2. 程式人生 > >淺談spring security 403機制

淺談spring security 403機制

阿新 發佈:2019-01-28

403就是access denied ,就是請求拒絕,因為許可權不足

三種許可權級別

一、無許可權訪問

<security:http security="none" pattern="/index.jsp"   />

這種即是不需要登入,也可以訪問的,但是不會傳csrf_key

二、匿名訪問

<security:http>

<security:intercept-url pattern="/index.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY"/>

</security:http>

這種也是不需要登入就訪問的,但是會傳csrf_key

三、有許可權訪問

<security:http>

<security:intercept-url pattern="/index.jsp" access="xxxxx"/>

</security:http>

這種就需要使用者登入了,而且需要相應的許可權才能訪問,不然就報403(access denied)

沒有跳轉403?

今天遇到了一個詭異的問題

admin.jsp設定為access="USER",需要使用者登入了,而且需要有USER許可權才能訪問

然而我沒登陸的時候,去訪問admin.jsp,結果沒有跳到403頁面,跳到了login.jsp

在我預想的是,跳到403

原因

當用戶已經登入了,但是許可權不足,才會跳轉到403

當用戶沒有登入的時候,訪問有許可權的頁面,只會跳轉到登陸頁面

機制

spring security處理請求的時候,先會檢測使用者是否登入,也就是檢測是否有authentication(身份)

此時,如果使用者沒有登入,而且請求是需要登入的action,spring security會跳轉到登陸頁面,就算這個頁面需要許可權訪問,也不會出現403。

登入的時候,會在SecurityContextHolder裡面放一個記錄使用者資訊(使用者名稱、許可權)的principal,需要驗證使用者許可權的時候,就會從SecurityContextHolder取出principal來驗證許可權。

如果使用者已經登入了(有了authentication),如果使用者的許可權不足,就會報403 這個時候security:access-denied-handler才會生效

自定義403

想要自定義403,需要在spring-security.xml裡面設定security:access-denied-handler

有兩種方式:

指定AccessDeniedHandler

自定義一個403處理機制,需要實現AccessDeniedHandler介面,實現裡面的handle方法

當權限不足的時候,spring security會呼叫handle方法

可以在handle方法裡面重定向或者轉發請求

程式碼demo

public class AccessDeniedServletHandler implements AccessDeniedHandler {

	private static final String DEF_ERROR_PAGE_PATH="action/deniedServlet_denied";
	
	@Override
	public void handle(HttpServletRequest request, HttpServletResponse response,
			AccessDeniedException accessDeniedException) throws IOException, ServletException {
		response.sendRedirect(DEF_ERROR_PAGE_PATH);
	}

}

在spring-security.xml配置

<security:access-denied-handler ref="accessDeniedServletHandler" />

<bean id="accessDeniedServletHandler" class="com.xxx.servlet.AccessDeniedServletHandler" scope="singleton"></bean>

指定error-page

這種方式,實際上是轉發請求,做不到重定向

在spring-security.xml配置

<security:access-denied-handler error-page="403.html" />

整合Struts的問題

情景

前提:自定義的403頁面的URL,是通過struts的action訪問的

當權限不足的時候,將請求轉發到自定義的403頁面時,會出現404( not found)

但是直接訪問403頁面的時候,又是正常的

原因

所以推測

spring security 的DefaultSecurityFilterChain在strust的filter之後

所以struts捕獲不到請求的403頁面,但是請求方式又是action,所以就找不到頁面了

結論

所以這樣子的話,一切spring security 處理完成後自定義跳轉,都是在strust的filter之後的

像登入成功的authentication-success-handler-ref,退出的success-handler-ref以及access denied的security:access-denied-handler

所以訪問action的小心的,要用重定向的方式



檢視原文:http://139.129.55.235/2016/06/01/%e6%b5%85%e8%b0%88spring-security-403%e6%9c%ba%e5%88%b6/

相關推薦

spring security 403機制

403就是access denied ,就是請求拒絕,因為許可權不足 三種許可權級別 一、無許可權訪問 <security:http security="none" pattern="/index.jsp"   /> 這種即是不需要登入,也可以訪問的,但是不會傳

spring security中的許可權控制

當我們在OAuth登陸後,獲取了登陸的令牌,使用該令牌,我們就有了訪問一些受OAuth保護的介面的能力。具體可以看本人的這兩篇部落

spring中AOP以及spring中AOP的註解方式

早就 好的 面向 XML ram ati alt 返回 增強   AOP(Aspect Oriented Programming):AOP的專業術語是"面向切面編程" 什麽是面向切面編程,我的理解就是:在不修改源代碼的情況下增強功能.好了,下面在講述aop註解方式的情況下順

Spring的AOP實現-動態代理

out handle 多功能 額外 java oid callback 淺談 驗證   說起Spring的AOP(Aspect-Oriented Programming)面向切面編程大家都很熟悉(Spring不是這次博文的重點),但是我先提出幾個問題,看看同學們是否了解,如

Spring中的事務回滾

spec style try 常見 產生原因 turn prop ret run 使用Spring管理事務過程中,碰到過一些坑,因此也稍微總結一下,方便後續查閱。1.代碼中事務控制的3種方式編程式事務:就是直接在代碼裏手動開啟事務,手動提交,手動回滾。優點就是可以靈

