Spring Security-403 Access拒否カスタム応答を作成しています

Question

私はjwt認証を備えたスプリングブートレストAPIを持っています。問題は、次のようなデフォルトの403 Access Denied rest応答を取り除くことができないことです：

{ "timestamp": 1516206966541, "status": 403, "error": "Forbidden", "message": "Access Denied", "path": "/api/items/2" }

カスタムAccessDeniedHandlerを作成しました：

public class CustomAccessDeniedHandler implements AccessDeniedHandler { @Override public void handle(HttpServletRequest req, HttpServletResponse res, AccessDeniedException accessDeniedException) throws IOException, ServletException { ObjectMapper mapper = new ObjectMapper(); res.setContentType("application/json;charset=UTF-8"); res.setStatus(403); res.getWriter().write(mapper.writeValueAsString(new JsonResponse() .add("timestamp", System.currentTimeMillis()) .add("status", 403) .add("message", "Access denied"))); } }

webConfigクラスに追加しました

@EnableWebSecurity public class WebSecurity extends WebSecurityConfigurerAdapter { private UserDetailsService userDetailsService; private BCryptPasswordEncoder bCryptPasswordEncoder; @Autowired public WebSecurity(UserDetailsService userDetailsService, BCryptPasswordEncoder bCryptPasswordEncoder) { this.userDetailsService = userDetailsService; this.bCryptPasswordEncoder = bCryptPasswordEncoder; } @Override protected void configure(HttpSecurity http) throws Exception { http .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.NEVER) .and() .csrf().disable() .authorizeRequests() .antMatchers(HttpMethod.POST, REGISTER_URL).permitAll() .anyRequest().authenticated() .and() .exceptionHandling().accessDeniedHandler(accessDeniedHandler()) .and() .addFilter(new JWTAuthenticationFilter(authenticationManager(), tokenProvider())) .addFilter(new JWTAuthorizationFilter(authenticationManager(), tokenProvider())); } @Override public void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder); } @Bean public TokenProvider tokenProvider(){ return new TokenProvider(); } @Bean public AccessDeniedHandler accessDeniedHandler(){ return new CustomAccessDeniedHandler(); } }

それにもかかわらず、私はまだデフォルトのアクセス拒否応答を取得しています。デバッグ時に、カスタムハンドラーからのhandleメソッドが呼び出されないことを認識しました。ここの場合はどうですか？

dudinii · Accepted Answer

私は問題を解決したと思います。 AccessDeniedHandlerの実装を作成する代わりに、カスタムAuthenticationEntryPointを作成し、例外処理に設定する必要がありました。

WebConfigは次のようになります。

@EnableWebSecurity public class WebSecurity extends WebSecurityConfigurerAdapter { private UserDetailsService userDetailsService; private BCryptPasswordEncoder bCryptPasswordEncoder; @Autowired public WebSecurity(UserDetailsService userDetailsService, BCryptPasswordEncoder bCryptPasswordEncoder) { this.userDetailsService = userDetailsService; this.bCryptPasswordEncoder = bCryptPasswordEncoder; } @Override protected void configure(HttpSecurity http) throws Exception { http .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .csrf().disable() .authorizeRequests() .antMatchers(HttpMethod.POST, REGISTER_URL).permitAll() .anyRequest().authenticated() .and() .exceptionHandling().authenticationEntryPoint(authenticationEntryPoint()) .and() .addFilter(new JWTAuthenticationFilter(authenticationManager(), tokenProvider())) .addFilter(new JWTAuthorizationFilter(authenticationManager(), tokenProvider())); } @Override public void configure(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder); } @Bean public TokenProvider tokenProvider(){ return new TokenProvider(); } @Bean public AuthenticationEntryPoint authenticationEntryPoint(){ return new CustomAuthenticationEntryPoint(); } }

およびCustomAuthenticationEntryPoint：

public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint { @Override public void commence(HttpServletRequest req, HttpServletResponse res, AuthenticationException authException) throws IOException, ServletException { res.setContentType("application/json;charset=UTF-8"); res.setStatus(403); res.getWriter().write(JsonBuilder //my util class for creating json strings .put("timestamp", DateGenerator.getDate()) .put("status", 403) .put("message", "Access denied") .build()); } }

今、すべてが私が望むように動作します。

Amit Samuel · Answer

私は同じ問題を抱えており、正しい答えに従って解決しようとしましたが、問題は解決しません。これを処理する最良の方法は、カスタムアクセス拒否ハンドラを実装することです。 AuthenticationEntryPointの実装は401、UNAUTHORIZEDアクセスの処理に最適であり、AccessDeniedHandler実装は403、FORBIDDENアクセスの場合に最適です。

実装クラスのAccessDeniedHandlerのメソッドを次のようにオーバーライドします。

@Override public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException { response.getWriter().write("Access Denied... Forbidden"); }

そして、このカスタムアクセス拒否ハンドラを次のようにセキュリティ構成に追加します。

.exceptionHandling() .authenticationEntryPoint(authenticationEntryPoint()) .accessDeniedHandler(accessDeniedHandler())

Joe Grandja · Answer

これは、アクセス拒否（403）シナリオでカスタムAccessDeniedHandlerが呼び出されることを示す最小限のセキュリティ構成です。

@EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/css/**", "/index").permitAll() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasRole("USER") .and() .formLogin() .and() .exceptionHandling() .accessDeniedHandler((request, response, accessDeniedException) -> { AccessDeniedHandler defaultAccessDeniedHandler = new AccessDeniedHandlerImpl(); defaultAccessDeniedHandler.handle(request, response, accessDeniedException); }); } @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth .inMemoryAuthentication() .withUser(User.withDefaultPasswordEncoder().username("user").password("password").roles("USER")) .withUser(User.withDefaultPasswordEncoder().username("admin").password("password").roles("ADMIN")); } }

再現する手順：

user/passwordでログイン
http://localhost:8080/user/indexにアクセスしてみてください-アクセスが許可されました
http://localhost:8080/admin/indexにアクセスしてみてください-アクセスが拒否され、カスタムAccessDeniedHandlerが呼び出されます