Spring Security自定义认证入口点：实现JSON格式未授权响应

程序猿 • 2025年11月5日 03:09:45 • java • 阅读 2

spring security默认的认证失败响应是html页面。本教程将指导如何通过实现自定义的authenticationentrypoint来拦截401未授权错误，并将其转换为统一的json格式响应，从而提供更友好的api错误处理机制。内容涵盖配置securityconfiguration、编写customauthenticationentrypoint以及相应的单元测试，确保api客户端能正确解析错误信息。

1. Spring Security默认的认证失败处理与API需求

在构建RESTful API时，客户端通常期望接收结构化的错误响应，例如JSON格式，而不是Web服务器生成的HTML错误页面。然而，Spring Security在处理用户未认证（HTTP 401 Unauthorized）的请求时，其默认行为是返回一个包含HTML内容的错误页面。这对于Web应用可能尚可接受，但对于API客户端来说，解析HTML以获取错误详情既不高效也不方便。

例如，当未认证用户访问受保护资源时，Spring Security可能返回类似以下内容的HTML响应：

    HTTP Status 401 – Unauthorized        HTTP Status 401 – Unauthorized

而API客户端通常期望得到的是类似以下JSON格式的错误响应：

{    "errors": [        {            "status": "401",            "title": "UNAUTHORIZED",            "detail": "认证失败，请提供有效的凭据。"        }    ]}

为了满足这一需求，我们需要定制Spring Security的认证入口点（AuthenticationEntryPoint）。

2. 理解AuthenticationEntryPoint

AuthenticationEntryPoint是Spring Security提供的一个核心接口，用于处理未经认证的请求。当用户尝试访问受保护资源但未提供有效凭据时，或者提供的凭据无法通过认证时，Spring Security会调用配置的AuthenticationEntryPoint的commence方法。

commence方法签名如下：

void commence(HttpServletRequest request, HttpServletResponse response,              AuthenticationException authException) throws IOException, ServletException;

在该方法中，我们可以对HttpServletResponse进行操作，例如设置HTTP状态码、添加响应头，以及最重要的——写入自定义的响应体。

Find JSON Path Online

Easily find JSON paths within JSON objects using our intuitive Json Path Finder

30 查看详情

3. 实现自定义的JSON格式认证入口点

要实现JSON格式的未授权响应，关键在于在CustomAuthenticationEntryPoint中直接向HttpServletResponse的输出流写入JSON数据，而不是使用response.sendError()。response.sendError()方法通常会委托给Servlet容器来生成错误页面，这会导致返回HTML。

以下是一个实现自定义AuthenticationEntryPoint的示例：

import com.fasterxml.jackson.databind.ObjectMapper; // 推荐使用Jackson进行JSON序列化import jakarta.servlet.ServletException;import jakarta.servlet.http.HttpServletRequest;import jakarta.servlet.http.HttpServletResponse;import org.springframework.http.HttpStatus;import org.springframework.http.MediaType;import org.springframework.security.core.AuthenticationException;import org.springframework.security.web.AuthenticationEntryPoint;import org.springframework.stereotype.Component;import java.io.IOException;import java.util.Collections;import java.util.Map;@Componentpublic class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {    private final ObjectMapper objectMapper = new ObjectMapper(); // 用于JSON序列化    @Override    public void commence(HttpServletRequest request, HttpServletResponse response,                         AuthenticationException authException) throws IOException, ServletException {        // 设置响应内容类型为JSON        response.setContentType(MediaType.APPLICATION_JSON_VALUE);        // 设置HTTP状态码为401 Unauthorized        response.setStatus(HttpStatus.UNAUTHORIZED.value());        // 对于Basic认证，通常需要添加WWW-Authenticate头        response.addHeader("WWW-Authenticate", "Basic realm="Realm"");        // 构建自定义的错误响应体        // 实际项目中可以定义一个专门的ErrorResponse DTO        Map errorDetails = Map.of(                "status", HttpStatus.UNAUTHORIZED.value(),                "title", HttpStatus.UNAUTHORIZED.getReasonPhrase(),                "detail", authException.getMessage() != null ? authException.getMessage() : "认证失败，请提供有效凭据。"        );        Map errorResponse = Collections.singletonMap("errors", Collections.singletonList(errorDetails));        // 使用ObjectMapper将Map转换为JSON字符串并写入响应        objectMapper.writeValue(response.getWriter(), errorResponse);    }}

