SpringSecurity根据自定义异常返回登录错误提示信息

最新推荐文章于 2024-05-11 16:06:43 发布
最新推荐文章于 2024-05-11 16:06:43 发布
阅读量1.2k 收藏 2
点赞数 3
文章标签: spring java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/freedom_zzc/article/details/132303935
版权

一、背景

当前场景:用户在登录失败需要根据不同的场景返回不同的提示信息,例如账号不存在或密码输错提示 “用户名或密码错误”,账号禁用是提示 "账户被锁定"等,默认输错5次密码后账户会被锁定。
需求:当最后一次输错密码时需要给用户提示出 “xxx账户将被锁定” 的提示,而不是提示 “用户名或密码错误”
分析:前四次输错提示 “用户名或密码错误”,第5次输错提示 “xxx账户将被锁定”,那么需要在密码校验失败时,获取到这是第几次输错

二、实现方案

2.1 登录失败记录输错次数
@Component
public class LoginFailedListener implements ApplicationListener<AbstractAuthenticationFailureEvent> {

    @Autowired
    private CustomProperties customProperties ;

    @Autowired
    private UserDao userDao;

    @Override
    public void onApplicationEvent(AbstractAuthenticationFailureEvent abstractAuthenticationFailureEvent) {
        String loginName = abstractAuthenticationFailureEvent.getAuthentication()
            .getName();
        if (log.isInfoEnabled()) {
            log.info("登录失败 loginName=[{}]", loginName);
        }
        if (StringUtils.isBlank(loginName)) {
            return;
        }
        //查询登录账号是否存在
        UserDo condition = new UserDo();
        condition.setLoginName(loginName);
        List<UserDo> userDos = userDao.selectByRecord(condition);
        if (CollectionUtils.isEmpty(userDos)) {
            return;
        }
        UserDo userDo = userDos.get(0);
        UserDo updateDo = new UserDo();
        updateDo.setUserId(userDo.getUserId());
        Integer loginFailMaxCount = customroperties.getLoginFailMaxCount();
        if (loginFailMaxCount <= userDo.getTryTime() + 1) {
            //更新用户状态为冻结
            updateDo.setStatus(EnumUserStatus.FORBIDDEN.getCode());
            updateDo.setTryTime(loginFailMaxCount);
            if (log.isInfoEnabled()) {
                log.info("登录次数已达最大次数:{} 冻结账户 loginName=[{}]", loginFailMaxCount, loginName);
            }
        } else {
            //更新尝试次数
            updateDo.setTryTime(userDo.getTryTime() + 1);
            if (log.isInfoEnabled()) {
                log.info("尝试次数+1 loginName=[{}], tryTime=[{}]", loginName, updateDo.getTryTime());
            }
        }
        updateDo.setUpdateTime(new Date());
        userDao.updateBySelective(updateDo);
    }
}
2.2 重写校验方法,满足条件时抛出自定义异常
  • 校验抛出的异常一定要是AuthenticationException及其子类
  • 因为创建了监听器ApplicationListener的实现,源码中回调是有条件的,所以最后最好是原样抛出 BadCredentialsException ,否则ApplicationListener将不会被触发
@Slf4j
public class CustomDaoAuthenticationProvider extends DaoAuthenticationProvider {

    @Autowired
    private CustomProperties customProperties ;

    @Override
    protected void additionalAuthenticationChecks(UserDetails userDetails, UsernamePasswordAuthenticationToken authentication) throws AuthenticationException {
        try {
            super.additionalAuthenticationChecks(userDetails, authentication);
        } catch (AuthenticationException e) {
            if(e instanceof BadCredentialsException && userDetails instanceof UserDto){
                UserDto userDto = (UserDto) userDetails;
                //先到这里,然后去触发LoginFailedListener,达到账户被锁定这里需要+1
                //已经被冻结的不处理,只处理正常用户,并且是达到最大失败次数的那一次
                if(EnumUserStatus.NORMAL.getCode().equals(userDto.getStatus()) && Objects.equals(userDto.getTryTime() + 1, customProperties .getLoginFailMaxCount())){
                    if(log.isErrorEnabled()){
                        log.error("用户:{} 登录失败次数已达最大,账户将被锁定", userDto.getLoginName());
                    }
                    throw new BadCredentialsException(e.getMessage(), new LoginFailCountOutException("登录失败次数已达最大"));
                }else {
                    throw e;
                }

            }else {
                throw e;
            }

        }
    }


}


public class LoginFailCountOutException extends AuthenticationException {
    private static final long serialVersionUID = -8546980609242201580L;

