java-在春季启动时将UsernameNotFoundException抛出为403
内容导读
互联网集市收集整理的这篇技术教程文章主要介绍了java-在春季启动时将UsernameNotFoundException抛出为403,小编现在分享给大家,供广大互联网技能从业者学习和参考。文章包含1245字,纯文字阅读大概需要2分钟。
内容图文
我有一个春季启动项目.使用不正确的用户凭据发出请求时:
catch (RuntimeException ex) {
log.error("Error occurred while fetching user {}: {}", securityPrincipal, ex);
throw new UsernameNotFoundException("Could not find user: " + securityPrincipal);
}
但是最后抛出的异常是500.
通过一些链接后,我发现:
protected AbstractPreAuthenticatedProcessingFilter multiPreAuthenticatedProcessingFilter() throws Exception {
MultiPreAuthenticatedProcessingFilter filter = new MultiPreAuthenticatedProcessingFilter();
filter.setAuthenticationManager(authenticationManager());
filter.setPreAuthenticatedPrincipalProviders(preAuthenticatedPrincipalProviders);
filter.setCheckForPrincipalChanges(true);
filter.setInvalidateSessionOnPrincipalChange(true);
filter.setContinueFilterChainOnUnsuccessfulAuthentication(**true**);
return filter;
}
将continueFilterChainOnUnsuccesfulAuthentication更改为true将有助于按原样抛出Authentication异常.但是在将其更改为true之后,将UsernameNotFoundException抛出为403而不是401.
是否缺少一些基本的安全配置?
解决方法:
根据HTTP规范,服务403而不是401是绝对正确的,因为已经提供了凭据并且不正确.返回401将指示用户应指定访问凭据.
看到:
> wikipedia article of HTTP 403
> RFC 7231
更新
实际上,这不是100%明确的原因,因为RFC 7235说如果提供的凭据不正确,则可能会返回401.
内容总结
以上是互联网集市为您收集整理的java-在春季启动时将UsernameNotFoundException抛出为403全部内容,希望文章能够帮你解决java-在春季启动时将UsernameNotFoundException抛出为403所遇到的程序开发问题。 如果觉得互联网集市技术教程内容还不错,欢迎将互联网集市网站推荐给程序员好友。
内容备注
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 gblab@vip.qq.com 举报,一经查实,本站将立刻删除。
内容手机端
扫描二维码推送至手机访问。