如何让Spring Security在抛出InternalAuthenticationServiceException时返回500而不是403
Spring Security是一个用于保护Java应用程序的框架,它提供了身份验证、授权、攻击防护等功能。在处理身份验证时,如果出现了InternalAuthenticationServiceException异常,Spring Security默认会返回403 Forbidden的HTTP状态码,表示拒绝访问。
如果希望在抛出InternalAuthenticationServiceException异常时返回500 Internal Server Error的HTTP状态码,可以进行以下操作:
- 自定义异常处理器:创建一个类,实现Spring Security的AuthenticationEntryPoint接口,覆盖其commence方法。在commence方法中,捕获InternalAuthenticationServiceException异常,然后使用HttpServletResponse对象设置响应的状态码为500,并返回错误信息。
- 注册自定义异常处理器:在Spring Security的配置类中,使用configure方法注册自定义的异常处理器。
下面是一个示例代码:
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
@Component
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {
@Override
public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
if (authException instanceof InternalAuthenticationServiceException) {
response.setStatus(HttpServletResponse.SC_INTERNAL_SERVER_ERROR); // 设置状态码为500
response.getWriter().write("Internal Server Error"); // 返回错误信息
} else {
response.sendError(HttpServletResponse.SC_FORBIDDEN, "Access Denied");
}
}
}import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private CustomAuthenticationEntryPoint authenticationEntryPoint;
@Override
protected void configure(HttpSecurity http) throws Exception {
http.exceptionHandling().authenticationEntryPoint(authenticationEntryPoint);
}
}这样配置后,当Spring Security在身份验证过程中抛出InternalAuthenticationServiceException异常时,会返回500 Internal Server Error的HTTP状态码。
注意:以上代码只是示例,具体的实现可能需要根据项目的需求进行适当的修改和扩展。
推荐的腾讯云相关产品和产品介绍链接地址:
- 腾讯云服务器(CVM):https://cloud.tencent.com/product/cvm
- 腾讯云云函数(SCF):https://cloud.tencent.com/product/scf
- 腾讯云数据库(TencentDB):https://cloud.tencent.com/product/cdb
- 腾讯云云原生容器服务(TKE):https://cloud.tencent.com/product/tke
- 腾讯云CDN加速(CDN):https://cloud.tencent.com/product/cdn
- 腾讯云人工智能(AI):https://cloud.tencent.com/product/ai
- 腾讯云物联网(IoT):https://cloud.tencent.com/product/iot
- 腾讯云移动开发(Mobile):https://cloud.tencent.com/product/mobile
相关·内容
我正在使用Spring Security来处理我的RESTful-ish ish服务上的auth。 目标是创建一个/login端点,用户为其提供用户名/密码,并返回一个JWT。如果我的UserService.loadUserByUsername方法(由Spring Security调用以验证user/pass)抛出一个IOException,我希望Spring返回一个500错误相反,Spring<
浏览 169提问于2020-10-24得票数 1
回答已采纳
当数据库连接失败( Spring Security抛出InternalAuthenticationServiceException )时,我的Spring Boot OAuth REST应用程序返回“401Authorized这很奇怪,我需要将状态更改为"500内部服务器错误“,以便客户端可以提供一些适当的描述,如”服务不可用“。如果我使用WebResponseExceptionTranslator,那么我可以捕获响应,但是如果我改变HTTP
浏览 0提问于2017-10-26得票数 0
它看起来不像是一个Bean;它看起来像是在OAuth2ClientConfiguration.OAuth2ClientWebMvcSecurityConfiguration.addArgumentResolvers().中实例化的 这个github问题看起来应该让我能够做到这一点,但我仍然不知道如何做到这一点:https://github.com/spring-projects/spring-security/issues/75
浏览 44提问于2021-04-02得票数 0
如果抛出InternalAuthenticationServiceException,则ProviderManager将重新抛出此函数,并且不会尝试使用更多的AuthenticationProviders如果抛出AccountStatusException,则ProviderManager将重新抛出此函数,并且不会尝试使用更多的AuthenticationProviders。我想要的:
如果是InternalAuthenticationServiceException,那么它应该检查
浏览 3提问于2015-01-22得票数 1
回答已采纳
我正在构建一个简单的应用程序,并且我是Spring Security的新手,所以请耐心等待。但不管怎样,我有一个RESTful应用程序,它获取一些信息并将这些信息显示在一个表中。在实现spring安全性之前,一切都运行得很好。但现在我只能登录到应用程序,而不能使用其余的功能。AJAX最初获取我的表的所有信息,这很好用,但是当我向数据库post数据时,它返回403禁止。/schema/security</em
