Java Spring Http Status Code 403 Httpforbiddenhandler

Verständnis des 403 Forbidden Status in Spring MVC

In Webanwendungen ist es entscheidend, die Benutzerberechtigungen effektiv zu verwalten. Wenn Benutzer versuchen, auf eine Ressource zuzugreifen, für die sie keine Berechtigung haben, sollte der Server mit einem entsprechenden Statuscode antworten. Ein solcher Code ist der 403 Forbidden, der anzeigt, dass der Server die Anfrage verstanden hat, jedoch die Autorisierung verweigert.

In diesem Blogbeitrag werden wir erforschen, wie man eine 403 Forbidden-Antwort in einer Spring MVC-Webanwendung implementiert, um sicherzustellen, dass Ihre Anwendung sicher und informativ für die Benutzer bleibt.

Einrichtung der HTTP 403-Antwort

Um den 403 Forbidden Status korrekt in Spring MVC zu handhaben, gehen wir zwei Hauptansätze durch: das Festlegen des Status in JSP-Ansichten und die Nutzung von Ausnahmebehandlungen mit einem benutzerdefinierten Ausnahme-Resolver.

Schnelle Implementierung in JSP-Ansichten

Wenn Ihre Anwendung einfache JSPs (JavaServer-Seiten) zum Rendern von Ansichten verwendet, gibt es hier eine unkomplizierte Möglichkeit, einen 403 Statuscode zurückzugeben:

  1. Ändern Sie die JSP-Datei: Fügen Sie die folgende Zeile an den Anfang Ihrer JSP-Datei hinzu, wo Sie den 403 Forbidden Status zurückgeben möchten. 
    <% response.setStatus(403); %>

Indem Sie diese Zeile oben platzieren, wird Ihr Server mit einem 403 Forbidden Status antworten, wann immer diese Ansicht gerendert wird.

Ein detaillierterer Ansatz mit Ausnahme-Resolvern

Während die schnelle Implementierung gut funktioniert, bietet eine robustere Lösung die Behandlung von Ausnahmen mit Spring’s SimpleMappingExceptionResolver. Diese Methode ermöglicht es Ihnen, eine spezifische Ausnahme (wie PermissionDeniedException) von Ihrem Controller oder Ihrer Servicelogik auszulösen, wenn Benutzer versuchen, auf nicht autorisierte Ressourcen zuzugreifen.

So richten Sie es ein:

1. Erstellen Sie die benutzerdefinierte Ausnahme

Zuerst definieren Sie eine benutzerdefinierte Ausnahmeklasse:

public class PermissionDeniedException extends RuntimeException {
    public PermissionDeniedException(String message) {
        super(message);
    }
}

2. Konfigurieren Sie den Ausnahme-Resolver

Als nächstes konfigurieren Sie den SimpleMappingExceptionResolver in Ihrer Spring-Bean-XML-Datei:

<bean id="exceptionResolver" class="org.springframework.web.servlet.handler.SimpleMappingExceptionResolver">
  <property name="exceptionMappings">
    <props>
      <prop key="PermissionDeniedException">rescues/permissionDenied</prop>
      <!-- Weitere Ausnahme/Ansicht-Mappings nach Bedarf hinzufügen -->
    </props>
  </property>
  <property name="defaultErrorView" value="rescues/general" />
</bean>

<bean id="viewResolver" class="org.springframework.web.servlet.view.InternalResourceViewResolver">
  <property name="viewClass" value="org.springframework.web.servlet.view.JstlView" />
  <property name="prefix" value="/WEB-INF/views/" />
  <property name="suffix" value=".jsp" />
</bean>

In dieser Konfiguration:

  • Die exceptionMappings-Eigenschaft verknüpft die PermissionDeniedException mit der permissionDenied.jsp Ansicht, die wir als Nächstes erstellen werden.
  • Die defaultErrorView-Eigenschaft legt eine allgemeine Fehlerseite im Falle anderer Ausnahmen fest.

3. Behandeln Sie die Ausnahme in Ihrem Controller

In Ihrem Controller können Sie dann die Ausnahme auslösen:

@GetMapping("/protectedResource")
public String viewProtectedResource() {
    if (!userHasPermission()) {
        throw new PermissionDeniedException("Sie haben keine Berechtigung, diese Seite anzuzeigen.");
    }
    return "protectedResourceView";
}

4. Erstellen Sie die permissionDenied.jsp Ansicht

Erstellen Sie im rescues Ordner unter Ihrem Ansichtsverzeichnis eine permissionDenied.jsp Datei:

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%
response.setStatus(403); 
%>
<html>
<head>
    <title>403 Forbidden</title>
</head>
<body>
    <h1>403 Forbidden</h1>
    <p>Sie haben keine Berechtigung, diese Seite anzuzeigen.</p>
</body>
</html>

Diese Seite setzt den Status und informiert die Benutzer, dass ihnen die notwendigen Berechtigungen fehlen, um auf die angeforderte Ressource zuzugreifen.

Fazit

Durch die Befolgung der in diesem Beitrag skizzierten Schritte können Sie effektiv eine 403 Forbidden-Antwort in Ihrer Spring MVC-Anwendung zurückgeben. Dies verbessert nicht nur die Sicherheit Ihrer Anwendung, sondern auch die Benutzererfahrung, indem klare Nachrichten bereitgestellt werden, wenn der Zugriff verweigert wird.

Wenn Ihre Anwendung ein umfassenderes Benutzerauthentifizierungsmechanismus benötigt, ziehen Sie in Betracht, Spring Security für robuste Zugriffskontrollfunktionen zu integrieren.

Danke fürs Lesen! Haben Sie Fragen oder Vorschläge zur Behandlung von HTTP-Status in Spring MVC? Teilen Sie Ihre Gedanken in den Kommentaren unten!