“error”: “unsupported_grant_type”,
“error_description”: “Unsupported grant type: password1”
}
密码错误
在认证时故意输错 username
或 password
会出现如下异常错误:
{
“error”: “invalid_grant”,
“error_description”: “Bad credentials”
}
客户端错误
在认证时故意输错 client_id
或 client_secret
{
“error”: “invalid_client”,
“error_description”: “Bad client credentials”
}
上面的返回结果很不友好,而且前端代码也很难判断是什么错误,所以我们需要对返回的错误进行统一的异常处理,让其返回统一的异常格式。
问题剖析
如果只关注解决方案,可以直接跳转到解决方案模块!
OAuth2Exception异常处理
在Oauth2认证服务器中认证逻辑最终调用的是 TokenEndpoint#postAccessToken()
方法,而一旦认证出现 OAuth2Exception
异常则会被 handleException()
捕获到异常。如下图展示的是当出现用户密码异常时debug截图:
认证服务器在捕获到 OAuth2Exception
后会调用 WebResponseExceptionTranslator#translate()
方法对异常进行翻译处理。
默认的翻译处理实现类是 DefaultWebResponseExceptionTranslator
,处理完成后会调用 handleOAuth2Exception()
方法将处理后的异常返回给前端,这就是我们之前看到的异常效果。
处理方法
熟悉Oauth2套路的同学应该知道了如何处理此类异常,就是**「自定义一个异常翻译类让其返回我们需要的自定义格式,然后将其注入到认证服务器中。」**
但是这种处理逻辑只能解决 OAuth2Exception
异常,即前言部分中的**「授权模式异常」和「账号密码类的异常」**,并不能解决我们客户端的异常。
客户端异常处理
客户端认证的异常是发生在过滤器 ClientCredentialsTokenEndpointFilter
上,其中有后置添加失败处理方法,最后把异常交给 OAuth2AuthenticationEntryPoint
这个所谓认证入口处理。执行顺序如下所示:
然后跳转到父类的 AbstractOAuth2SecurityExceptionHandler#doHandle()
进行处理:
最终由 DefaultOAuth2ExceptionRenderer#handleHttpEntityResponse()
方法将异常输出给客户端
处理方法
通过上面的分析我们得知客户端的认证失败异常是过滤器 ClientCredentialsTokenEndpointFilter
转交给 OAuth2AuthenticationEntryPoint
得到响应结果的,既然这样我们就可以重写 ClientCredentialsTokenEndpointFilter
然后使用自定义的 AuthenticationEntryPoint
替换原生的 OAuth2AuthenticationEntryPoint
,在自定义 AuthenticationEntryPoint
处理得到我们想要的异常数据。
解决方案
为了解决上面这些异常,我们首先需要编写不同异常的错误代码:ReturnCode.java
CLIENT_AUTHENTICATION_FAILED(1001,“客户端认证失败”),
USERNAME_OR_PASSWORD_ERROR(1002,“用户名或密码错误”),
UNSUPPORTED_GRANT_TYPE(1003, “不支持的认证模式”);
OAuth2Exception异常
如上所说我们编写一个自定义异常翻译类 CustomWebResponseExceptionTranslator
@Slf4j
public class CustomWebResponseExceptionTranslator implements WebResponseExceptionTranslator {
@Override
public ResponseEntity<ResultData> translate(Exception e) throws Exception {
log.error(“认证服务器异常”,e);
ResultData response = resolveException(e);
return new ResponseEntity<>(response, HttpStatus.valueOf(response.getHttpStatus()));
}
/**
* 构建返回异常
* @param e exception
* @return
*/
private ResultData resolveException(Exception e) {
// 初始值 500
ReturnCode returnCode = ReturnCode.RC500;
int httpStatus = HttpStatus.UNAUTHORIZED.value();
//不支持的认证方式
if(e instanceof UnsupportedGrantTypeException){
returnCode = ReturnCode.UNSUPPORTED_GRANT_TYPE;
//用户名或密码异常
}else if(e instanceof InvalidGrantException){
returnCode = ReturnCode.USERNAME_OR_PASSWORD_ERROR;
}
ResultData failResponse = ResultData.fail(returnCode.getCode(), returnCode.getMessage());
failResponse.setHttpStatus(httpStatus);
return failResponse;
}
}
然后在认证服务器配置类中注入自定义异常翻译类
@Override
public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
//如果需要使用refresh_token模式则需要注入userDetailService
endpoints
.authenticationManager(this.authenticationManager)
.userDetailsService(userDetailService)
// 注入tokenGranter
.tokenGranter(tokenGranter);
//注入自定义的tokenservice,如果不使用自定义的tokenService那么就需要将tokenServce里的配置移到这里
// .tokenServices(tokenServices());
// 自定义异常转换类
endpoints.exceptionTranslator(new CustomWebResponseExceptionTranslator());
}
客户端异常
重写客户端认证过滤器,不使用默认的 OAuth2AuthenticationEntryPoint
处理异常
public class CustomClientCredentialsTokenEndpointFilter extends ClientCredentialsTokenEndpointFilter {
private final AuthorizationServerSecurityConfigurer configurer;
private AuthenticationEntryPoint authenticationEntryPoint;
public CustomClientCredentialsTokenEndpointFilter(AuthorizationServerSecurityConfigurer configurer) {
this.configurer = configurer;
}
@Override
public void setAuthenticationEntryPoint(AuthenticationEntryPoint authenticationEntryPoint) {
super.setAuthenticationEntryPoint(null);
this.authenticationEntryPoint = authenticationEntryPoint;
}
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数Java工程师,想要提升技能,往往是自己摸索成长,自己不成体系的自学效果低效漫长且无助。
因此收集整理了一份《2024年Java开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
-1715079239702)]
[外链图片转存中…(img-bihAHKR4-1715079239702)]
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Java开发知识点,不论你是刚入门Android开发的新手,还是希望在技术上不断提升的资深开发者,这些资料都将为你打开新的学习之门!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!