    /**
     * Constructs an {@code AuthenticationException} with the specified message and no
     * root cause.
     *
     * @param msg the detail message
     */
    public LoginFailCountOutException(String msg) {
        super(msg);
    }

    public LoginFailCountOutException(String msg, Throwable ex) {
        super(msg, ex);
    }
}
2.4 装配自定义的AuthenticationProvider
@Bean
    public AuthenticationProvider authenticationProvider(UserDetailsService userDetailsService, PasswordEncoder passwordEncoder, UserAuthoritiesMapper userAuthoritiesMapper) {
        DaoAuthenticationProvider authenticationProvider = new CustomDaoAuthenticationProvider();
        // 对默认的UserDetailsService进行覆盖
        authenticationProvider.setUserDetailsService(userDetailsService);
        authenticationProvider.setPasswordEncoder(passwordEncoder);
        authenticationProvider.setAuthoritiesMapper(userAuthoritiesMapper);
        return authenticationProvider;
    }

WebSecurityConfigurerAdapter 的配置类中注入

@Autowired
    private AuthenticationProvider authenticationProvider;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authenticationProvider);
    }
2.5 AuthenticationFailureHandler 根据异常返回提示
failureHandler((request, response, ex) -> {
                response.setContentType("application/json;charset=utf-8");
                PrintWriter out = response.getWriter();
                String errorMessage = this.loginFailureErrorMessage(ex);
                out.write(JSON.toJSONString(Response.<Void>builder().isSuccess(false)
                    .errorMessage(errorMessage)
                    .build()));
                out.flush();
                out.close();
            })


private String loginFailureErrorMessage(AuthenticationException ex) {
        if (ex instanceof UsernameNotFoundException || ex instanceof BadCredentialsException) {
            if(ex.getCause() != null && ex.getCause() instanceof LoginFailCountOutException){
                return "登录失败次数已达最大限制, 账户冻结";
            }
            return "用户名或密码错误";
        }
        if (ex instanceof DisabledException) {
            return "账户被禁用";
        }
        if (ex instanceof LockedException) {
            return "账户被锁定";
        }
        if (ex instanceof AccountExpiredException) {
            return "账户已过期";
        }
        if (ex instanceof CredentialsExpiredException) {
            return "密码已过期";
        }
        log.warn("不明原因登录失败", ex);
        return "登录失败";
    }

