热门标签
热门文章
- 1扬帆未来,成就架构之路:十本书籍助力你的架构师梦想 | 文末送书
- 2GoogLeNet详解
- 3浅谈运维工程师的开发能力的培养_it运维如何提高开发能力
- 4使用android.hardware.camera2打造新的自定义相机_c# mono.android android.hardware.camera2
- 5【K8s学习】
- 6安装使用NVIDIA-Docker——可使用GPU的Docker容器
- 7亚马逊云科技 re:Invent 2023:科技前沿风向标,探索未来云计算之窗_aws re:invent 2023什么意思
- 8探针配置失误,线上容器应用异常死锁后,kubernetes集群未及时响应自愈重启容器?_应用节点加上探针后为什么频繁重启
- 9添加全局自动聚焦的Vue自定义功能_vue3 on-focus
- 10分布式ID(3):雪花算法生成ID之UidGenerator(百度开源的分布式唯一ID生成器)
当前位置: article > 正文
Spring Security中配置AccessDeniedHandler没有生效
作者:花生_TL007 | 2024-02-08 11:38:44
赞
踩
accessdeniedhandler
现象
在 WebSecurityConfigurerAdapter 配置了如下代码:
- // 自定义未授权和未登录异常
- http.exceptionHandling()
- .accessDeniedHandler(new RestAccessDeniedHandler())
- .authenticationEntryPoint(new RestAuthenticationEntryPoint());
在 Controller 层 REST 接口中添加有 @PreAuthorize 注解:
- @PreAuthorize(value = "hasAuthority('Users.Update')")
- @GetMapping("/hello")
- public ResponseEntity<?> hello(@RequestParam(value = "name", required = false, defaultValue = "Tom") String name) {
- return ResponseEntity.ok(RestResponse.buildResponse("Hi: " + name));
- }
访问接口 /hello,报服务端 500 错误,没有执行我们设置的 accessDeniedHandler 来处理权限不足的异常。
原因
@PreAuthorize 注解的异常,抛出 AccessDeniedException 异常,不会被 accessDeniedHandler 捕获,而是会被全局异常捕获。全局异常处理 AccessDeniedException 的相关示例代码:
- @Slf4j
- @RestControllerAdvice
- public class GlobalExceptionHandler {
-
- @ExceptionHandler(Exception.class)
- public ResponseEntity<RestResponse<Object>> handleException(Exception exception) {
- String message = exception.getLocalizedMessage();
- log.error("全局异常捕获Exception:{}", message, exception);
- HttpStatus httpStatus = HttpStatus.INTERNAL_SERVER_ERROR;
- if (exception instanceof BadCredentialsException) {
- httpStatus = HttpStatus.UNAUTHORIZED;
- }
- if (exception instanceof HttpRequestMethodNotSupportedException) {
- httpStatus = HttpStatus.METHOD_NOT_ALLOWED;
- }
- return RestResponse.buildError(httpStatus, message);
- }
-
- @ExceptionHandler(CommonException.class)
- public ResponseEntity<RestResponse<Object>> handleException(CommonException exception) {
- String message = exception.getLocalizedMessage();
- log.error("全局异常捕获CommonException:{}", message);
- return RestResponse.buildError(exception.getBusinessStatus(), message);
- }
-
- @ExceptionHandler(AccessDeniedException.class)
- public ResponseEntity<RestResponse<Object>> handleException(AccessDeniedException exception) {
- String message = exception.getLocalizedMessage();
- log.error("全局异常捕获AccessDeniedException:{}", message);
- return RestResponse.buildError(HttpStatus.FORBIDDEN, Forbidden);
- }
-
- }
如果需要被 accessDeniedHandler 捕获处理,则需要这么写 WebSecurityConfigurerAdapter 的代码:
- http.cors().and()
- .authorizeRequests().antMatchers("/hello0").permitAll()
- // 注意hasRole、hasAuthority 如果出现异常,会调用设置的 accessDeniedHandler 方法
- .antMatchers("/hello").hasAuthority("Users.Update")
- .anyRequest().authenticated();
-
- // 自定义未授权和未登录异常
- http.exceptionHandling()
- .accessDeniedHandler(new RestAccessDeniedHandler())
- .authenticationEntryPoint(new RestAuthenticationEntryPoint());
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/花生_TL007/article/detail/68917
推荐阅读
相关标签