項目管理機制

世界 包括 原則 定性 smi pre 利益相關者 大型 審批 一.項目及項目管理 1.什麽是項目 要討論項目管理,就必須首先理解項目這個概念。項目是為完成某一獨特的產品或服務所做的一次性努力。項目一般要涉及一些人員,由這些人員完成一些相互關聯的活動,項目發起人通常希望能夠

Spring的PropertyPlaceholderConfigurer

意思 ace erl string nbsp 重要 配置信息 classpath 提高 大型項目中,我們往往會對我們的系統的配置信息進行統一管理,一般做法是將配置信息配置與一個cfg.properties的文件中,然後在我們系統初始化的時候,系統自動讀取cfg.proper

1.3Spring(IOC容器的實現)

tap 就是 parser pojo file abstract throw cdd moni 這一節我們來討論IOC容器到底做了什麽。 還是借用之前的那段代碼 ClassPathXmlApplicationContext app = new ClassPathXmlAp

Spring的兩種配置容器

簡單的 url 上下 rip 快的 png getbean 比較 file 淺談Spring的兩種配置容器 原文:https://www.jb51.net/article/126295.htm 更新時間:2017年10月20日 08:44:41 作者:黃小魚Z

spring事務管理的2種方式:程式設計式事務管理和宣告式事務管理;以及@Transactional(rollbackFor=Exception.class)註解用法

事務的概念,以及特性: 百度百科介紹: ->資料庫事務(Database Transaction) ,是指作為單個邏輯工作單元執行的一系列操作,要麼完全地執行,要麼完全地不執行。 事務處理可以確保除非事務性單元內的所有操作都成功完成,否則不會永久更新面向資料的資源。通過

spring - spring的事務管理(程式設計式,宣告式(XML版和註解版))

事務管理的目的:               將若干sql語句作為一個整體 , 要麼全部成功 , 要麼全部失敗! 事務套路:  &nb

Java類載入機制

最近在學習 Tomcat 架構,其中很重要的一個模組是類載入器,因為以前學習的不夠深入,所以趁這個機會好好把類載入機制搞明白。 概述 類載入器主要分為兩類,一類是 JDK 預設提供的,一類是使用者自定義的。 JDK 預設提供三種類載入器 Bootstrap ClassLo

spring ioc 實現原理

**概念** spring ioc其實就是一個容器(控制反轉) 其中放入了大量的bean和類 **spring ioc如何操作的** ioc對配置檔案進行掃面,掃面到bean標籤下面的包,將沒有的實現類new出來 **spring ioc四大核心註解** @Service @Controller @

Spring依賴注入靜態成員變數

Spring的依賴注入是基於bean物件注入屬性;如果在一個類中定義了一個static修飾的成員變數,那麼這個變數就是屬於類的,無法完成依賴注入 eg: 假設在xml配置檔案已經配置了SolrTemplate物件 @Autowired private stat

結合原始碼Spring容器與其子容器Spring MVC 衝突問題

容器是整個Spring 框架的核心思想,用來管理Bean的整個生命週期。 一個專案中引入Spring和SpringMVC這兩個框架,Spring是父容器,SpringMVC是其子容器,子容器可以看見父容器中的註冊的Bean,反之就不行。請記住這個特性。 spring 容器基礎釋義 1 我們可以使用統一的如下註

express 中介軟體機制及實現原理

中介軟體機制可以讓我們在一個給定的流程中新增一個處理步驟,從而對這個流程的輸入或者輸出產生影響,或者產生一些中作用、狀態,或者攔截這個流程。中介軟體機制和tomcat的過濾器類似,這兩者都屬於責任鏈模式的具體實現。 express 中介軟體使用案例 1 2

Spring框架,自動注入物件IoC/DI的過程(二)

在上一篇部落格中,我已經寫到怎麼用自動注入的物件了。可能我說的不是太清楚,有些朋友還不是很明白,那麼這次我們結合service層呼叫DAO層的方法,再詳細說說怎麼隨心所欲的使用物件。 先看一下程式碼:

spring框架--IOC

Spring框架中主要以IOC(Inversion of Control)控制反轉 和 AOP(Aspect Oriented Programming)面向切面程式設計為核心。 IOC(Inversion Of Control)控制反轉,是面向物件程式設計的一個

【本人禿頂程式設計師】 Spring Boot、微服務架構和大資料治理三者之間的故事

←←←←←←←←←←←← 我都禿頂了,還不點關注! 微服務架構 微服務的誕生並非偶然,它是在網際網路高速發展,技術日新月異的變化以及傳統架構無法適應快速變化等多重因素的推動下誕生的產物。網際網路時代的產品通常有兩類特點:需求變化快和使用者群體龐大,在這種情況下,如何從系統架構的角度出

Springspring為什麼推薦使用構造器注入

一、前言 ​ Spring框架對Java開發的重要性不言而喻,其核心特性就是IOC(Inversion of Control, 控制反轉)和AOP,平時使用最多的就是其中的IOC,我們通過將元件交由Spring的IOC容器管理,將物件的依賴關係由Spring控制,避免硬編碼所造成的過度程式耦合。