代码解析：

@Component：将CustomAuthenticationEntryPoint声明为一个Spring组件，以便可以被Spring容器管理。response.setContentType(MediaType.APPLICATION_JSON_VALUE)：这是确保客户端将响应识别为JSON的关键步骤。response.setStatus(HttpStatus.UNAUTHORIZED.value())：显式设置HTTP状态码为401。response.addHeader(“WWW-Authenticate”, “Basic realm=”Realm””)：如果使用Basic认证，此头是必要的，它告知客户端需要Basic认证。objectMapper.writeValue(response.getWriter(), errorResponse)：这是将JSON数据写入响应体的核心。我们推荐使用ObjectMapper（如Jackson库提供）来序列化Java对象到JSON，因为它比手动拼接字符串更健壮、更灵活，尤其是在处理复杂对象时。errorResponse是一个简单的Map结构，模拟了预期的JSON格式。

4. 配置Spring Security以使用自定义入口点

接下来，我们需要在Spring Security的配置类中注册这个自定义的AuthenticationEntryPoint。这通常在继承WebSecurityConfigurerAdapter（或使用SecurityFilterChain）的配置类中完成。

import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.http.HttpMethod;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.web.SecurityFilterChain;@Configuration@EnableWebSecuritypublic class SecurityConfiguration {    private final CustomAuthenticationEntryPoint customAuthenticationEntryPoint;    // 通过构造器注入自定义的AuthenticationEntryPoint    public SecurityConfiguration(CustomAuthenticationEntryPoint customAuthenticationEntryPoint) {        this.customAuthenticationEntryPoint = customAuthenticationEntryPoint;    }    @Bean    public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {        httpSecurity                .csrf(csrf -> csrf.disable()) // 禁用CSRF，通常RESTful API不需要                .authorizeHttpRequests(authorize -> authorize                        .requestMatchers(HttpMethod.GET, "/**").permitAll() // 允许GET请求无需认证                        .anyRequest().authenticated() // 其他所有请求需要认证                )                .httpBasic(httpBasic -> {}) // 启用HTTP Basic认证                .exceptionHandling(exceptionHandling -> exceptionHandling                        // 注册自定义的AuthenticationEntryPoint                        .authenticationEntryPoint(customAuthenticationEntryPoint)                );        return httpSecurity.build();    }}

注意： Spring Security 5.7.0-M2及更高版本推荐使用SecurityFilterChain和Lambda DSL进行配置，而不是继承WebSecurityConfigurerAdapter。上述代码已更新为现代Spring Security的配置方式。

5. 编写单元测试验证JSON响应

为了确保自定义的认证入口点按预期工作，编写一个单元测试是必不可少的。我们可以使用Spring的MockMvc来模拟HTTP请求并验证响应。

package com.example.security.custom.entrypoint;import org.junit.jupiter.api.Test;import org.springframework.beans.factory.annotation.Autowired;import org.springframework.boot.test.autoconfigure.web.servlet.WebMvcTest;import org.springframework.context.annotation.Import;import org.springframework.test.web.servlet.MockMvc;import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.post;import static org.springframework.test.web.servlet.result.MockMvcResultHandlers.print;import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.*;// 指定需要测试的Web层组件，并导入SecurityConfiguration@WebMvcTest // 仅加载Web层相关的bean@Import({SecurityConfiguration.class, CustomAuthenticationEntryPoint.class}) // 导入安全配置和自定义入口点class SecurityCustomEntrypointApplicationTests {  @Autowired  private MockMvc mvc;  @Test  void testUnauthorizedResponseIsJson() throws Exception {    mvc        .perform(post("/somewhere")) // 发送一个POST请求到任意受保护的路径，但不提供认证凭据        .andDo(print()) // 打印请求

以上就是Spring Security自定义认证入口点：实现JSON格式未授权响应的详细内容，更多请关注创想鸟其它相关文章！

版权声明：本文内容由互联网用户自发贡献，该文观点仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容，请发送邮件至 chuangxiangniao@163.com 举报，一经查实，本站将立刻删除。
发布者：程序猿，转转请注明出处：https://www.chuangxiangniao.com/p/306188.html

ai app html java js json restful api spr spring security 状态码

打赏

微信扫一扫

支付宝扫一扫

0 0

关于作者

程序猿签约作者

414.1K 文章

0 评论

2 粉丝

这个人很懒，什么都没有留下～

Java中如何创建一个简易的聊天工具

上一篇 2025年11月5日 03:08:58

Java字符串特定索引字符的精确匹配与多条件判断

下一篇 2025年11月5日 03:10:32

好文分享

Uniapp 中如何不拉伸不裁剪地展示图片？

灵活展示图片：如何不拉伸不裁剪在界面设计中，常常需要以原尺寸展示用户上传的图片。本文将介绍一种在 uniapp 框架中实现该功能的简单方法。对于不同尺寸的图片，可以采用以下处理方式：极端宽高比：撑满屏幕宽度或高度，再等比缩放居中。非极端宽高比：居中显示，若能撑满则撑满。然而，如果需要不拉伸不…

