Spring Securityでは、権限のないユーザが保護されたページにアクセスしようとすると、デフォルトの「

http 403 access denied

」が表示されます:


spring-security-403-default、width = 682、height = 413

このチュートリアルでは、Spring Securityでアクセス拒否ページをカスタマイズする方法を説明します。

1.春のセキュリティ設定

“alex”が `/admin`ページにアクセスしようとすると、403のアクセス拒否ページが表示されます。

Spring-Security.xml 

  <http auto-config="true">
    <access-denied-handler error-page="/403"/>
    <intercept-url pattern="/admin** ** " access="ROLE__ADMIN"/>
  </http>

  <authentication-manager>
    <authentication-provider>
      <user-service>
        <user name="alex" password="123456" authorities="ROLE__USER"/>
        <user name="mkyong" password="123456" authorities="ROLE__USER, ROLE__ADMIN"/>
      </user-service>
    </authentication-provider>
  </authentication-manager>

2.解決策 – 403ページをカスタマイズする

2.1新しい403ページを作成します。

403.jsp 

<html>
<body>
    <h1>HTTP Status 403 - Access is denied</h1>
    <script async src="//pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
<ins class="adsbygoogle"
     style="display:block"
     data-ad-client="ca-pub-2836379775501347"
     data-ad-slot="8821506761"
     data-ad-format="auto"
     data-ad-region="mkyongregion"></ins>
<script>
(adsbygoogle = window.adsbygoogle ||[]).push({});
</script><h2>${msg}</h2>
</body>
</html>

2.2。上記のページを表示するには、次のような `error-page`を追加します:

Spring-Security.xml 

    <http auto-config="true">
        <access-denied-handler error-page="/403"/>
        <intercept-url pattern="/admin** ** " access="ROLE__ADMIN"/>
    </http>

2.3コントローラークラスで、 “/403” URLのマッピングを追加します。

HelloController.java 

package com.mkyong.web.controller;

import java.security.Principal;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;
import org.springframework.web.servlet.ModelAndView;

@Controller
public class HelloController {

   //for 403 access denied page
    @RequestMapping(value = "/403", method = RequestMethod.GET)
    public ModelAndView accesssDenied(Principal user) {

        ModelAndView model = new ModelAndView();

        if (user != null) {
            model.addObject("msg", "Hi " + user.getName()
            + ", you do not have permission to access this page!");
        } else {
            model.addObject("msg",
            "You do not have permission to access this page!");
        }

        model.setViewName("403");
        return model;

    }

}

完了しました。

注釈ユーザの場合は、この `.exceptionHandling()。accessDeniedPage(”/403 “)`を使用します。

SecurityConfig.java 

package com.mkyong.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {

     http.authorizeRequests()
        .antMatchers("/admin/** ** ").access("hasRole('ROLE__ADMIN')")
        .and().formLogin()
        .loginPage("/login").failureUrl("/login?error")
        .usernameParameter("username")
        .passwordParameter("password")
        .and().logout().logoutSuccessUrl("/login?logout")
        .and()
        .exceptionHandling().accessDeniedPage("/403")
    }
}

3. AccessDeniedHandler

さらに、URLを

/403`マッピングに渡す前にカスタムの

AccessDeniedHandler`を作成してビジネスロジックを実行することもできます。

MyAccessDeniedHandler.java 

package com.mkyong.web.exception;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;

public class MyAccessDeniedHandler implements AccessDeniedHandler {

    private String errorPage;

    public MyAccessDeniedHandler() {
    }

    public MyAccessDeniedHandler(String errorPage) {
        this.errorPage = errorPage;
    }

    public String getErrorPage() {
        return errorPage;
    }

    public void setErrorPage(String errorPage) {
        this.errorPage = errorPage;
    }

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
        AccessDeniedException accessDeniedException)
                throws IOException, ServletException {

       //do some business logic, then redirect to errorPage url
        response.sendRedirect(errorPage);

    }

}

httpタグに `ref`を追加してください。

Spring-Security.xml 

    <http auto-config="true">
        <access-denied-handler ref="my403"/>
        <intercept-url pattern="/admin** ** " access="ROLE__ADMIN"/>
    </http>

    <beans:bean id="my403"
        class="com.mkyong.web.exception.MyAccessDeniedHandler">
        <beans:property name="errorPage" value="403"/>
    </beans:bean>

完了しました。

4.デモ

“alex”が `/admin`ページにアクセスしようとすると、上記の403アクセス拒否ページがカスタマイズされます。

4.1 `error-page`を使うとurlは次のように表示されます:



http://localhost:8080/spring-security-403-access-denied/admin


spring-security-403-example1、width = 682、height = 413

4.2カスタムアクセス拒否ハンドラ `ref`を使用している場合、urlは次のように表示されます:



http://localhost:8080/spring-security-403-access-denied/403


spring-security-403-example2、width = 682、height = 413

ソースコードをダウンロードする

ダウンロードする – リンク://wp-content/uploads/2011/08/spring-security-403-access-denied.zip[spring-security-403-access-denied.zip](26 KB)

参考文献


  1. http://stackoverflow.com/questions/4186697/how-to-handle-http-403-with-spring-security-3-0-x

    [StackOverflow

: How to handle HTTP 403 with Spring Security 3.0.x].

http://docs.spring.io/spring-security/site/docs/3.0.8.RELEASE/apidocs/org/springframework/security/web/access/AccessDeniedHandler.html

[Spring

セキュリティ:AccessDeniedHandlerリファレンス]


403


access denied


spring security