投稿获客
  1. 创想鸟首页
  2. java

Spring Security过滤器链中自定义异常响应体的方法

程序猿 java 阅读 0

Spring Security过滤器链中自定义异常响应体的方法

本文详细介绍了如何在spring security过滤器链中处理认证(authenticationexception)和授权(accessdeniedexception)异常。通过实现自定义的authenticationentrypoint和accessdeniedhandler接口,开发者可以拦截这些安全层面的错误,并生成符合api规范的json格式响应体,从而为客户端提供清晰的错误信息,避免仅依赖www-authenticate头,提升用户体验和系统健壮性。

Spring Security过滤器链中的异常处理机制

在Spring Boot应用中,我们通常使用@ControllerAdvice和@ExceptionHandler来集中处理控制器层抛出的异常,并构建统一的错误响应。然而,对于Spring Security过滤器链中发生的认证(Authentication)或授权(Authorization)异常,这种机制默认是无法捕获的。这是因为Spring Security的过滤器在请求到达控制器之前就已经执行,如果在此阶段发生异常,请求可能根本不会进入控制器层。

当Spring Security在认证或授权过程中遇到问题时,它可能会在WWW-Authenticate头部提供错误信息,而不是在响应体中提供用户友好的JSON消息。为了提供更一致和可预测的API错误响应,我们需要在Spring Security的过滤器链层面进行定制。

Spring Security主要处理两种类型的安全相关异常:

AuthenticationException: 当用户尝试访问受保护资源但未提供有效凭证(即未认证或认证失败)时抛出。AccessDeniedException: 当已认证的用户尝试访问他们没有权限的资源时抛出。

定制未认证用户的响应:AuthenticationEntryPoint

AuthenticationEntryPoint接口用于处理未认证用户尝试访问受保护资源时的行为。当Spring Security检测到未认证的请求时,会调用此接口的commence方法。

实现自定义 AuthenticationEntryPoint

我们可以创建一个自定义类实现AuthenticationEntryPoint接口,并在commence方法中构建我们期望的JSON错误响应。

import com.fasterxml.jackson.databind.ObjectMapper;import org.springframework.http.HttpStatus;import org.springframework.http.MediaType;import org.springframework.security.core.AuthenticationException;import org.springframework.security.web.AuthenticationEntryPoint;import org.springframework.stereotype.Component;import javax.servlet.ServletException;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.io.IOException;import java.util.HashMap;import java.util.Map;@Componentpublic class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {    private final ObjectMapper objectMapper = new ObjectMapper();    @Override    public void commence(HttpServletRequest request, HttpServletResponse response,                         AuthenticationException authException) throws IOException, ServletException {        // 设置响应状态码为 401 Unauthorized        response.setStatus(HttpStatus.UNAUTHORIZED.value());        // 设置响应内容类型为 JSON        response.setContentType(MediaType.APPLICATION_JSON_VALUE);        // 构建自定义的 JSON 错误信息        Map errorDetails = new HashMap();        errorDetails.put("timestamp", System.currentTimeMillis());        errorDetails.put("status", HttpStatus.UNAUTHORIZED.value());        errorDetails.put("error", "Unauthorized");        errorDetails.put("message", "认证失败或未提供有效凭证: " + authException.getMessage());        errorDetails.put("path", request.getRequestURI());        // 将错误信息写入响应体        response.getWriter().write(objectMapper.writeValueAsString(errorDetails));    }}

注册 AuthenticationEntryPoint

Humata Humata

Humata是用于文件的ChatGPT。对你的数据提出问题,并获得由AI提供的即时答案。

Humata 82 查看详情 Humata

在Spring Security的配置类中,需要将这个自定义的AuthenticationEntryPoint注册到HttpSecurity对象中。

import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.web.SecurityFilterChain;@Configuration@EnableWebSecuritypublic class SecurityConfig {    private final CustomAuthenticationEntryPoint customAuthenticationEntryPoint;    public SecurityConfig(CustomAuthenticationEntryPoint customAuthenticationEntryPoint) {        this.customAuthenticationEntryPoint = customAuthenticationEntryPoint;    }    @Bean    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {        http            // ... 其他安全配置 ...            .exceptionHandling(exceptionHandling ->                exceptionHandling.authenticationEntryPoint(customAuthenticationEntryPoint)            );        return http.build();    }}