浏览 4提问于2017-08-11得票数 0
在与此斗争了几天之后(搜索类似的问题,做试验和错误),我想放弃了…… 所以问题是我有一个基于Spring Boot的REST服务,使用Spring Security和JWT进行身份验证。这似乎是可行的,部分原因是Spring没有调用该方法,而是返回404。我还以为是403呢。 我已经阅读了这个SO-question,并尝试了那里给出的答案,但它没有帮助。WebSecurity webSecurity) throws Exception webSecurity
浏览 18提问于2019-04-29得票数 4
回答已采纳
我希望你能帮我做以下几件事:
我正在使用security和spring构建一个web应用程序,一旦尝试访问禁止的资源(403 HTTP状态代码),我需要将流重定向到登录页面。现在,Security已经完成了防止对我在Restful (@RestController)中公开的所有资源进行未经授权的访问,并使用适当的403默认页面进行响应的工作。但是,由于我需要重定向到登录页面,所以我需要推动spring安全性来执行重定向,而不是发送<e
浏览 5提问于2015-05-25得票数 0
我正在使用spring-security-web:5.6.3构建一个RESTful API。该API具有一个可工作的身份验证,通过Bearer (JWT)和基于角色的授权。问题是,当没有授权访问某个资源的经过身份验证的用户时,API返回一个500错误,而不是403。日志输出:
浏览 6提问于2022-09-26得票数 1
回答已采纳
3回答
我有一个使用Spring MVC构建的应用程序,并使用Spring安全性进行保护,其中一些控制器是JSON rest服务,它们都是受保护的。下面是Spring Security XML片段和authenticationEntryPoint java类。问题是会话超时后的第一个AJAX请求,Spring重定向到登录页面并返回登录页面超文本标记语言,如果我再次尝试执行AJAX请求(在重定向发生后),authenticationEntryPoint将执行并返回</em
浏览 4提问于2014-05-28得票数 11
回答已采纳
现在,我添加了Security库,没有对应用程序做任何进一步的修改。 at org.springframework.security.web.FilterChainProxy:137) [spring-security-web-5.1.7.RELEASE.jar:5.1.7.RELEASE]
at
浏览 3提问于2019-12-18得票数 1
1回答
/spring-security-3.1.xsd">
<bean id="http403EntryPoint" class="org.springframework.security.web.authentication.Http403ForbiddenEntryPoint">
<property name="errorPage&q
浏览 2提问于2013-10-01得票数 2
我必须在security中为验证过程添加一些额外的验证。我在配置xml中添加了“自定义筛选器”,但是当它失败时,将我重定向到错误页面,而不是登录页面。我可以毫无问题地访问我的"authenticationFilter“类,并且当我的凭据良好并进入主页面时,我不会出现问题。我的Spring安全配置是: &l
浏览 0提问于2019-09-09得票数 2
回答已采纳
在使用Security保护的Spring应用程序中,我必须使用登录方式:一种是通过识别特定授权IP的列表(这不需要用户/密码登录),另一种是通过经典登录。如果不是,我希望它重定向到一个通知用户的错误页面。在这种情况下,我将抛出一个异常(org.springframework.security.authentication.InsufficientAuthenticationException),并且我试图使用我查看了日志,发现我实际上是在抛出
浏览 0提问于2015-08-27得票数 1
回答已采纳
哪种异常最适合描述RESTful设计中缺少Spring安全主体的问题,例如,当我从SecurityContextHolder.getContext().getAuthentication().getPrincipal一些(但不是所有) REST端点也受到Security的保护。
然而,系统变得越来越大,可能会发生错误,未经授权的用户将通过Controller层,并试图通过自定义授权服务访问受保护的数据。一方面,最合适的例外似乎是AccessDeniedException (Http 403),但另一方面,抛出</e
浏览 0提问于2019-10-22得票数 0
在弹簧引导控制器中,我使用@PreAuthorize("isAuthenticated()")来检查用户是否登录(使用基本的auth + JSESSIONID)。但是,如果用户未登录,即未对其进行身份验证,则控制器将返回403 Forbidden。请给我任何想法。
浏览 1提问于2019-04-11得票数 1
我有一个由antMatchers() (如.antMatchers("/api/myProtectedUri/*").authenticated() )配置的spring安全性保护的后端@ExceptionHandler({RuntimeException.class})
publ
浏览 4提问于2019-09-18得票数 0
我有一个使用JAX/ RestEasy以及Security的设置。在大多数情况下,它工作得很好,但是我遇到了一个意外的问题,它处理@PreAuthorize引发的异常。本例中的问题是如何正确处理Exception并将正确的错误代码返回给客户端。return Response.status(403).entity(error).build();}
这个处理程序永远不会被击中,因为@PreAuthorize不会抛出我的UnauthorizedException相反,它不太
浏览 5提问于2017-12-11得票数 1
回答已采纳
3回答
我在我的jsf2 web应用中使用Spring Security3。
当未经身份验证的用户试图访问受保护的资源时,Spring Security会重定向到登录页面。在这种情况下,我如何在登录页面中向用户显示不允许访问该资源的消息?当Spring Security在ExceptionTranslationFilter中抛出一个AccessDeniedException,然后重定向到登录页面时<
浏览 1提问于2012-01-20得票数 2
回答已采纳
当使用MockMvc进行单元测试时,SpringSecurity的@PreAuthorize和@PostAuthorize被忽略。但在正常启动应用程序的情况下,通过Postman浏览器访问也可以 我使用的是Spring4.3和Spring security 4.2,而不是Spring boot。在检查了spring security的源代码后,我发现org.springframework.security</
浏览 90提问于2019-04-18得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
对象存储
云直播活动推荐
腾讯云开发者