程序猿
2025年12月24日
4000
好文分享

如何让小说网站控制台显示乱码，同时网页内容正常显示？

如何在不影响用户界面的情况下实现控制台乱码？当在小说网站上下载小说时，大家可能会遇到一个问题：网站上的文本在网页内正常显示，但是在控制台中却是乱码。如何实现此类操作，从而在不影响用户界面（UI）的情况下保持控制台乱码呢？答案在于使用自定义字体。网站可以通过在服务器端配置自定义字体，并通过在客户端…

程序猿
2025年12月24日
8000
好文分享

如何在地图上轻松创建气泡信息框？

地图上气泡信息框的巧妙生成地图上气泡信息框是一种常用的交互功能，它简便易用，能够为用户提供额外信息。本文将探讨如何借助地图库的功能轻松创建这一功能。利用地图库的原生功能大多数地图库，如高德地图，都提供了现成的信息窗体和右键菜单功能。这些功能可以通过以下途径实现：高德地图 JS API 参考文…

程序猿
2025年12月24日
4000
好文分享

如何使用 scroll-behavior 属性实现元素scrollLeft变化时的平滑动画？

如何实现元素scrollleft变化时的平滑动画效果？在许多网页应用中，滚动容器的水平滚动条（scrollleft）需要频繁使用。为了让滚动动作更加自然，你希望给scrollleft的变化添加动画效果。解决方案：scroll-behavior 属性要实现scrollleft变化时的平滑动画效果…

程序猿
2025年12月24日
0000
好文分享

如何为滚动元素添加平滑过渡，使滚动条滑动时更自然流畅？

给滚动元素平滑过渡如何在滚动条属性（scrollleft）发生改变时为元素添加平滑的过渡效果？解决方案：scroll-behavior 属性为滚动容器设置 scroll-behavior 属性可以实现平滑滚动。 html 代码： click the button to slide right!…

程序猿
2025年12月24日
5000
好文分享

如何选择元素个数不固定的指定类名子元素？

灵活选择元素个数不固定的指定类名子元素在网页布局中，有时需要选择特定类名的子元素，但这些元素的数量并不固定。例如，下面这段 html 代码中，activebar 和 item 元素的数量均不固定： *n *n 如果需要选择第一个 item元素，可以使用 css 选择器 :nth-child()。该…

程序猿
2025年12月24日
2000
好文分享

使用 SVG 如何实现自定义宽度、间距和半径的虚线边框？

使用 svg 实现自定义虚线边框如何实现一个具有自定义宽度、间距和半径的虚线边框是一个常见的前端开发问题。传统的解决方案通常涉及使用 border-image 引入切片图片，但是这种方法存在引入外部资源、性能低下的缺点。为了避免上述问题，可以使用 svg（可缩放矢量图形）来创建纯代码实现。一种方…

程序猿
2025年12月24日
1000
好文分享

如何让“元素跟随文本高度，而不是撑高父容器？

如何让元素跟随文本高度，而不是撑高父容器在页面布局中，经常遇到父容器高度被子元素撑开的问题。在图例所示的案例中，父容器被较高的图片撑开，而文本的高度没有被考虑。本问答将提供纯css解决方案，让图片跟随文本高度，确保父容器的高度不会被图片影响。解决方法为了解决这个问题，需要将图片从文档流中脱离…

程序猿
2025年12月24日
0000
好文分享

为什么 CSS mask 属性未请求指定图片？

解决 css mask 属性未请求图片的问题在使用 css mask 属性时，指定了图片地址，但网络面板显示未请求获取该图片，这可能是由于浏览器兼容性问题造成的。问题如下代码所示：立即学习“前端免费学习笔记（深入）”； icon [data-icon=”cloud”] { –icon-cl…

程序猿
2025年12月24日
2000
好文分享

如何利用 CSS 选中激活标签并影响相邻元素的样式？

如何利用 css 选中激活标签并影响相邻元素？为了实现激活标签影响相邻元素的样式需求，可以通过 :has 选择器来实现。以下是如何具体操作：对于激活标签相邻后的元素，可以在 css 中使用以下代码进行设置： li:has(+li.active) { border-radius: 0 0 10px…