定制访问拒绝用户的响应:AccessDeniedHandler

AccessDeniedHandler接口用于处理已认证用户尝试访问他们没有权限的资源时的行为。当Spring Security检测到访问拒绝时,会调用此接口的handle方法。

实现自定义 AccessDeniedHandler

import com.fasterxml.jackson.databind.ObjectMapper;import org.springframework.http.HttpStatus;import org.springframework.http.MediaType;import org.springframework.security.access.AccessDeniedException;import org.springframework.security.web.access.AccessDeniedHandler;import org.springframework.stereotype.Component;import javax.servlet.ServletException;import javax.servlet.http.HttpServletRequest;import javax.servlet.http.HttpServletResponse;import java.io.IOException;import java.util.HashMap;import java.util.Map;@Componentpublic class CustomAccessDeniedHandler implements AccessDeniedHandler {    private final ObjectMapper objectMapper = new ObjectMapper();    @Override    public void handle(HttpServletRequest request, HttpServletResponse response,                       AccessDeniedException accessDeniedException) throws IOException, ServletException {        // 设置响应状态码为 403 Forbidden        response.setStatus(HttpStatus.FORBIDDEN.value());        // 设置响应内容类型为 JSON        response.setContentType(MediaType.APPLICATION_JSON_VALUE);        // 构建自定义的 JSON 错误信息        Map errorDetails = new HashMap();        errorDetails.put("timestamp", System.currentTimeMillis());        errorDetails.put("status", HttpStatus.FORBIDDEN.value());        errorDetails.put("error", "Forbidden");        errorDetails.put("message", "您没有权限访问此资源: " + accessDeniedException.getMessage());        errorDetails.put("path", request.getRequestURI());        // 将错误信息写入响应体        response.getWriter().write(objectMapper.writeValueAsString(errorDetails));    }}

注册 AccessDeniedHandler

同样,在Spring Security的配置类中,需要将这个自定义的AccessDeniedHandler注册到HttpSecurity对象中。

import org.springframework.context.annotation.Bean;import org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.web.builders.HttpSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;import org.springframework.security.web.SecurityFilterChain;@Configuration@EnableWebSecuritypublic class SecurityConfig {    private final CustomAuthenticationEntryPoint customAuthenticationEntryPoint;    private final CustomAccessDeniedHandler customAccessDeniedHandler; // 注入 AccessDeniedHandler    public SecurityConfig(CustomAuthenticationEntryPoint customAuthenticationEntryPoint,                          CustomAccessDeniedHandler customAccessDeniedHandler) {        this.customAuthenticationEntryPoint = customAuthenticationEntryPoint;        this.customAccessDeniedHandler = customAccessDeniedHandler;    }    @Bean    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {        http            // ... 其他安全配置 ...            .exceptionHandling(exceptionHandling ->                exceptionHandling                    .authenticationEntryPoint(customAuthenticationEntryPoint)                    .accessDeniedHandler(customAccessDeniedHandler) // 注册 AccessDeniedHandler            );        return http.build();    }}

