M与日期范围查询的正确实践

    本文旨在解决go语言mgo库中构建复杂查询时,特别是涉及嵌套`bson.m`和日期范围筛选的常见错误。我们将深入剖析`bson.m`的类型特性,解释为何直接索引`interface{}`会导致“invalid operation”错误,并提供一种推荐的、结构清晰的代码重构方案,以确保查询条件能够正确…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • vscode上怎么运行html_vscode上运行html步骤【指南】 用户投稿

    vscode上怎么运行html_vscode上运行html步骤【指南】

    首先保存文件为.html格式,再通过浏览器或Live Server插件打开预览;推荐安装Live Server实现本地服务器运行与实时刷新,提升开发体验。 在 VS Code 上运行 HTML 文件并不需要复杂的配置,只需几个简单步骤即可预览页面效果。VS Code 本身是一个代码编辑器,不直接运行…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • 修复点击时按钮抖动:CSS垂直对齐实践 用户投稿

    修复点击时按钮抖动:CSS垂直对齐实践

    本文探讨了在Web开发中,交互式按钮(如播放/暂停按钮)在点击时发生意外垂直位移的问题。通过分析CSS样式变化对元素布局的影响,我们发现这是由于按钮不同状态下的边框样式和内边距改变,以及默认的垂直对齐行为共同作用所致。核心解决方案是利用CSS的vertical-align属性,将其设置为middle…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • Golang goroutine与channel调试技巧 用户投稿

    Golang goroutine与channel调试技巧

    使用go run -race检测数据竞争,结合runtime.NumGoroutine监控协程数量,通过pprof分析阻塞调用栈,利用select超时避免永久阻塞,有效排查goroutine泄漏、死锁和数据竞争问题。 Go语言的goroutine和channel是并发编程的核心,但它们也带来了调试上…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 页面中文本域的值怎么设置 用户投稿

    页面中文本域的值怎么设置

    标签定义多行的文本输入控件。 文本区中可容纳无限数量的文本,其中的文本的默认字体是等宽字体(通常是 Courier)。 可以通过 cols 和 rows 属性来规定 textarea 的尺寸,不过更好的办法是使用 CSS 的 height 和 width 属性。 注释:在文本输入区内的文本行间,用 …

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 使用 Jupyter Notebook 进行探索性数据分析 用户投稿

    使用 Jupyter Notebook 进行探索性数据分析

    Jupyter Notebook通过单元格实现代码与Markdown结合,支持数据导入(pandas)、清洗(fillna)、探索(matplotlib/seaborn可视化)、统计分析(describe/corr)和特征工程,便于记录与分享分析过程。 Jupyter Notebook 是进行探索性…

    程序猿的头像 程序猿
    2026年5月10日
    000

  • 《魔兽世界》将于6月11日开启国服回归技术测试

    《魔兽世界》将于6月11日开启国服回归技术测试《魔兽世界》将于6月11日开启国服回归技术测试《魔兽世界》将于6月11日开启国服回归技术测试《魔兽世界》将于6月11日开启国服回归技术测试

    《%ign%ignore_a_1%re_a_1%》官方宣布,将于6月11日开启国服回归技术测试,时间为7天,并称可以在6月内正式开服,玩家们可以访问官网下载战网客户端并预下载“巫妖王之怒”客户端,技术测试详情见下图。 WordAi WordAI是一个AI驱动的内容重写平台 53 查看详情 以上就是《…

    程序猿的头像 程序猿
    2026年5月10日 用户投稿
    200
  • 如何在HTML中插入表单元素_HTML表单控件与输入类型使用指南 用户投稿

    如何在HTML中插入表单元素_HTML表单控件与输入类型使用指南

    HTML表单通过标签构建,包含action和method属性定义数据提交目标与方式,常用input类型如text、password、email等适配不同输入需求,配合label、required、placeholder提升可用性,结合textarea、select、button等控件实现完整交互,是…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 前端缓存策略与JavaScript存储管理 用户投稿

    前端缓存策略与JavaScript存储管理

    根据数据特性选择合适的存储方式并制定清晰的读写与清理逻辑,能显著提升前端性能;合理运用Cookie、localStorage、sessionStorage、IndexedDB及Cache API,结合缓存策略与定期清理机制,可在保证用户体验的同时避免安全与性能隐患。 前端缓存和JavaScript存…

    程序猿的头像 程序猿
    2026年5月10日
    100
  • HTML5网页如何实现手势操作 HTML5网页移动端交互的处理技巧 用户投稿

    HTML5网页如何实现手势操作 HTML5网页移动端交互的处理技巧

    首先利用原生touch事件实现滑动判断,再通过preventDefault解决滚动冲突,接着引入Hammer.js处理复杂手势,最后通过优化点击区域、避免事件冲突和增加视觉反馈提升体验。 在移动端浏览器中,HTML5网页可以通过触摸事件实现手势操作,提升用户体验。虽然原生JavaScript提供了基…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 创建指定大小并填充特定数据的Golang文件教程 用户投稿

    创建指定大小并填充特定数据的Golang文件教程

    本文将介绍如何使用Golang创建一个指定大小的文件,并用特定数据填充它。我们将使用 `os` 包提供的函数来创建和截断文件,从而实现快速生成大文件的目的。示例代码展示了如何创建一个10MB的文件,并将其填充为全零数据。掌握这些方法,可以方便地在例如日志系统或磁盘队列等场景中,预先创建测试文件或初始…

    程序猿的头像 程序猿
    2026年5月10日
    000
  • 深入理解 Express.js 中 next() 参数的作用与中间件机制 用户投稿

    深入理解 Express.js 中 next() 参数的作用与中间件机制

    本文深入探讨 express.js 中间件函数中的 `next()` 参数。它负责将控制权传递给请求-响应周期中的下一个中间件或路由处理程序。文章将详细解释 `next()` 的工作原理、中间件的注册与执行顺序,以及不正确使用 `next()` 可能导致请求挂起的风险,并通过代码示例和实际应用场景,…

    程序猿的头像 程序猿
    2026年5月10日
    000

发表回复

登录后才能评论
关注微信