ch14:异常处理与认证事件处理

Spring Security异常处理

Spring Security在Filter chain中使用ExceptionTranslationFilter检查并处理在认证和授权过程中抛出的异常。该Filter支持处理或者分发三种常规异常行为:

  1. 未认证抛出的AuthenticationException,定向到用户登录界面
  2. 未授权抛出的AccessDeniedException,定向到403响应
  3. 其它情况下抛出的异常,定向到error响应
    具体过程如图:


    ch14:异常处理与认证事件处理_第1张图片
    Paste_Image.png

ExceptionTranslationFilter拦截AuthenticationException,并通过AuthenticationEntryPoint完成一下步处理。如果是基于form的认证,LoginUrlAuthenticationEntryPoint负责将用户定向到登录页面。如果是其它认证方式,需要实现该接口,确保未认证时能重定向到指定的地址。

ExceptionTranslationFilter通过AccessDeniedHandler处理AccessDeniedException。如果配置了errorPage,AccessDeniedHandler将异常转发到errorPage,否则使用容器默认的HTTP403页面。在之前的几节,我们处理未授权时,Spring Security默认使用容器的HTTP403页面。

通过修改配置可以设置自定义AccessDenied处理界面
1 修改WebSecurityConfigurerAdapter

 @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .authorizeRequests()
                .antMatchers("/assets/**").permitAll()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/error").permitAll()
                .antMatchers("/**").hasRole("USER")
                .and().formLogin().loginPage("/login.jsp").permitAll().loginProcessingUrl("/login")
                .and().logout().permitAll()
                //配置未授权处理地址
                .and().exceptionHandling().accessDeniedPage("/accessDenied")
                .and().rememberMe().tokenRepository(persistentTokenRepository())
                .and().csrf().disable();
    }

2 创建Controll处理自定义/accessDenied请求

/**
 * 登录、注销、未授权异常处理
 *
 * Created by Administrator on 2017/8/1.
 */
@Controller
@RequestMapping("/")
public class LoginLogoutController {
    @RequestMapping(value = "/accessDenied", method = RequestMethod.GET)
    public ModelAndView accessDenied(HttpServletRequest request) {
        ModelAndView modelAndView = new ModelAndView();
        AccessDeniedException exception = (AccessDeniedException) request.getAttribute(WebAttributes.ACCESS_DENIED_403);
        modelAndView.getModelMap().addAttribute("errorDetails", exception.getMessage());
        StringWriter stringWriter = new StringWriter();
        exception.printStackTrace(new PrintWriter(stringWriter));
        modelAndView.getModelMap().addAttribute("errorTrace", stringWriter.toString());
        modelAndView.setViewName("accessDenied");
        return modelAndView;
    }
}

3 AccessDeniedException界面/WEB-INF/views/accessDenied.jsp

<%--
  Created by IntelliJ IDEA.
  User: Administrator
  Date: 2017/8/1
  Time: 14:02
  To change this template use File | Settings | File Templates.
--%>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>


    Access Denied


    

Access Denied

Access to the specified resource has bean denied for the following reason:${errorDetails}

Error Details(for Support Purpose only:)
${errorTrace}

启动服务器,用户名为User登录系统,点击未授权服务,系统将跳转到自定义的报错界面。

Spring Security事件

Spring Security基于Spring的事件发布机制处理认证时发生的事件。认证事件实现了ApplicationEvent接口。通过获取这些事件我们可以记录认证领域的行为。
事件是典型的订阅-发布模式,通知订阅者由Spring扶着。发布流程如下:


ch14:异常处理与认证事件处理_第2张图片
Paste_Image.png

这里我们简单实现一下认证过程的事件跟踪。
1 配置AuthenticationEventPublisher。修改WebSecurityConfigurerAdapter

  @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
                .authenticationEventPublisher(authenticationEventPublisher())//注入事件发布者
                .jdbcAuthentication()
                .passwordEncoder(passwordEncoder())//启用密码加密功能
                .dataSource(dataSource);
    }

    /**
     * Description:认证事件发布器
     *
     * @Author: 瓦力
     * @Date: 2017/8/1 16:55
     */
    @Bean
    public AuthenticationEventPublisher authenticationEventPublisher() {
        return new DefaultAuthenticationEventPublisher();
    }

2 创建认证事件处理器

/**
 * 接收Spring Security发布的AbstractAuthenticationEvent
 *
 * Created by Administrator on 2017/8/1.
 */
@Component
public class AuthenticationEventListener implements ApplicationListener {
    @Override
    public void onApplicationEvent(AbstractAuthenticationEvent event) {
        System.out.println("Receive event of type:" + event.getClass().getName() + ":" + event.toString());
    }
}

启动服务,登录用户,注销用户,控制台就会输出认证过程中发生的各种事件信息。

代码示例:https://github.com/wexgundam/spring.security/tree/master/ch14

你可能感兴趣的:(ch14:异常处理与认证事件处理)