注意事项与最佳实践

响应体直接操作: 在AuthenticationEntryPoint和AccessDeniedHandler中,我们通过HttpServletResponse.getWriter().write()直接向响应体写入内容。这是在过滤器链中修改响应体的标准方式。内容类型设置: 务必设置response.setContentType(MediaType.APPLICATION_JSON_VALUE),确保客户端能够正确解析响应体。状态码: 根据错误类型设置正确的HTTP状态码(例如,401 Unauthorized for认证失败,403 Forbidden for访问拒绝)。错误信息一致性: 尽量使这些自定义的错误响应格式与@ControllerAdvice处理的业务异常响应格式保持一致,以提供统一的API错误接口。委托给@ExceptionHandler (高级): 对于更复杂的错误序列化需求,可以考虑在AuthenticationEntryPoint或AccessDeniedHandler中,将异常“重新抛出”或委托给一个能够触发@ExceptionHandler的组件。一种常见的做法是创建一个ExceptionTranslationFilter的自定义实现,或者在AuthenticationEntryPoint内部通过RequestDispatcher转发请求到某个专门的错误处理URI,该URI由@ControllerAdvice处理。然而,对于大多数API场景,直接在commence或handle方法中构建JSON响应体已足够。日志记录: 在这些处理器中加入适当的日志记录,以便于追踪和调试安全相关的错误。

总结

通过实现自定义的AuthenticationEntryPoint和AccessDeniedHandler,Spring Security开发者可以有效地拦截并处理过滤器链中的认证和授权异常。这种方法允许我们为客户端提供结构化、用户友好的JSON错误响应,而不是依赖于HTTP头部信息,极大地提升了API的健壮性和客户端的开发体验。这是构建专业级Spring Boot RESTful API不可或缺的一部分。

以上就是Spring Security过滤器链中自定义异常响应体的方法的详细内容,更多请关注创想鸟其它相关文章!

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/723708.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
0 0

关于作者

程序猿的头像

程序猿签约作者

266.4K 文章
0 评论
1 粉丝
这个人很懒,什么都没有留下~
上一篇 2025年11月24日 16:36:25
下一篇 2025年11月24日 16:41:00

相关推荐

  • 云闪付怎么快速赚取积点_云闪付积点快速获取方法

    通过微信小程序用云闪付支付可日赚692积点;62VIP会员消费满10元返积点,月上限3000;转账超1000元得2积点,还款超100元得10积点,每月各限3笔;扫本人收款码支付5元以上每笔得10积点,日限3笔;改定位至杭州领“浙里有优惠”活动卡可得2025积点。 如果您在使用云闪付时希望快速积累积点…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    700

  • AO3镜像站备用镜像网址_AO3镜像站快速访问官网

    AO3镜像站备用网址包括ao3mirror.com和xiaozhan.icu,当主站archiveofourown.org无法访问时可切换使用,二者均同步更新内容并支持多语言检索与离线下载功能。 AO3镜像站备用镜像网址在哪里?这是不少网友都关注的,接下来由PHP小编为大家带来AO3镜像站快速访问官…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    200

  • 天猫app淘金币抵扣怎么使用

    在天猫app购物时,淘金币是一项能够帮助你节省开支的实用功能。掌握淘金币的抵扣使用方法,能让你以更实惠的价格买到心仪商品。 当你选好商品并准备下单时,记得查看商品页面是否支持淘金币抵扣。如果该商品支持此项功能,在提交订单的页面会明确显示相关提示。你会看到淘金币的具体抵扣比例——通常情况下,淘金币可按…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    500

  • 怎样用免费工具美化PPT_免费美化PPT的实用方法分享

    利用KIMI智能助手可免费将PPT美化为科技感风格,但需核对文字准确性;2. 天工AI擅长优化内容结构,提升逻辑性,适合高质量内容需求;3. SlidesAI支持语音输入与自动排版,操作便捷,利于紧急场景;4. Prezo提供多种模板,自动生成图文并茂幻灯片,适合学生与初创团队。 如果您有一份内容完…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    100

  • Pages怎么协作编辑同一文档 Pages多人实时协作的流程

    首先启用Pages共享功能,点击右上角共享按钮并选择“添加协作者”,设置为可编辑并生成链接;接着复制链接通过邮件或社交软件发送给成员,确保其使用Apple ID登录iCloud后即可加入编辑;也可直接在共享菜单中输入邮箱地址定向邀请,设定编辑权限后发送;最后在共享面板中管理协作者权限,查看实时在线状…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    200

