SpringSecurity成功、失败和异常处理

已于 2023-02-09 10:50:48 修改
阅读量2.7k 收藏 3
点赞数
分类专栏: Security 文章标签: 前端 java json
于 2023-02-09 10:36:05 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oPeiJie1/article/details/128946889
版权

前面文章分别分析了SprignSecurity的执行流程和源码,也分析了一遍我要实现分布式系统使用Security认证的思路和问题。这篇文章主要是说明security认证失败后,要如何处理。
之前说过实现Security安全认证其实方式很多,大家从网络上能看到的例子也很多,实现的方法也各不相同。有重写UsernamePasswordAuthenticationFilter过滤器的,也有不重写的,也有自定义controller登录接口的。但其实万变不离其宗,你终归要用到Security提供的各种过滤器和类。

1.成功和失败处理

1.1.源码分析

我们按照重写UsernamePasswordAuthenticationFilter过滤器的思路看源码就可以把几种方式都看清。
如果你重写,那有一个核心工作你肯定会做,那就是重写attemptAuthentication,获取到前端提交的用户名密码后,封装成UsernamePasswordAuthenticationToken对象,调用AuthenticationManager的‘authenticate’方法。逻辑大概就是这个样子吧。
在这里插入图片描述

代码上半部分是做了一下表单提交和json提交数据的兼容,确保两种方式都可以拿到前端请求来的用户名和密码。
那谁调用的这个方法呢?

那谁调用这个attemptAuthentication呢?
在这里插入图片描述
点进去看只有一个地方AbstractAuthenticationProcessingFilter,看他的源码一眼就能明白。源码有省略,为了看得直白点。

try {
			authResult = attemptAuthentication(request, response);
		}
		catch (InternalAuthenticationServiceException failed) {
			unsuccessfulAuthentication(request, response, failed);
			return;
		}
		catch (AuthenticationException failed) {
			// Authentication failed
			unsuccessfulAuthentication(request, response, failed);
			return;
		}
		// Authentication success
		successfulAuthentication(request, response, chain, authResult);

unsuccessfulAuthenticationsuccessfulAuthentication是不是很显眼,看名字就能看懂,处理失败的和处理成功的。

成功的处理

我们看这个类里面自己的处理逻辑:

  1. 向上下文中保存了用户信息;
  2. 推送了认证成功的事件;
  3. 最后调用了seccessHandler处理。

在这里插入图片描述

失败的处理

也看这个类里里面自己的处理逻辑:

  1. 清除上下文信息;
  2. 最后调用了failureHandler处理。

在这里插入图片描述
所以现在大家知道有哪些方式了吧?不卖关子直接说:

  1. 在你重写的过滤器里面,重写successfulAuthenticationunsuccessfulAuthentication两个方法;
    在这里插入图片描述

  2. 定义一个处理器类实现AuthenticationSuccessHandler,重写onAuthenticationSuccess方法;定义一个处理器类实现AuthenticationFailureHandler,重写onAuthenticationFailure方法,分别处理认证成功和失败的逻辑。
    在这里插入图片描述

1.2.区别

第一种方法,只有在你重写过滤器的时候才能用,因为这两个方法属于这个过滤器,不重写过滤器咋玩嘛。
第二种方法,重写或者没有重写过滤器都可以用,他们是Security的配置类中的属性,你只要在Security配置里面配置了就生效

2. 第三种失败和异常处理

除此之外还有一个方法可以处理失败和异常,那就是自定义实现AuthenticationEntryPoint类,重写commence.方法
AuthenticationEntryPoint类里面我们可以看到调用这个方法的有一个非常熟悉的handler类,名字也是failure,进去看一下。
在这里插入图片描述
这个类实现了AuthenticationFailureHandler,而我自定义的失败处理器EdenLoginFailureHandler,也是实现的这个类。
在这里插入图片描述
失败的处理方法onAuthenticationFailure里面调用了AuthenticationEntryPointcommence方法。
在这里插入图片描述
由此我们得出结论,如果我不使用前两种方式去处理失败的异常,那么自定义实现AuthenticationEntryPoint类,重写commence.方法也是完全可以实现的。而且方法的入参和前面两种都一样,HttpServletRequest , HttpServletResponse , AuthenticationException 都有,我们利用response向前端返回响应就可以了。
大概示例就是这样吧,大家根据自己情况,自由发挥就行。

