Spring Security 5: UsernamePasswordAuthenticationFilter 的子类重写 unsuccessfulAuthentication 方法不执行分析及解决

已于 2022-05-14 00:34:46 修改
阅读量5.4k 收藏 1
点赞数
分类专栏: SpringBoot 2.x.x 文章标签: spring java 后端
于 2022-02-28 02:03:18 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/haduwi/article/details/123168605
版权

一、前言:

在 Spring Security 框架中,最常用的 Filter 便是表单登录Filter,即 UsernamePasswordAuthenticationFilter。从下图中,能清晰的了解到 UsernamePasswordAuthenticationFilter 的继承关系。
在这里插入图片描述最近我用 Spring Security 做登录验证的时候遇到一个问题。UsernamePasswordAuthenticationFilter 继承的子类重写successfulAuthentication 、unsuccessfulAuthentication 后,发现登录成功会调用 successfulAuthentication 方法, 然而登录失败却不会调用 unsuccessfulAuthentication 方法, 而是直接抛出异常:

org.springframework.security.authentication.BadCredentialsException: Bad credentials
在这里插入图片描述

二、部分代码:

UsernamePasswordAuthenticationFilter 的继承子类:认证过滤器,如果用户名和密码正确,那么过滤器将创建一个JWT Token 并在 HTTP Response 的 header 中返回它,格式:token: “Bearer +具体token值”, 反之返回登录失败。

在这里插入图片描述在这里插入图片描述

二、问题分析及解决:

查看 Spring Security 账号密码验证这一块的源码:DaoAuthenticationProvider.java
在这里插入图片描述从上面源码可以看出当用户输入的密码与数据库查询出的密码不匹配时,JVM 会立即终止当前线程的运行,并向上一层(ProviderManager.java)抛出异常。
在这里插入图片描述异常最后会在 ProviderManager.java 类中被抛出:
在这里插入图片描述最终被我的 try {} catch (Exception e) {} 捕获处理,将异常打印到控制台,并且 return null
在这里插入图片描述

程序直接结束了,并没有调用 unsuccessfulAuthentication 方法。我打算跟着正确的账号密码断点走一遍看下最后会在哪里调用 successfulAuthentication 方法,得知在 AbstractAuthenticationProcessingFilter.java 抽象类中被调用,最终执行子类 JwtAuthenticationFilter 重写的 successfulAuthentication 方法。并且发现 unsuccessfulAuthentication 方法就在上面,是通过捕获 InternalAuthenticationServiceException | AuthenticationException 异常来调用执行。
在这里插入图片描述那我就在想,是不是我外层自定义的 try {} catch (Exception e) {} 把异常捕获并 return null,导致异常没有抛到 AbstractAuthenticationProcessingFilter.java 类中去? 我试着去掉 return null, 发现问题得以解决。其实这里并不需要加 try catch 处理异常,这里就是需要异常作为依据,不要去做任何操作!
在这里插入图片描述