  • 咸鱼遇到“只退款不退货”的买家怎么办_咸鱼处理只退款不退货方法

    先与买家协商解决,要求其按规则退货退款,并保留聊天记录;若协商无效,申请平台介入并提交发货、签收及沟通等证据;若平台处理不利且金额较大,可依法提起民事诉讼,主张买家违反《民法典》合同规定,追回货款。 如果您在咸鱼平台出售手机后,买家申请“仅退款不退货”,这可能导致您既损失商品又损失资金。以下是应对该…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    000

  • 怎么下载安装快手极速版_快手极速版下载安装详细教程

    1、优先通过华为应用市场搜索“快手极速版”,确认开发者为北京快手科技有限公司后安装;2、若应用商店无结果,可访问快手极速版官网下载APK文件,需手动开启浏览器的未知来源安装权限;3、也可选择豌豆荚、应用宝等可信第三方平台下载官方版本,核对安全标识后完成安装。 如果您尝试在手机上安装快手极速版,但无法…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    000

  • 哔哩哔哩的视频卡在加载中怎么办_哔哩哔哩视频加载卡顿解决方法

    视频加载停滞可先切换网络或重启路由器,再清除B站缓存并重装应用,接着调低播放清晰度并关闭自动选分辨率,随后更改播放策略为AVC编码,最后关闭硬件加速功能以恢复播放。 如果您尝试播放哔哩哔哩的视频,但进度条停滞在加载状态,无法继续播放,这通常是由于网络、应用缓存或播放设置等因素导致。以下是解决此问题的…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    000

  • REDMI K90系列正式发布,售价2599元起!

    10月23日,redmi k90系列正式亮相,推出redmi k90与redmi k90 pro max两款新机。其中,redmi k90搭载骁龙8至尊版处理器、7100mah大电池及100w有线快充等多项旗舰配置,起售价为2599元,官方称其为k系列迄今为止最完整的标准版本。 图源:REDMI红米…

    程序猿的头像 程序猿
    2025年12月6日 行业动态
    200

  • Linux中如何安装Nginx服务_Linux安装Nginx服务的完整指南

    首先更新系统软件包,然后通过对应包管理器安装Nginx,启动并启用服务,开放防火墙端口,最后验证欢迎页显示以确认安装成功。 在Linux系统中安装Nginx服务是搭建Web服务器的第一步。Nginx以高性能、低资源消耗和良好的并发处理能力著称,广泛用于静态内容服务、反向代理和负载均衡。以下是在主流L…

    程序猿的头像 程序猿
    2025年12月6日 运维
    000

  • Linux journalctl与systemctl status结合分析

    先看 systemctl status 确认服务状态,再用 journalctl 查看详细日志。例如 nginx 启动失败时,systemctl status 显示 Active: failed,journalctl -u nginx 发现端口 80 被占用,结合两者可快速定位问题根源。 在 Lin…

    程序猿的头像 程序猿
    2025年12月6日 运维
    100

  • 华为新机发布计划曝光:Pura 90系列或明年4月登场

    近日,有数码博主透露了华为2025年至2026年的新品规划,其中pura 90系列预计在2026年4月发布,有望成为华为新一代影像旗舰。根据路线图,华为将在2025年底至2026年陆续推出mate 80系列、折叠屏新机mate x7系列以及nova 15系列,而pura 90系列则将成为2026年上…

    程序猿的头像 程序猿
    2025年12月6日 行业动态
    100

  • 菜鸟app的语音助手怎么唤醒_菜鸟app语音助手使用方法

    检查菜鸟App麦克风及后台运行权限;2. 在App内开启语音助手功能;3. 通过首页麦克风图标手动唤醒;4. 更新App至最新版本以确保功能正常。 如果您在使用菜鸟App时希望快速获取快递信息或执行相关操作,但发现语音助手无法响应,可能是由于唤醒功能未正确设置。以下是解决此问题的步骤: 本文运行环境…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    000

