Spring Security教程(7)---- 解决UsernameNotFoundException无法被捕获的问题

最新推荐文章于 2024-07-17 23:44:26 发布
最新推荐文章于 2024-07-17 23:44:26 发布
阅读量2.8w 收藏 10
点赞数 20
分类专栏: SpringSecurity专题 SpringSecurity教程 文章标签: Spring Security教程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jaune161/article/details/18359321
版权

这个教程是我在往项目中一点一点添加 Spring Security的过程的一个笔记,也是我学习 Spring Security的一个过程。

在解决这个问题之前要先说一点authentication-provider默认加载的是DaoAuthenticationProvider类。

完成了上一章的内容后在测试的时候发现在UserDetailsService中抛出的UsernameNotFoundException无法被捕获。于是找到DaoAuthenticationProvider,源码看了好几遍没有看出端倪。然后直接查看最顶级的接口AuthenticationProvider。发现它只有一个方法如下

Authentication authenticate(Authentication authentication) throws AuthenticationException;
抛出AuthenticationException异常,而UsernameNotFoundException是AuthenticationException的子类,那问题应该就出在authenticate这个方法上了。

然后找到DaoAuthenticationProvider的父类AbstractUserDetailsAuthenticationProvider的authenticate方法,发现了这段代码。

            try {
                user = retrieveUser(username, (UsernamePasswordAuthenticationToken) authentication);
            } catch (UsernameNotFoundException notFound) {
                logger.debug("User '" + username + "' not found");

                if (hideUserNotFoundExceptions) {
                    throw new BadCredentialsException(messages.getMessage(
                            "AbstractUserDetailsAuthenticationProvider.badCredentials", "Bad credentials"));
                } else {
                    throw notFound;
                }
            }
它这里有个hideUserNotFoundExceptions属性,默认是true。这样的话即便我们抛出了UsernameNotFoundException它也会转为BadCredentialsException,所以我们需要将hideUserNotFoundExceptions属性的值设为false,而在上一章中的那种配置方法是没有办法为其属性赋值的所以我们要手动注入.authentication-provider,所以配置就变成了下面的内容 

	<sec:authentication-manager>
		<sec:authentication-provider ref="authenticationProvider" />
	</sec:authentication-manager>
	
	<bean id="authenticationProvider" class="org.springframework.security.authentication.dao.DaoAuthenticationProvider">
		<property name="hideUserNotFoundExceptions" value="false" />
		<property name="userDetailsService" ref="userDetailService" />
		<property name="userCache" ref="userCache" />
		<property name="messageSource" ref="messageSource" />
		<property name="passwordEncoder" ref="passwordEncode" />
		<property name="saltSource" ref="saltSource" />
	</bean>
	
	
	<!-- 配置密码加密类 -->
	<bean id="passwordEncode" class="org.springframework.security.authentication.encoding.Md5PasswordEncoder" />
	<bean id="saltSource" class="org.springframework.security.authentication.dao.ReflectionSaltSource">
		<property name="userPropertyToUse" value="username"/>
	</bean>

注意:如果在authentication-provider配置中用ref指定AuthenticationProvider则authentication-provider的子元素将都不可以用。

即下面的这种配置是错误的

	<sec:authentication-manager>
		<sec:authentication-provider ref="authenticationProvider" >
			<sec:password-encoder ref="passwordEncode">
				<sec:salt-source user-property="username"/>
			</sec:password-encoder>
		</sec:authentication-provider>
	</sec:authentication-manager>
所以我们的盐值加密就需要注入到AuthenticationProvider中了。

SaltSource是一个接口有两个实现类SystemWideSaltSource和ReflectionSaltSource。

SystemWideSaltSource :只能指定固定值

ReflectionSaltSource:可以指定UserDetails的属性,这里我们用的就是它

这样的话就可以保证在抛出UsernameNotFoundException时,前台能显示出来错误信息,如下所示。


在上一章中忘了介绍如何在前台显示登录是的异常信息,在这里补上。

UsernamePasswordAuthenticationFilter认证失败后,异常信息会写到Session中,key为SPRING_SECURITY_LAST_EXCEPTION