m0rta1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
springsecurity UsernamePasswordAuthenticationFilter PasswordEncoder
six_teen的博客
11-17 1707
最近开始学习了springsecurity框架,为写后台页面做个权限管理什么的打基础。 springsecurity是基础springboot的,所以创建一个springboot工程引入依赖就可以很轻松的整合springsecurity了。(类似的权限管理框架还有shiro) 1. 创建一个普通的springboot项目(不用勾选任何东西),我这边使用的springboot版本是2.2.1.RELEASE 依赖如下: pom.xml <dependencies> <!--sprin
spring security权限控制
10-15
- **配置安全Web应用**:在`WebSecurityConfigurerAdapter`的类中,重写`configure(HttpSecurity http)`方法来定义安全规则。例如,设置登录页面、定义访问限制和异常处理。 - **自定义用户DetailsService**:...
springSecurity自定义过滤器不生效问题排查
毅香雪海的博客
08-01 2250
springSecurity自定义过滤器不生效问题
SpringSecurity框架的认证和授权过程
qq_45932382的博客
12-22 4193
一、认证过程 1、编写自定义的过滤器TokenLoginFilter,继承UsernamePasswordAuthenticationFilter重写 attemptAuthentication、successfulAuthentication、unsuccessfulAuthentication方法,attemptAuthentication方法获取前端提交的用户名和密码,封装成Authentication对象。 successfulAuthentication方法认证成功时调用,unsucces
Spring Security重写 UsernamePasswordAuthenticationFilter 支持登录校验 JSON 数据
最新发布
healer_ai的博客
05-24 1066
Spring Security 5.7 及更高版本中,`WebSecurityConfigurerAdapter` 已被弃用。取而代之的是配置类和 `SecurityFilterChain` Bean 的方式
spring security报Bad credentials错误
热门推荐
qq_37252930的博客
07-13 6万+
org.springframework.security.authentication.BadCredentialsException: Bad credentials 默认情况下:用户名或者密码错误都会报Bad credentials错误
Spring Security——login显示[Bad credentials]
无限迭代中......
03-07 1万+
问题描述 或者 org.springframework.security.authentication.BadCredentialsException: Bad credentials。 问题分析 一、username或者password错误 默认情况下,不管用户名不存在,还是密码错误,Spring Security都会报出Bad credentials异常信息,而不现实具体...
Spring Security 使用JSON格式参数登录的两种方式
BASK2311的博客
11-21 662
通过前面几篇文章的分析,我们已经知道了登录参数的提取在过滤器中提取的,因此我们只需要模仿过滤器重写一个过滤器,替代原有的过滤器即可。的源代码如下:接下来就是将我们自定义的 LoginFilter 过滤器代替默认的。当我们替换了之后,原本在 SecurityConfig#configure 方法中关于 form 表单的配置就会失效,那些失效的属性,都可以在配置 LoginFilter 实例的时候配置;还需要记得配置,否则启动时会报错。
学习SpringSecurity的日常生活(三)——前后台分离登录
dongbeihuxiao的博客
04-11 2127
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录前言一、pandas是什么?二、使用步骤1.引入库2.读入数据总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、pandas是什么? 示例:pandas 是基于NumPy 的一种工具,该工具是为了解决数据分析任务而创建的。 二、使用步骤 1.引入库 代.
一个比较好的spring security实例
09-27
- 配置类:Spring Security可以通过自定义配置类进行初始化,例如 `WebSecurityConfigurerAdapter` 的类,重写 `configure(HttpSecurity http)` 方法,定义安全规则。 - 登录配置:设置登录页面、登录处理器、...
spring-security demo
09-26
例如,你可以创建一个`WebSecurityConfigurerAdapter`的类,并重写方法来设置认证和授权规则。 5. **测试**:在Spring Security项目中,测试是非常重要的部分。Spring Security提供了MockMvcSecurityTestUtils...
SpringSecurity相关技术资料及范例
10-30
SpringSecurity中,配置主要通过`WebSecurityConfigurerAdapter`的类来完成。开发者可以重写`configure(HttpSecurity http)`方法来定制HTTP安全配置,例如设置登录页面、访问规则、CSRF保护等。`...
spring security初步搭建
09-26
Spring Security 是一个强大的且高度可定制的身份验证和访问控制框架,用于保护基于Java的应用程序。在本项目中,我们完成了Spring Security的初步搭建,通过注释丰富的源代码,旨在为开发者提供清晰的理解和实践...
Spring Security实现Restful认证功能与RememberMe功能
CQJames的博客
06-17 1055
原生spring security对Restful支持并不是那么友好,我们需要重写某些类,才能使认证功能与RememberMe功能对Restful支持,本文介绍如何重写这些类。
Spring Security BadCredentialsException: Bad credentials问题解决
Gblfy_Blog
09-12 2632
Bad credentials问题解决
SpringSecurity成功、失败和异常处理
oPeiJie1的博客
02-09 2886
SpringSecurity成功、失败和异常处理
spring security6重写登陆验证
weixin_44877713的博客
04-05 1100
spring security6重写登陆验证
springcloud整合oauth2-----异常配置总结
weixin_45592424的博客
09-10 1468
异常配置总结
springsecurity执行
09-13
Spring Security执行链是由一系列的过滤器(Filter)组成的。这些过滤器按照特定的顺序来执行,每个过滤器负责不同的安全任务。具体的执行链可以根据Spring Security的配置进行自定义,但是通常情况下,Spring Security默认的执行链包含以下几个过滤器: 1. ChannelProcessingFilter:负责处理安全通道的请求,例如强制使用HTTPS或HTTP。 2. SecurityContextPersistenceFilter:负责在请求之间持久化SecurityContext,以便在后续的请求中进行使用。 3. ConcurrentSessionFilter:用于处理并发会话控制,确保用户在同一时间只能拥有一个活动会话。 4. LogoutFilter:负责处理用户注销请求,并清除相关的认证信息。 5. X509AuthenticationFilter:用于处理基于X.509证书的认证请求。 6. UsernamePasswordAuthenticationFilter:负责处理基于用户名和密码的认证请求。 7. DefaultLoginPageGeneratingFilter:用于自动生成默认的登录页面。 8. DefaultLogoutPageGeneratingFilter:用于自动生成默认的注销页面。 9. BasicAuthenticationFilter:处理基于HTTP基本认证的请求。 10. RequestCacheAwareFilter:用于处理请求缓存,以便在用户成功认证后重新处理之前的请求。 11. SecurityContextHolderAwareRequestFilter:负责包装请求,以提供对SecurityContextHolder的访问。 12. RememberMeAuthenticationFilter:处理基于“记住我”的认证请求。 13. AnonymousAuthenticationFilter:用于处理匿名用户的请求。 14. SessionManagementFilter:处理会话管理相关的任务,例如会话并发控制和会话超时处理。 15. ExceptionTranslationFilter:负责捕获并处理Spring Security抛出的异常。 16. FilterSecurityInterceptor:最后一个过滤器,负责根据配置的访问规则来进行访问控制。 这些过滤器按照顺序依次执行,每个过滤器根据需要进行认证、授权或其他安全相关的操作。通过这样的执行链,Spring Security能够实现灵活的安全管理功能,同时也为开发者提供了扩展和定制的能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

m0rta1

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值