  • Linux如何优化系统性能_Linux系统性能优化的实用方法

    优化Linux性能需先监控资源使用,通过top、vmstat等命令分析负载,再调整内核参数如TCP优化与内存交换,结合关闭无用服务、选用合适文件系统与I/O调度器,持续按需调优以提升系统效率。 Linux系统性能优化的核心在于合理配置资源、监控系统状态并及时调整瓶颈环节。通过一系列实用手段,可以显著…

    程序猿的头像 程序猿
    2025年12月6日 运维
    000

  • 方正证券新股中签后怎么缴款_方正证券新股中签缴款教程

    中签后需在T+2日16:00前备足资金,方正证券将自动扣款。通过小方APP、短信或中签查询功能确认结果,缴款金额为中签股数×发行价,可用账户余额、卖股资金或银证转账充值,建议多存几十元作缓冲。系统通常于T+2日收盘后扣款,若资金不足或被其他自动交易占用导致失败,一年累计弃购3次将被限制半年打新。核心…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    000

  • E票电影app购票流程

    E票电影app使用指南: 1、安装完成后启动e票电影应用程序; 2、在首页的搜索框中输入你想观看的影片名称; Type Studio 一个视频编辑器,提供自动转录、自动生成字幕、视频翻译等功能 61 查看详情 3、选择场次后,点击“购票”按钮完成选座下单。 以上就是E票电影app购票流程的详细内容,…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    000

  • 爱聊app年龄修改入口

    爱聊app年龄修改入口: 1、打开app后,先点击界面右下角的“我”,然后点击顶部的个人“头像”; 2、进入个人资料页面后,点击右上角的“编辑”按钮; 3、在资料列表中找到“生日”选项,点击右侧显示的具体出生日期; 4、调整生日至正确的时间,修改完成后点击右上角的“确定”按钮,即可成功更新年龄信息。…

    程序猿的头像 程序猿
    2025年12月6日 软件教程
    000

  • 曝小米17 Air正在筹备 超薄机身+2亿像素+eSIM技术?

    近日,手机行业再度掀起超薄机型热潮,三星与苹果已相继推出s25 edge与iphone air等轻薄旗舰,引发市场高度关注。在此趋势下,多家国产厂商被曝正积极布局相关技术,加速抢占这一细分赛道。据业内人士消息,小米的超薄旗舰机型小米17 air已进入筹备阶段。 小米17 Pro 爆料显示,小米正在评…

    程序猿的头像 程序猿
    2025年12月6日 行业动态
    000

  • 荣耀手表5Pro 10月23日正式开启首销国补优惠价1359.2元起售

    荣耀手表5pro自9月25日开启全渠道预售以来,市场热度持续攀升,上市初期便迎来抢购热潮,一度出现全线售罄、供不应求的局面。10月23日,荣耀手表5pro正式迎来首销,提供蓝牙版与esim版两种选择。其中,蓝牙版本的攀登者(橙色)、开拓者(黑色)和远航者(灰色)首销期间享受国补优惠价,到手价为135…

    程序猿的头像 程序猿
    2025年12月6日 行业动态
    000

  • Vue.js应用中配置环境变量:灵活管理后端通信地址

    在%ignore_a_1%应用中,灵活配置后端api地址等参数是开发与部署的关键。本文将详细介绍两种主要的环境变量配置方法:推荐使用的`.env`文件,以及通过`cross-env`库在命令行中设置环境变量。通过这些方法,开发者可以轻松实现开发、测试、生产等不同环境下配置的动态切换,提高应用的可维护…

    程序猿的头像 程序猿
    2025年12月6日 web前端
    000

发表回复

登录后才能评论
关注微信