Spring Security异常处理
Spring Security在Filter chain中使用ExceptionTranslationFilter检查并处理在认证和授权过程中抛出的异常。该Filter支持处理或者分发三种常规异常行为:
- 未认证抛出的AuthenticationException,定向到用户登录界面
- 未授权抛出的AccessDeniedException,定向到403响应
-
其它情况下抛出的异常,定向到error响应
具体过程如图:
Paste_Image.png
ExceptionTranslationFilter拦截AuthenticationException,并通过AuthenticationEntryPoint完成一下步处理。如果是基于form的认证,LoginUrlAuthenticationEntryPoint负责将用户定向到登录页面。如果是其它认证方式,需要实现该接口,确保未认证时能重定向到指定的地址。
ExceptionTranslationFilter通过AccessDeniedHandler处理AccessDeniedException。如果配置了errorPage,AccessDeniedHandler将异常转发到errorPage,否则使用容器默认的HTTP403页面。在之前的几节,我们处理未授权时,Spring Security默认使用容器的HTTP403页面。
通过修改配置可以设置自定义AccessDenied处理界面
1 修改WebSecurityConfigurerAdapter
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/assets/**").permitAll()
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/error").permitAll()
.antMatchers("/**").hasRole("USER")
.and().formLogin().loginPage("/login.jsp").permitAll().loginProcessingUrl("/login")
.and().logout().permitAll()
//配置未授权处理地址
.and().exceptionHandling().accessDeniedPage("/accessDenied")
.and().rememberMe().tokenRepository(persistentTokenRepository())
.and().csrf().disable();
}
2 创建Controll处理自定义/accessDenied请求
/**
* 登录、注销、未授权异常处理
*
* Created by Administrator on 2017/8/1.
*/
@Controller
@RequestMapping("/")
public class LoginLogoutController {
@RequestMapping(value = "/accessDenied", method = RequestMethod.GET)
public ModelAndView accessDenied(HttpServletRequest request) {
ModelAndView modelAndView = new ModelAndView();
AccessDeniedException exception = (AccessDeniedException) request.getAttribute(WebAttributes.ACCESS_DENIED_403);
modelAndView.getModelMap().addAttribute("errorDetails", exception.getMessage());
StringWriter stringWriter = new StringWriter();
exception.printStackTrace(new PrintWriter(stringWriter));
modelAndView.getModelMap().addAttribute("errorTrace", stringWriter.toString());
modelAndView.setViewName("accessDenied");
return modelAndView;
}
}
3 AccessDeniedException界面/WEB-INF/views/accessDenied.jsp
<%--
Created by IntelliJ IDEA.
User: Administrator
Date: 2017/8/1
Time: 14:02
To change this template use File | Settings | File Templates.
--%>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>Access Denied</title>
</head>
<body>
<h1>Access Denied</h1>
<p>
Access to the specified resource has bean denied for the following reason:<strong>${errorDetails}</strong>
</p>
<em>Error Details(for Support Purpose only:)</em>
<br />
<blockquote>
<pre>${errorTrace}</pre>
</blockquote>
</body>
</html>
启动服务器,用户名为User登录系统,点击未授权服务,系统将跳转到自定义的报错界面。
Spring Security事件
Spring Security基于Spring的事件发布机制处理认证时发生的事件。认证事件实现了ApplicationEvent接口。通过获取这些事件我们可以记录认证领域的行为。
事件是典型的订阅-发布模式,通知订阅者由Spring扶着。发布流程如下:
这里我们简单实现一下认证过程的事件跟踪。
1 配置AuthenticationEventPublisher。修改WebSecurityConfigurerAdapter
@Autowired
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
auth
.authenticationEventPublisher(authenticationEventPublisher())//注入事件发布者
.jdbcAuthentication()
.passwordEncoder(passwordEncoder())//启用密码加密功能
.dataSource(dataSource);
}
/**
* Description:认证事件发布器
*
* @Author: 瓦力
* @Date: 2017/8/1 16:55
*/
@Bean
public AuthenticationEventPublisher authenticationEventPublisher() {
return new DefaultAuthenticationEventPublisher();
}
2 创建认证事件处理器
/**
* 接收Spring Security发布的AbstractAuthenticationEvent
*
* Created by Administrator on 2017/8/1.
*/
@Component
public class AuthenticationEventListener implements ApplicationListener<AbstractAuthenticationEvent> {
@Override
public void onApplicationEvent(AbstractAuthenticationEvent event) {
System.out.println("Receive event of type:" + event.getClass().getName() + ":" + event.toString());
}
}
启动服务,登录用户,注销用户,控制台就会输出认证过程中发生的各种事件信息。
代码示例:https://github.com/wexgundam/spring.security/tree/master/ch14
