16

我有一个 spring 3 应用程序,其配置如下。当任何用户尝试访问一个页面并且他/她没有登录时,我会收到一个Access is Denied异常,并带有丑陋的堆栈跟踪。我该如何处理这个异常,而不是让它转储出堆栈跟踪。我实现了自己的拒绝访问处理程序,但没有被调用。

根据所请求资源的类型,我想显示自定义错误消息或页面。这是我的弹簧配置。

如何让 Spring 调用我的 access-denied-handler 。这是我的弹簧配置

 <security:http auto-config='true'>
    <security:intercept-url pattern="/static/**" filters="none"/>
    <security:intercept-url pattern="/login" filters="none"/>

      <security:intercept-url pattern="/**" access="ROLE_USER" />

      <security:form-login login-page="/index"
            default-target-url="/home" always-use-default-target="true"
            authentication-success-handler-ref="AuthenticationSuccessHandler"        
            login-processing-url="/j_spring_security_check" 
            authentication-failure-url="/index?error=true"/>

       <security:remember-me key="myLongSecretCookieKey" token-validity-seconds="1296000" 
            data-source-ref="jdbcDataSource" user-service-ref="AppUserDetailsService" />

       <security:access-denied-handler ref="myAccessDeniedHandler" />   

    </security:http>

    <bean id="myAccessDeniedHandler"
         class="web.exceptions.handlers.AccessDeniedExceptionHandler">
      <property name="errorPage" value="/public/403.htm" />
    </bean>

下面给出了用于处理此异常的自定义类

public class AccessDeniedExceptionHandler implements AccessDeniedHandler
{

    private String errorPage;

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
            AccessDeniedException arg2) throws IOException, ServletException {
        response.sendRedirect(errorPage);
    }

       public void setErrorPage(String errorPage) {
       if ((errorPage != null) && !errorPage.startsWith("/")) {
            throw new IllegalArgumentException("errorPage must begin with '/'");
        }
        this.errorPage = errorPage;
    }

}

当我运行这个应用程序时,这是我得到的错误。我只粘贴了堆栈跟踪和 Spring Debug 日志的一部分。

20:39:46,173 DEBUG AffirmativeBased:53 - Voter: org.springframework.security.access.vote.RoleVoter@5b7da0d1, returned: -1
20:39:46,173 DEBUG AffirmativeBased:53 - Voter: org.springframework.security.access.vote.AuthenticatedVoter@14c92844, returned: 0
20:39:46,178 DEBUG ExceptionTranslationFilter:154 - Access is denied (user is anonymous); redirecting to authentication entry point
org.springframework.security.access.AccessDeniedException: Access is denied
    at org.springframework.security.access.vote.AffirmativeBased.decide(AffirmativeBased.java:71)
    at org.springframework.security.access.intercept.AbstractSecurityInterceptor.beforeInvocation(AbstractSecurityInterceptor.java:204)

我该如何解决这个问题?首先,我想阻止 spring 抛出异常。如果它仍然抛出它,我想处理它而不是举起任何标志。

更新:我也附上了我的 web.xml 的一部分。

<!-- Hibernate filter configuration -->

<filter>
        <filter-name>HibernateFilter</filter-name>
        <filter-class>org.springframework.orm.hibernate3.support.OpenSessionInViewFilter</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>HibernateFilter</filter-name> 
        <url-pattern>/*</url-pattern>       
        <dispatcher>FORWARD</dispatcher>
        <dispatcher>REQUEST</dispatcher>
    </filter-mapping>

<filter>
  <filter-name>springSecurityFilterChain</filter-name>
  <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
  <filter-name>springSecurityFilterChain</filter-name>
  <url-pattern>/*</url-pattern>
</filter-mapping>

    <!--Dispatcher Servlet -->

   <servlet>
     <servlet-name>rowz</servlet-name>
     <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
     <load-on-startup>1</load-on-startup>
   </servlet>
4

7 回答 7

12

在您的配置中,您需要在您的站点上输入任何URL时始终对用户进行身份验证:

<security:intercept-url pattern="/**" access="ROLE_USER" />

我认为您应该在进入登录页面时允许用户未经身份验证:

<security:intercept-url pattern="/your-login-page-url" access="ROLE_ANONYMOUS" />
<security:intercept-url pattern="/your-login-process-url" access="ROLE_ANONYMOUS" />
<security:intercept-url pattern="/your-login-failure-url" access="ROLE_ANONYMOUS" />
<security:intercept-url pattern="/**" access="ROLE_USER" />

如果您使用 URL 之类的:/login/start/login/error并且/login/failure您可以拥有:

<security:intercept-url pattern="/login/**" access="ROLE_ANONYMOUS" />
<security:intercept-url pattern="/**" access="ROLE_USER" />