可以通过El表达式来获取到异常的信息。

${sessionScope.SPRING_SECURITY_LAST_EXCEPTION.message}


大扑棱蛾子
关注
专栏目录
spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security OAuth2.0认证授权 --- 基础篇
shuai_h的博客
06-19 1010
一、基本概念 1.1、什么是认证 进入移动互联网时代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户去访问系统资源时系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
Spring Boot + Spring Security解决UsernameNotFoundException无法捕获问题
qq_42182065的博客
04-27 2223
以下配置基于spring boot版本1.4.2.RELEASE,默认引入的spring security版本为4.1.3.RELEASE,页面模板采用thymeleaf。 在MyUserDetailsService实现了UserDetailsService接口以后,在重写的loadUserByUsername方法里验证用户名不存在时,我们会抛出一个UsernameNotFoundExceptio...
Spring Security之安全异常处理
最新发布
Evan_L的博客
07-17 1374
Spring Security中,特指对于安全异常的处理。我们知道Spring Security主要是基于过滤器来实现的,因此每个安全过滤器都可能发生安全异常,所以处理逻辑会被散落在各个过滤器中。Spring自然是不能忍受这种设计,于是就有了专门的安全异常处理。注:下文我们都用异常处理来代指安全异常处理。异常处理体系包括异常定义分两类 —— 认证异常、访问拒绝异常(鉴权异常)
springSecurity UsernameNotFoundException无法抛出
小马的博客
08-10 2734
目录项目环境问题描述百度的解决方案方案1 --------(配置了无效)修改WebSecurityConfig配置,添加AuthenticationProvider Bean配置AuthenticationProvider Bean方案2 --------(没看懂)解决方法 项目环境 SpringBoot 2.3.1 spring-boot-starter-security 2.3.0 问题描述 使用SpringBoot + SpringSecurity做权限拦截,实现UserDetailsService进
spring security oauth2中UsernameNotFoundException无法在认证失败后被捕获问题
咘噜biu的博客
11-24 3412
1.问题描述: 在认证失败后UsernameNotFoundException异常会被默认转换成BadCredentialsException异常,导致不能捕获UsernameNotFoundException, 一般来说UsernameNotFoundException是用户名错误导致的登录失败,BadCredentialsException是用户名或者密码错误导致的登录失败。如果我们能捕获UsernameNotFoundException就能很好的区分登录失败是哪种具体的原因,以便在某些时候做一些
一篇文章带你使用-Spring-Security-完成前后端分离,JSON-进行交互
m0_65441360的博客
12-23 364
客户端请求不依赖服务端的信息,多次请求不需要必须访问到同一台服务器 服务端的集群和状态对客户端透明 服务端可以任意的迁移和伸缩(可以方便的进行集群化部署) 减小服务端存储压力 3. 如何实现无状态 无状态登录的流程: 首先客户端发送账户名/密码到服务端进行认证 认证通过后,服务端将用户信息加密并且编码成一个 token,返回给客户端 以后客户端每次发送请求,都需要携带认证的 token 服务端对客户端发送来的 token 进行解密,判断是否有效,并且获取用户登录信息 4. 各自优缺点 (1)使用 s.
Java零基础——SpringSecurity
m0_47946173的博客
12-04 2067
Spring Security是一个能够为基于Spring的企业应用系统提供声明式(注解)的安全访问控制解决方案的安全框架。它提供了一组可以在Spring应用上下文中配置的Bean,充分利用了Spring IoC,DI(控制反转Inversion of Control ,DI:Dependency Injection 依赖注入)和AOP(面向切面编程)功能,为应用系统提供声明式的安全访问控制功能,减少了为企业系统安全控制编写大量重复代码的工作。
Spring-Security无法正常捕捉到UsernameNotFoundException异常
weixin_46246967的博客
05-02 192
Spring-Security无法正常捕捉到UsernameNotFoundException异常
springSecurity 中不能抛出异常UserNameNotFoundException 解析
weixin_34365635的博客
01-19 1668
通过查看源码可得知: 1. 前言 抽象类中AbstractUserDetailsAuthenticationProvider 接口抛出异常AuthenticationException 下面源码注释这么描述 * * @throws AuthenticationException if the credentials c...
SpringSecurity无法获取登录参数
pengshisong的博客
10-08 6739
使用spring4.3.*.RELEASE版本+springsecurity4.*.RELEASE版本+ apache-tomcat-9.*版本 验证登录时,使用Post请求,后台无法获取请求体的参数。 前端发起请求,如下图: Springsecurity配置,如下:   登录时,会出现无法获取到请求体的参数username和password的值。 如下图为Springsecu...
jdk11,springboot2.6.7环境下的UsernameNotFoundException和i18n配置
u012362485的博客
05-11 1070
一、事情是这样的 有一天,看到这个代码的时候: @Service public class UserDetailsServiceImpl implements UserDetailsService { private final UserService userService; @Autowired public UserDetailsServiceImpl(UserService userService) { this.userService = userS
Spring Sercurity获取不到当前用户信息值为Null
qq_39054053的博客
02-10 4020
今天使用Spring security获取当前用户信息时发现拿不到 Principal值为空并且报异常 前面我通过Spring Security的全局上下文设置 UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken= new UsernamePasswordAuthenticationToken(userDetails,null,userDetails.getAuthorities()); //加
SpringBoot 集成 Spring Security(9)——解决 UserNotFoundException 不抛出问题
Jitwxs
07-09 9936
一、前言 《SpringBoot 集成 Spring Security》系列文章,原本只是我自己学习后写的笔记,没想到受到大家的欢迎,能够对大家带来帮助,让我感到十分高兴。但说起来我也只是初学者,这一系列文章中可能也存在错误,本文是为了解决 UserNotFoundException 这个异常无法抛出而写出。 这个问题大致是这样的,我们知道 Spring Security 的验证处理是由某个 Pr...
spring security 中loadUserByUsername参数name为空
Qiyandays的博客
11-14 6526
今天学习spring security ,遇见一些问题,记录一下 loadUserByUsername参数name为空: 如果没有在config里自定义.usernameParameter,那么可能是username这个名称不对。 security只能接收form提交,由于我用的axios,所以需要模拟form提交 headers: { 'Content-Ty...
springsecurity前后端分离,无法获取到请求参数
Meditation_Crazy
01-19 1267
前言 security默认表单登录,请求头:application/x-www-form-urlencoded; charset=UTF-8 这种方式只是登录,一些简单的请求可以使用。 但是参数复杂的时候,比如提交的参数里面有集合的时候,提交到后台的就有问题。 处理方法 待解决 ...
Spring Boot + Spring Security Oauth2 捕获UsernameNotFoundException 并处理
Return_Code的专栏
05-21 1590
在网上找了不少关于UsernameNotFoundException捕获的帖子,捕获成功后每次用户名错误会在控制台打印大段的异常信息,用统一异常处理也无法处理。 配置捕获UsernameNotFoundException,在 WebSecurityConfigurer 配置provider.setHideUserNotFoundExceptions(false) @Bean public DaoAuthenticationProvider authenticationProvid..
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

大扑棱蛾子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值