浅谈spring security 403机制一、无权限访问二、匿名访问三、有权限访问原因机制指定AccessDeniedHandler指定error-page情景原因结论

403就是access denied ,就是请求拒绝,因为权限不足 三种权限级别 一、无权限访问 <security:http security="none" pattern="/index.jsp"   /> 这种即是不需要登录,也可以访问的,但是不会传csrf_key 二、匿名访问 <security:http> <security:intercept-url pattern="/index.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY"/> </security:http> 这种也是不需要登录就访问的,但是会传csrf_key 三、有权限访问 <security:http> <security:intercept-url pattern="/index.jsp" access="xxxxx"/> </security:http> 这种就需要用户登录了,而且需要相应的权限才能访问,不然就报403(access denied) 没有跳转403? 今天遇到了一个诡异的问题 admin.jsp设置为access="USER",需要用户登录了,而且需要有USER权限才能访问 然而我没登陆的时候,去访问admin.jsp,结果没有跳到403页面,跳到了login.jsp 在我预想的是,跳到403 原因 当用户已经登录了,但是权限不足,才会跳转到403 当用户没有登录的时候,访问有权限的页面,只会跳转到登陆页面 机制 spring security处理请求的时候,先会检测用户是否登录,也就是检测是否有authentication(身份) 此时,如果用户没有登录,而且请求是需要登录的action,spring security会跳转到登陆页面,就算这个页面需要权限访问,也不会出现403。 登录的时候,会在SecurityContextHolder里面放一个记录用户信息(用户名、权限)的principal,需要验证用户权限的时候,就会从SecurityContextHolder取出principal来验证权限。 如果用户已经登录了(有了authentication),如果用户的权限不足,就会报403 这个时候security:access-denied-handler才会生效 自定义403 想要自定义403,需要在spring-security.xml里面设置security:access-denied-handler 有两种方式: 指定AccessDeniedHandler 自定义一个403处理机制,需要实现AccessDeniedHandler接口,实现里面的handle方法 当权限不足的时候,spring security会调用handle方法 可以在handle方法里面重定向或者转发请求 代码demo

public class AccessDeniedServletHandler implements AccessDeniedHandler {

	private static final String DEF_ERROR_PAGE_PATH="action/deniedServlet_denied";
	
	@Override
	public void handle(HttpServletRequest request, HttpServletResponse response,
			AccessDeniedException accessDeniedException) throws IOException, ServletException {
		response.sendRedirect(DEF_ERROR_PAGE_PATH);
	}

}

在spring-security.xml配置 <security:access-denied-handler ref="accessDeniedServletHandler" /> <bean id="accessDeniedServletHandler" class="com.xxx.servlet.AccessDeniedServletHandler" scope="singleton"></bean> 指定error-page 这种方式,实际上是转发请求,做不到重定向 在spring-security.xml配置 <security:access-denied-handler error-page="403.html" /> 整合Struts的问题 情景 前提:自定义的403页面的URL,是通过struts的action访问的 当权限不足的时候,将请求转发到自定义的403页面时,会出现404( not found) 但是直接访问403页面的时候,又是正常的 原因 所以推测 spring security 的DefaultSecurityFilterChain在strust的filter之后 所以struts捕获不到请求的403页面,但是请求方式又是action,所以就找不到页面了 结论 所以这样子的话,一切spring security 处理完成后自定义跳转,都是在strust的filter之后的 像登录成功的authentication-success-handler-ref,退出的success-handler-ref以及access denied的security:access-denied-handler 所以访问action的小心的,要用重定向的方式

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏我的博客

PHP错误提示failed to open stream: Too many open files

项目遇到的这个问题failed to open stream: Too many open files 检查PHP脚本发现发起很多curl请求,于是看curl是...

3675
来自专栏java技术学习之道

单点登录原理与简单实现

1362
来自专栏Rgc

django 三种缓存模式的使用及注意点

    @cache_control,@vary_on_headers,@vary_on_cookie 

3092
来自专栏Java后端技术栈

使用Redis存储Nginx+Tomcat负载均衡集群的Session

环境:Cent OS 7.0(虚拟机环境)、Nginx 1.9.8、Redis 3.2.1

962
来自专栏吴伟祥

单点登录原理与简单实现 原

web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联...

1165
来自专栏linux系统运维

访问日志不记录静态文件,访问日志切割,静态元素过期时间

2156
来自专栏coder修行路

python爬虫从入门到放弃(二)之爬虫的原理

在上文中我们说了:爬虫就是请求网站并提取数据的自动化程序。其中请求,提取,自动化是爬虫的关键!下面我们分析爬虫的基本流程 爬虫的基本流程 发起请求 通过HTTP...

2229
来自专栏微信公众号:Java团长

单点登录原理与简单实现

web应用采用browser/server架构,http作为通信协议。http是无状态协议,浏览器的每一次请求,服务器会独立处理,不与之前或之后的请求产生关联,...

1984
来自专栏北京马哥教育

ulimit设置句柄数

这几天在做一个性能测试,写了一个模拟发送http的程序。模拟100并发的情况下,随机发http get的请求。放到服务器上运行一段时间抛出Too many op...

4025
来自专栏黑泽君的专栏

【MyEclipse】我们导入的jar包后, 一般没有关联源码, 需要手动进行关联!推荐这种方式。

985

扫码关注云+社区

领取腾讯云代金券