更新:

具有此配置应该使框架将所有未经身份验证(匿名)的用户重定向到登录页面,并且所有身份验证到AccessDeniedHandlerAccessDeniedException是框架的核心部分之一,忽略它不是一个好主意。如果您只提供部分 Spring Security 配置,则很难提供更多帮助。

请务必阅读ExceptionTranslationFilter的 JavaDoc,以详细了解框架抛出哪些异常、默认情况下处理的原因和方式。

如果可能,请尝试删除您添加的尽可能多的自定义部分,例如AuthenticationSuccessHandlerRememberMeAuthenticationFilterAccessDeniedHandler,看看问题是否仍然存在?尝试获得最小的配置并逐步添加新功能,以查看错误来自何处。

您在您的问题中没有提到的一件重要的事情是此错误消息的结果是什么?你明白了HTTP 500吗?或者HTTP 403?或者您是否被重定向到登录页面?

如果正如您在问题中提到的那样,用户未经身份验证并且他/她被重定向到登录页面,那么这就是它的工作方式。看起来您收到ExceptionTranslationFilter:172记录的错误消息只是因为您将DEBUG级别设置为 Spring Security 类。如果是这样,那么这也是它的工作方式,如果您不想记录错误,那么只需提高 Spring Secyruty 类的日志记录级别。

更新 2:

模式filters="none"必须匹配login-page,login-processing-urlauthentication-failure-ur中设置的属性<security:form-login />以跳过所有 SpringSecurity 检查显示登录页面并处理登录的页面。

<security:http auto-config='true'>
  <security:intercept-url pattern="/static/**" filters="none"/>
  <security:intercept-url pattern="/index" filters="none"/>
  <security:intercept-url pattern="/j_spring_security_check" filters="none"/>
  <security:intercept-url pattern="/**" access="ROLE_USER" />

  <security:form-login login-page="/index"
        default-target-url="/home" always-use-default-target="true"
        authentication-success-handler-ref="AuthenticationSuccessHandler"        
        login-processing-url="/j_spring_security_check" 
        authentication-failure-url="/index?error=true"/>

   <security:remember-me key="myLongSecretCookieKey" token-validity-seconds="1296000" 
        data-source-ref="jdbcDataSource" user-service-ref="AppUserDetailsService" />

   <security:access-denied-handler ref="myAccessDeniedHandler" />   

</security:http>
于 2011-09-07T15:33:46.407 回答
7

AccessDeniedHandler当用户登录并且没有资源权限时调用(此处为源)。如果要在用户未登录时处理登录页面请求,只需在security-context 中配置:

<http ... entry-point-ref="customAuthenticationEntryPoint">

并定义customAuthenticationEntryPoint:

<beans:bean id="customAuthenticationEntryPoint" class="pl.wsiadamy.webapp.controller.util.CustomAuthenticationEntryPoint">
</beans:bean>

提示不要试图与ExceptionTranslationFilter. 我试图覆盖org.springframework.security.web.access.ExceptionTranslationFilter,但没有效果:

<beans:bean id="exceptionTranslationFilter" class="org.springframework.security.web.access.ExceptionTranslationFilter">
  <beans:property name="authenticationEntryPoint"  ref="customAuthenticationEntryPoint"/>
  <beans:property name="accessDeniedHandler" ref="accessDeniedHandler"/>
</beans:bean>
<beans:bean id="accessDeniedHandler"
 class="org.springframework.security.web.access.AccessDeniedHandlerImpl">
  <beans:property name="errorPage" value="/accessDenied.htm"/>
</beans:bean>

ref="customAuthenticationEntryPoint"只是没有调用。

于 2013-05-25T10:51:07.423 回答
3

我以下列方式添加了 Spring Access denied 页面: Spring Frame Work: 3.1 Spring Security: 3.1, Java 1.5+

*-security.xml 中的条目:

<security:access-denied-handler error-page="/<My Any error page controller name>" />

例子:

<security:access-denied-handler error-page="/accessDeniedPage.htm" />

错误页面将始终以“/”开头

控制器入口:

@Controller
public class RedirectAccessDenied {

    @RequestMapping(value = "/accessDeniedPage.htm", method = RequestMethod.GET)
    public String redirectAccessDenied(Model model) throws IOException, ServletException {
        System.out.println("############### Redirect Access Denied Handler!");
        return "403";
    }
}

这里 403 是我的 JSP 名称。

于 2012-09-10T08:52:01.080 回答
2

Spring Security 使用 AuthenticationEntryPoint 对象来决定当用户需要身份验证时要做什么。您可以创建自己的 AuthenticationEntryPoint bean(请参阅 javadoc),然后在 http 元素中设置 entryPoint 属性:

<http entry-point-ref="entryPointBean" .... />

但是,默认情况下,form-login 元素会创建一个 LoginUrlAuthenticationEntryPoint,它将所有未经身份验证的用户重定向到登录页面,因此您不必自己执行此操作。事实上,您发布的日志声称它正在将用户转发到身份验证入口点:“访问被拒绝(用户是匿名的);重定向到身份验证入口点”。

我想知道问题是否是您关闭了登录 url 的过滤器链。不要将过滤器设置为无,这意味着完全绕过弹簧安全性,尝试保持过滤器打开但允许不受限制的访问,如下所示:

<security:intercept-url pattern="/login" access="permitAll" />

如果这仍然没有帮助,请发布日志的其余部分,以便我们可以看到在请求转移到入口点后会发生什么。

于 2011-09-09T04:01:16.900 回答
1

以编程方式解决:

@Order(1)
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    //
    // ...
    //

    @Override
    protected void configure(HttpSecurity http) throws Exception {

        http.exceptionHandling().accessDeniedHandler(new AccessDeniedHandlerImpl() {
            @Override
            public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
                super.handle(request, response, accessDeniedException);
                accessDeniedException.printStackTrace();
            }
        });

        //
        // ...
        //

    }

}
于 2016-01-21T15:36:07.970 回答
0

您可以检查您的 web.xml 是否支持转发请求?

errorPage 是一个 FORWARD 请求,主要在 web.xml 中,我们只支持 REDIRECTS。只是一个想法,否则您的代码对我来说看起来不错。

已编辑

不同的观点,这仅取自工作代码。看看Authenticated Voter 类

禁用注释

<global-method-security pre-post-annotations="disabled"
    secured-annotations="disabled" access-decision-manager-ref="accessDecisionManager">
</global-method-security>

绕过过滤器

<http auto-config="true" use-expressions="true"
    access-decision-manager-ref="accessDecisionManager"
    access-denied-page="/accessDenied">
    <intercept-url pattern="/appsecurity/login.jsp" filters="none" />
    <intercept-url pattern="/changePassword" filters="none" />
    <intercept-url pattern="/pageNotFound" filters="none" />
    <intercept-url pattern="/accessDenied" filters="none" />
    <intercept-url pattern="/forgotPassword" filters="none" />
    <intercept-url pattern="/**" filters="none" />


    <form-login login-processing-url="/j_spring_security_check"
        default-target-url="/home" login-page="/loginDetails"
        authentication-failure-handler-ref="authenticationExceptionHandler"
        authentication-failure-url="/?login_error=t" />
    <logout logout-url="/j_spring_security_logout"
        invalidate-session="true" logout-success-url="/" />
    <remember-me />
    <!-- Uncomment to limit the number of sessions a user can have -->
    <session-management invalid-session-url="/">
        <concurrency-control max-sessions="1"
            error-if-maximum-exceeded="true" />
    </session-management>
</http>

自定义决策投票者

<bean id="customVoter" class="xyz.appsecurity.helper.CustomDecisionVoter" />

访问决策管理器

<!-- Define AccessDesisionManager as UnanimousBased -->
<bean id="accessDecisionManager" class="org.springframework.security.access.vote.UnanimousBased">
    <property name="decisionVoters">
        <list>
            <ref bean="customVoter" />
            <!-- <bean class="org.springframework.security.access.vote.RoleVoter" 
                /> -->
            <bean class="org.springframework.security.access.vote.AuthenticatedVoter" />
        </list>
    </property>
</bean>

身份验证异常处理程序

<bean id="authenticationExceptionHandler"
    class="org.springframework.security.web.authentication.ExceptionMappingAuthenticationFailureHandler">
    <property name="exceptionMappings">
        <props>
            <!-- /error.jsp -->
            <prop
                key="org.springframework.security.authentication.BadCredentialsException">/?login_error=t</prop>
            <!-- /getnewpassword.jsp -->
            <prop
                key="org.springframework.security.authentication.CredentialsExpiredException">/changePassword</prop>
            <!-- /lockedoutpage.jsp -->
            <prop key="org.springframework.security.authentication.LockedException">/?login_error=t</prop>
            <!-- /unauthorizeduser.jsp -->
            <prop
                key="org.springframework.security.authentication.DisabledException">/?login_error=t</prop>
        </props>
    </property>
</bean>
于 2011-09-04T11:29:37.650 回答
0

看起来spring试图将尚未登录的用户重定向到登录页面,即“/index”,但它本身是一个受保护的url。

另一种可能性是,它尝试显示 /public/403.html,但这又受到安全配置的保护。

您可以添加以下条目并尝试吗?

<security:intercept-url pattern="/login" filters="none" />
<security:intercept-url pattern="/public/**" filters="none" />
于 2011-09-09T04:28:13.847 回答