浅谈spring security 403机制
403就是access denied ,就是请求拒绝,由于权限不足html
三种权限级别
1、无权限访问
<security:http security="none" pattern="/index.jsp" />java
这种便是不须要登陆,也能够访问的,可是不会传csrf_keyspring
2、匿名访问
<security:http>jsp
<security:intercept-url pattern="/index.jsp" access="IS_AUTHENTICATED_ANONYMOUSLY"/>ide
</security:http>url
这种也是不须要登陆就访问的,可是会传csrf_keyspa
3、有权限访问
<security:http>csrf
<security:intercept-url pattern="/index.jsp" access="xxxxx"/>xml
</security:http>htm
这种就须要用户登陆了,并且须要相应的权限才能访问,否则就报403(access denied)
没有跳转403?
今天遇到了一个诡异的问题
admin.jsp设置为access="USER",须要用户登陆了,并且须要有USER权限才能访问
然而我没登录的时候,去访问admin.jsp,结果没有跳到403页面,跳到了login.jsp
在我预想的是,跳到403
缘由
当用户已经登陆了,可是权限不足,才会跳转到403
当用户没有登陆的时候,访问有权限的页面,只会跳转到登录页面
机制
spring security处理请求的时候,先会检测用户是否登陆,也就是检测是否有authentication(身份)
此时,若是用户没有登陆,并且请求是须要登陆的action,spring security会跳转到登录页面,就算这个页面须要权限访问,也不会出现403。
登陆的时候,会在SecurityContextHolder里面放一个记录用户信息(用户名、权限)的principal,须要验证用户权限的时候,就会从SecurityContextHolder取出principal来验证权限。
若是用户已经登陆了(有了authentication),若是用户的权限不足,就会报403 这个时候security:access-denied-handler才会生效
自定义403
想要自定义403,须要在spring-security.xml里面设置security:access-denied-handler
有两种方式:
指定AccessDeniedHandler
自定义一个403处理机制,须要实现AccessDeniedHandler接口,实现里面的handle方法
当权限不足的时候,spring security会调用handle方法
能够在handle方法里面重定向或者转发请求
代码demo
public class AccessDeniedServletHandler implements AccessDeniedHandler { private static final String DEF_ERROR_PAGE_PATH="action/deniedServlet_denied"; @Override public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException { response.sendRedirect(DEF_ERROR_PAGE_PATH); } }在spring-security.xml配置
<security:access-denied-handler ref="accessDeniedServletHandler" />
<bean id="accessDeniedServletHandler" class="com.xxx.servlet.AccessDeniedServletHandler" scope="singleton"></bean>
指定error-page
这种方式,其实是转发请求,作不到重定向
在spring-security.xml配置
<security:access-denied-handler error-page="403.html" />
整合Struts的问题
情景
前提:自定义的403页面的URL,是经过struts的action访问的
当权限不足的时候,将请求转发到自定义的403页面时,会出现404( not found)
可是直接访问403页面的时候,又是正常的
缘由
因此推测
spring security 的DefaultSecurityFilterChain在strust的filter以后
因此struts捕获不到请求的403页面,可是请求方式又是action,因此就找不到页面了
结论
因此这样子的话,一切spring security 处理完成后自定义跳转,都是在strust的filter以后的
像登陆成功的authentication-success-handler-ref,退出的success-handler-ref以及access denied的security:access-denied-handler
因此访问action的当心的,要用重定向的方式
查看原文:http://139.129.55.235/2016/06/01/%e6%b5%85%e8%b0%88spring-security-403%e6%9c%ba%e5%88%b6/
- 1. 浅谈spring security中的权限控制
- 2. java security浅谈
- 3. spring security 访问403 Forbidden
- 4. 浅谈attention机制
- 5. AndroidHook机制——浅谈
- 6. 浅谈Handler机制
- 7. Spring Security教程之自定义Spring Security默认的403页面
- 8. 浅谈 Spring MVC
- 9. 浅谈Spring AOP
- 10. 浅谈android binder机制
- 更多相关文章...
- • ARP协议的工作机制详解 - TCP/IP教程
- • TiDB数据库的管理机制 - NoSQL教程
- • 漫谈MySQL的锁机制
- • Spring Cloud 微服务实战(三) - 服务注册与发现
-
每一个你不满意的现在,都有一个你没有努力的曾经。