Разница между EntryPoint и обработчиком в Spring Security
В Spring Security, когда дело доходит до аутентификации, происходит AuthenticationExeption, и я знаю, что такая логика, как перенаправление, выполняется через AuthenticationEntryPoint. И Authorization exception бросает AccessDeniedException и AccessDeniedHandler справляется.
Однако оба они являются объектами, отвечающими за логику обработки конкретных исключений, поэтому я не знаю, почему они созданы как объекты с разными именами, EntryPoint и Handler. Функция для переопределения при наследовании EntryPoint и функция для реализации при наследовании Handler даже имеют одинаковую форму.
public interface AuthenticationEntryPoint {
void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException)
throws IOException, ServletException;
}
public interface AccessDeniedHandler {
void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException)
throws IOException, ServletException;
}
Почему Spring Security обрабатывает исключения не с помощью одного объекта, называемого обработчиком, а с отдельными объектами Entrypoint? Мне любопытна разница между ними.
Ответы 2
Два разных имени для двух разных вариантов использования:
- точка входа: если вы не вошли в систему (аутентификация)
- доступ запрещен: если вам не разрешен доступ к ресурсу (авторизация)
См. Справочник по безопасности Spring:
Обработка исключений безопасности
ExceptionTranslationFilterпозволяет переводитьAccessDeniedExceptionиAuthenticationExceptionв ответы HTTP.
ExceptionTranslationFilterвставляется в FilterChainProxy как один из фильтров безопасности.На следующем изображении показано отношение
ExceptionTranslationFilterк другим компонентам:
Во-первых,
ExceptionTranslationFilterвызываетFilterChain.doFilter(request, response)для вызова остальной части приложения.Если пользователь не аутентифицирован или это
AuthenticationException, то начните аутентификацию.
SecurityContextHolder очищен.
HttpServletRequestсохраняется, чтобы его можно было использовать для воспроизведения исходного запроса после успешной аутентификации.
AuthenticationEntryPointиспользуется для запроса учетных данных от клиента. Например, он может перенаправить на страницу входа или отправить заголовокWWW-Authenticate.В противном случае, если это
AccessDeniedException, то доступ запрещен.AccessDeniedHandlerвызывается для обработки отказа в доступе.Если приложение не выдает
AccessDeniedExceptionилиAuthenticationException, тоExceptionTranslationFilterничего не делает.
EntryPoint (AuthenticationEntryPoint) обрабатывает исключение аутентификации, а Handler (AccessDeniedHandler) обрабатывает исключение авторизации.
Я думаю, что это больше дизайнерское решение по поводу детализации интерфейса , и автор решил иметь более мелкозернистый интерфейс, чтобы он был более SRP, поскольку аутентификация и авторизация — это действительно разные вещи.