    @Override
    public void commence(HttpServletRequest httpServletRequest,
                         HttpServletResponse httpServletResponse,
                         AuthenticationException failed) throws IOException, ServletException {
        httpServletResponse.setContentType("application/json;charset=utf-8");
        PrintWriter writer = httpServletResponse.getWriter();
        R r = R.failed();
        if (failed instanceof InsufficientAuthenticationException) {
            r.setMsg("请先登录~~");
        } else if (failed instanceof BadCredentialsException) {
            r.setMsg("用户名或密码错误");
        } else {
            r.setMsg("用户认证失败,请检查后重试");
        }
        writer.write(new ObjectMapper().writeValueAsString(r));
        writer.flush();
        writer.close();
    }
oPeiJie1
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
自定义Spring Security的身份验证失败处理方法
08-25
在本篇文章里小编给大家整理了一篇关于自定义Spring Security的身份验证失败的处理方法,有需要的朋友们学习下。
SpringSecurity-1-AuthenticationFailureHandler接口(登录失败之后的处理逻辑)
文天大人
09-14 9556
@EnableWebSecurity public class A extends WebSecurityConfigrerAdapter{ @Override protected void configure(HttpSecurity http) throws Exception{ http.anthorizeRequests().anyRequest().authenticat...
Spring Security——08,自定义失败处理
最新发布
weixin_42858422的博客
04-07 443
一、自定义实现类1.1 实现AccessDeniedHandler1.2 实现AuthenticationEntryPoint二、配置SpringSecurity三、测试3.1 认证失败3.2 权限不足一键三连有没有捏~~我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。要实现这个功能我们需要知道SpringSecurity异常处理机制。
SpringSecurity系列 之 AuthenticationEntryPoint接口及其实现类的用法
热门推荐
向心行者
09-24 1万+
1、AuthenticationEntryPoint接口 1.1、简介   被ExceptionTranslationFilter用来作为认证方案的入口,即当用户请求处理过程中遇见认证异常时,被异常处理器(ExceptionTranslationFilter)用来开启特定的认证流程。接口定义如下: public interface AuthenticationEntryPoint { void commence(HttpServletRequest request, HttpServletRespons
史上最简单的Spring Security教程(十):AuthenticationFailureHandler高级用法
银河架构师的博客
07-07 1万+
在前面,我们简述了如何自定义用户登录失败页面。但是,在工作中,所遇到的业务场景压根不会这么简单。 比如要求记录登录失败时的IP、时间、SessionId;发送登录失败提醒到微信、邮箱、短信,提醒用户当前登录失败事件;同时记录到日志中,或者发送到远端日志监控平台,分析是否是攻击行为等等。 而这一切,Spring Security框架非常贴心的提供了AuthenticationFailureHandler接口,当然了,框架同时也提供了一些简单的实现,最重要的,用户可自行扩展,以满足不同的业务场景...
3.Spring Security 登录成功失败处理
smartsteps的博客
09-07 1060
失败处理流程 继承AuthenticationFailureHandler 接口 @Component("MyAuthenticationFailureHandler") public class MyAuthenticationFailureHandler implements AuthenticationFailureHandler { protected Logger logge...
SpringSecurity异常处理
拒绝熬夜啊的博客
11-30 1474
