为什么AccessDeniedException和AuthenticationException的处理方式不同

如何解决为什么AccessDeniedException和AuthenticationException的处理方式不同

我使用Spring Boot 2和Spring Security 5创建了一个演示应用程序。源位于here。

它提供了两种端点-HTML网页和REST API。因此，WebSecurityConfigurerAdapter的两个子类被引入如下：

@Configuration
@Order(1)
public class ApiSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();
        http.antMatcher("/api/**")
            .authorizeRequests()
            .antMatchers("/api/admin**").hasRole("ADMIN")
            .anyRequest().authenticated()
            .and().httpBasic();
    }
}

@Configuration
public class PageSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.antMatcher("/**")
            .authorizeRequests()
            .antMatchers("/login").permitAll()
            .anyRequest().authenticated()
            .and().formLogin().loginPage("/login").permitAll().defaultSuccessUrl("/index")
            .and().logout()
            .invalidateHttpSession(true).deleteCookies("JSESSIONID")
            .logoutSuccessUrl("/login").permitAll();
    }
}

在以下三种情况下，REST api调用将导致身份验证和授权失败：

1. 未提供受保护端点的凭据
2. 提供的凭据错误
3. 正确的凭据提供了错误的角色

结果显示，在情况1和3中org.springframework.security.access.AccessDeniedException上升，在情况2中org.springframework.security.authentication.BadCredentialsException上升，三种情况的返回值为：

1. HTTP状态为401的json错误消息
2. HTTP状态302重定向到/ login端点返回
3. HTTP状态为403的json错误消息

对于情况2，该现象已在另一本question中进行了解释。通常，这是因为异常将由默认错误端点/error处理，并且在Spring Boot 2中该端点也已受到保护，因此需要登录（详细信息Spring security 5 "Bad credentials" exception not shown with errorDetails）。

进一步的问题是，为什么案例1和案例3没有采用相同的机制处理？默认错误处理程序为什么不使用AccessDeniedException端点处理/error？

解决方法

版权声明：本文内容由互联网用户自发贡献，该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容， 请发送邮件至 dio@foxmail.com 举报，一经查实，本站将立刻删除。