有其他更好方法的小伙伴欢迎评论指正

夢里花落知多少
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
spring security登录、登出、认证异常返回值的自定义实现
流浪的神明
07-29 5885
在整个学习过程中,我最关心的内容有号几点,其中一点是【前后端分离的情况下如何不跳转页面而是返回需要的返回值】。 下面就说一下学习结果,以xml配置位李。 登录成功,不跳转页面,返回自定义返回值 在spring官方文档5.0.12.RELEASE第6.2.3节,有这么一段描述: 要进一步控制目标,可以使用authentication-success-handler-ref属性作为default-ta...
SpringBoot集成SpringSecurity和JWT做登陆鉴权的实现
08-19
在处理异常时,我们可以创建一个全局的异常处理器,确保在鉴权失败或令牌过期时,返回标准的Json格式错误信息,这样前端可以据此做出相应的提示。同时,这个异常处理器也能处理其他可能出现的运行时异常,保持系统的...
SpringSecurity登录失败返回错误信息
qq_44993268的博客
05-20 4381
现在有这么一个需求,客户端登录验证失败之后显示两种错误信息--"用户名不存在"或者"账号密码错误",但是spring Security好像并没有返回错误信息的类,所以需要我们自己从request域中去获取错误信息,首先我们要设置验证失败后的返回地址。 http.formLogin() //自定义自己编写的登陆页面 .loginPage("/login.html") //登陆页面设置 .loginProcessingUrl("/us..
Spring Security实现多次登录失败后账户锁定功能
08-25
当用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。今天小编给大家分享Spring Security实现多次登录失败后账户锁定功能,感兴趣的朋友一起看看吧
springboot引入security,测试接口报Unauthorized
qingcyb的博客
05-11 497
2、当前项目pom文件引入security
Spring Security自定义认证异常和授权异常
程序三两行
07-27 3905
Spring security中默认提供的异常处理器不一定满足项目的需求,那这时一般都会在Spring Security 的 自定义配置类( WebSecurityConfigurerAdapter )中使用HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。AuthenticationEntryPoint 该类用来统一处理 AuthenticationException 异常。
Spring Security 实战干货:自定义异常处理
码农小胖哥
11-07 2643
1. 前言 最近实在比较忙,很难抽出时间来继续更 Spring Security 实战干货系列。今天正好项目中 Spring Security 需要对认证授权异常的处理,就分享出来吧 。 2. Spring Security 中的异常 Spring Security 中的异常主要分为两大类:一类是认证异常,另一类是授权相关的异常。 2.1 AuthenticationException Auth...
SpringSecurity自定义异常处理
热门推荐
Twilight blog
09-01 1万+
以下为SpringSecurity默认自带的异常处理机制 两个重要的异常类 1. AccessDeniedException 该异常实现了很多子类。子类都是涉及到权限校验问题的。 2. AuthenticationEntryPoint 同样该异常类也实现了很多子类。springSecurity把异常划分的很细。概括来说都是身份校验问题。 自定异常处理类 public class My...
捕获SpringSecurity异常,进行统一返回
wuhao2343的博客
02-22 2081
需要捕获SpringSecurity中的异常,通过统一返回类封装后返回给前端,但是使用@ControllerAdvice的全局异常处理器无法捕获到SpringSecurity中的异常,原因如下:在SpringSecurity中,如果认证或者授权的过程中出现了异常会被ExceptionTranslationFilter捕获到。​所以如果我们需要自定义异常处理,我们只需要实现AuthenticationEntryPoint和AccessDeniedHandler接口然后配置给SpringSecurity即可。
spring spring security2.5 jar
01-08
6. **国际化支持**:Spring Security允许开发者提供多语言的安全相关提示信息,增强用户体验。 在整合Spring Security 2.5与Spring 2.5时,需要注意以下几点: 1. **依赖管理**:确保Spring Security的jar包与...
spring security 学习使用的静态文件
05-10
8. **国际化支持**:Spring Security还支持多语言界面,可以通过配置`MessageSource`来提供不同语言的提示信息。 学习Spring Security时,建议从基础概念入手,逐步深入到实际应用场景,通过实践项目来加深理解。...
基于SpringSecurity的图书借阅系统源代码
最新发布
05-30
7. **异常处理**:在处理安全相关问题时,Spring Security有自定义的异常处理机制,当认证或授权失败时,可以返回友好的错误页面或提示。 8. **数据库集成**:在实际应用中,用户信息和权限信息通常存储在数据库中...
spring_security 配置
05-18
Spring Security支持多语言,可以通过配置`MessageSource`来提供不同语言的安全提示信息。 9. **自定义登录表单** 默认登录表单可以通过`formLogin()`进行定制,包括登录提交地址、用户名和密码字段的名称等。 ...
4.SpringSecurity自定义登录成功处理、显示登录失败信息、自定义登录失败处理、注销登录配置、前后端分离注销登录配置
一个双子座的Java攻城狮
12-07 2413
Spring security自定义登录成功处理、失败处理
5.Spring Security 自定义异常
Z17839935459的博客
06-23 638
Spring Security中的异常主要分为两大类:一类是认证异常,另一类是授权相关的异常 说的通俗点: 一个是你去买票,你要提供身份证信息,才能买(也就是认证),一个是买到了票,你根据你的座位入座,否则不能入座(也就是权限) 对应到浏览器报的错误:前者是401,后者是403 代码我们去实现的话,思路就很明了了,我们只需要实现两个类,一个去捕获登陆时发生的错误,一个去捕获权限认证时发生的错误,再把两个类加到登陆配置类 里面就好了。 登陆异常捕获类 public class Simpl...
SpringSecurity实现异常处理并且返回Json数据
weixin_51431465的博客
12-14 750
参考自:spring-security 9. 异常处理_哔哩哔哩_bilibili
springboot security 自定义返回结果(三)
qq_27081015的博客
12-26 4101
1. 用户未登录返回给前端的数据 package com.hanhuide.core.handler; import com.alibaba.fastjson.JSON; import com.hanhuide.core.enums.ResultEnum; import com.hanhuide.core.model.AjaxResponseBody; import org.springf...
Spring Security(七):自定义异常
Shair911的博客
02-09 1363
TODO
springsecurity oauth 自定义异常
08-03
Spring Security OAuth中,可以通过自定义异常来处理认证和授权过程中的异常情况。以下是一个简单的示例,展示如何自定义异常处理。 首先,创建一个自定义的异常类,例如 `CustomOAuthException`: ```java ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值