0


【解决】分析SpringSecurity访问请求权限不足AccessDeniedException问题

问题描述

在做项目的时候,使用SpringSecurity配置完系统的访问权限时,进行测试的时候,发现明明携带了访问该路径需要的权限标志,会一直提示说我们权限不足
在这里插入图片描述
在这里插入图片描述

这里我配置了AccessDeniedHandler,当SpringSecurity判断我们权限不足时,会抛出AccessDeniedException异常,然后执行AccessDeniedHandler中我们重写的的

handle

方法。

解决

实在想不出原因的时候,我开始着手从源码去探究报错的原因,于是我从网上找来了这张图,授权测试流程:

如图所示,首页请求先会进入FilterSecurityInterceptor过滤器,将它作为断点的入口。
在这里插入图片描述
这里发现问题,在调用

super.beforeInvocation(filterInvocation);

方法的时候出现了异常,F7进入该方法中。

AbstractSecurityInterceptor:
在这里插入图片描述

该方法中首先调用了

this.obtainSecurityMetadataSource().getAttributes(object)

方法,通过当前请求路径获取到访问该请求所需要的权限(object是上一步调用传过来的参数,封装了我们请求路径的一些信息)。

**其实在这里我已经发现问题了,我配置的该请求的访问权限并非

hasAuthority('user')

。**

往下执行:
在这里插入图片描述

通过

authenticateIfRequired

方法获取到Authentication对象,封装了当前用户的权限信息(Userdetails),也就是我们在登录认证成功后将用户权限信息保存到SecurityContextHolder上下文中的Authentication对象。

这里可以看到,我当前登录的用户信息是admin权限,而访问该请求需要的权限是user,问题所在!!

往下执行:
在这里插入图片描述
进入该方法:
在这里插入图片描述
继续F7进入该方法中:
AffirmativeBased:
在这里插入图片描述
这应该就是权限决策的核心方法了,在拿到我们当前用户的权限信息、请求路径信息、该请求所需要的权限信息,通过投票的方式来进行判断该请求是否具有权限方法,当不满足条件时,如图所示,抛出AccessDeniedException,从而去执行我们自定义的AccessDeniedHandler中的

handle

方法。


本文转载自: https://blog.csdn.net/sunao1106/article/details/126315798
版权归原作者 小孙的Blog 所有, 如有侵权,请联系我们删除。

“【解决】分析SpringSecurity访问请求权限不足AccessDeniedException问题”的评论:

还没有评论