程序猿
2025年12月24日
1000
好文分享

如何模拟Windows 10 设置界面中的鼠标悬浮放大效果？

win10设置界面的鼠标移动显示周边的样式（探照灯效果）的实现方式在windows设置界面的鼠标悬浮效果中，光标周围会显示一个放大区域。在前端开发中，可以通过多种方式实现类似的效果。使用css 使用css的transform和box-shadow属性。通过将transform: scale(1.…

程序猿
2025年12月24日
2000
好文分享

为什么我的 Safari 自定义样式表在百度页面上失效了？

为什么在 Safari 中自定义样式表未能正常工作？在 Safari 的偏好设置中设置自定义样式表后，您对其进行测试却发现效果不同。在您自己的网页中，样式有效，而在百度页面中却失效。造成这种情况的原因是，第一个访问的项目使用了文件协议，可以访问本地目录中的图片文件。而第二个访问的百度使用了 ht…

程序猿
2025年12月24日
0000
好文分享

如何用前端实现 Windows 10 设置界面的鼠标移动探照灯效果？

如何在前端实现 Windows 10 设置界面中的鼠标移动探照灯效果想要在前端开发中实现 Windows 10 设置界面中类似的鼠标移动探照灯效果，可以通过以下途径： CSS 解决方案 DEMO 1: Windows 10 网格悬停效果：https://codepen.io/tr4553r7/pe…

程序猿
2025年12月24日
0000
好文分享

使用CSS mask属性指定图片URL时，为什么浏览器无法加载图片？

css mask属性未能加载图片的解决方法使用css mask属性指定图片url时，如示例中所示： mask: url(“https://api.iconify.design/mdi:apple-icloud.svg”) center / contain no-repeat; 但是，在网络面板中却…

程序猿
2025年12月24日
0000
好文分享

如何用CSS Paint API为网页元素添加时尚的斑马线边框？

为元素添加时尚的斑马线边框在网页设计中，有时我们需要添加时尚的边框来提升元素的视觉效果。其中，斑马线边框是一种既醒目又别致的设计元素。实现斜向斑马线边框要实现斜向斑马线间隔圆环，我们可以使用css paint api。该api提供了强大的功能，可以让我们在元素上绘制复杂的图形。立即学习“前端…

程序猿
2025年12月24日
0000
好文分享

图片如何不撑高父容器？

如何让图片不撑高父容器？当父容器包含不同高度的子元素时，父容器的高度通常会被最高元素撑开。如果你希望父容器的高度由文本内容撑开，避免图片对其产生影响，可以通过以下 css 解决方法：绝对定位元素： .child-image { position: absolute; top: 0; left: …

程序猿
2025年12月24日
0000
CSS 帮助

我正在尝试将文本附加到棕色框的左侧。我不能。我不知道代码有什么问题。请帮助我。 css .hero { position: relative; bottom: 80px; display: flex; justify-content: left; align-items: start; color:…

程序猿
2025年12月24日 • 好文分享
2000
好文分享

前端代码辅助工具：如何选择最可靠的AI工具？

前端代码辅助工具：可靠性探讨对于前端工程师来说，在HTML、CSS和JavaScript开发中借助AI工具是司空见惯的事情。然而，并非所有工具都能提供同等的可靠性。个性化需求关于哪个AI工具最可靠，这个问题没有一刀切的答案。每个人的使用习惯和项目需求各不相同。以下是一些影响选择的重要因素：立…

程序猿
2025年12月24日
3000
好文分享

如何用 CSS Paint API 实现倾斜的斑马线间隔圆环？

实现斑马线边框样式：探究 css paint api 本文将探究如何使用 css paint api 实现倾斜的斑马线间隔圆环。问题：给定一个有多个圆圈组成的斑马线图案，如何使用 css 实现倾斜的斑马线间隔圆环？答案：立即学习“前端免费学习笔记（深入）”；使用 css paint api…

程序猿
2025年12月24日
0000
好文分享

如何使用CSS Paint API实现倾斜斑马线间隔圆环边框？

css实现斑马线边框样式想定制一个带有倾斜斑马线间隔圆环的边框？现在使用css paint api，定制任何样式都轻而易举。 css paint api 这是一个新的css特性，允许开发人员创建自定义形状和图案，其中包括斑马线样式。立即学习“前端免费学习笔记（深入）”；实现倾斜斑马线间隔圆环 …

程序猿
2025年12月24日
1000