SpringSecurity——异常处理 一、常见异常 我们先来列举下一些 Spring Security 中常见的异常: UsernameNotFoundException(用户不存在) DisabledException(用户已被禁用) BadCredentialsException(坏的凭据) LockedException(账户锁定) AccountExpiredException (账户过期) CredentialsExpiredException(证书过期) 二、处理异常 (1) 指定错误U
Spring Security关于异常的处理
weixin_43816557的博客
08-11 2109
前面三期已经介绍完了Spring Security的详细开发流程,这期主要解决Spring Security异常的处理。
SpringSecurity加密密码遇到的错误
qq_67736058的博客
06-12 572
否则会出现java.lang.IllegalArgumentException: There is no PasswordEncoder mapped for the id "null"的错误。同样,在配置完config类之后,需要在存储在数据库中的密码前加上{编码方式}才能够被识别。springboot需要在明文密码前加上{noop}来表示密码是明文。
4.SpringSecurity自定义登录成功处理、显示登录失败信息、自定义登录失败处理、注销登录配置、前后端分离注销登录配置
一个双子座的Java攻城狮
12-07 2316
Spring security自定义登录成功处理、失败处理
【已解决】SpringBoot整合security账号密码正确却提示错误
Junnix的博客
03-14 1万+
【已解决】SpringBoot整合security账号密码对提示错误 一:引言 SpringSecurity的密码校验并不是直接使用原文进行比较,而是使用加密算法将密码进行加密(更准确地说应该进行Hash处理,此过程是不可逆的,无法解密),最后将用户提供的密码以同样的方式加密后与密文进行比较。对于我们来说,用户提供的密码属于隐私信息,直接明文存储并不好,而且如果数据库内容被窃取,那么所有用户的密码将全部泄露,这是我们不希望看到的结果,我们需要一种既能隐藏用户密码也能完成认证的机制,而Hash处理就是一种很好
SpringSecurity自定义成功失败处理器的示例代码
09-07
主要介绍了SpringSecurity自定义成功失败处理器,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友可以参考下
Spring Security实现多次登录失败后账户锁定功能
08-25
当用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。今天小编给大家分享Spring Security实现多次登录失败后账户锁定功能,感兴趣的朋友一起看看吧
Spring Security跳转页面失败问题解决
08-25
主要介绍了Spring Security跳转页面失败问题解决,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
详解SpringCloud Finchley Gateway 统一异常处理
08-26
主要介绍了详解SpringCloud Finchley Gateway 统一异常处理,非常具有实用价值,需要的朋友可以参考下
解决spring cloud 中使用spring security全局异常处理器失效
爪蛙毁一生的博客
07-22 697
写auth认证模块实现忘记密码与注册功能时,用异常抛出,全局异常处理器无法捕获。\
Spring Security--自定义成功&失败处理器
我和井盖都笑了博客
04-04 588
一 自定义登录成功处理器       1 源码分析       使用 successForwardUrl()时表示成功后转发请求到地址。内部是 通过 successHandler()方法进行控制成功后交给哪个类进行处理.    &nbsp...
Spring Security自定义登录失败处理
Leon_Jinhai_Sun的博客
05-05 1708
和自定义登录成功处理一样,Spring Security 同样为前后端分离开发提供了登录失败的处理,这个类就是 AuthenticationFailureHandler,源码为: public interface AuthenticationFailureHandler { /** * Called when an authentication attempt fails. * @param request the request during which the authenticatio
springsecurity登陆失败_Spring Security
weixin_39753857的博客
11-26 2089
4自定义登录失败处理器(续上一篇文章)4.1源码分析failureForwardUrl()内部调用的是failureHandler()方法ForwardAuthenticationFailureHandler中也是一个请求转发,并在request作用域中设置SPRING_SECURITY_LAST_EXCEPTION的key,内容为异常对象。4.2代码实现4.2.1新建控制器新建com.bjsxt...
springsecurity登录怎么抛自定义异常
04-02
Spring Security中,可以通过自定义异常来处理登录过程中的异常情况。以下是实现自定义异常的步骤: 1. 创建一个自定义的异常类,继承自`AuthenticationException`或其子类。例如,可以创建一个名为`CustomAuthenticationException`的异常类。 ```java public class CustomAuthenticationException extends AuthenticationException { public CustomAuthenticationException(String msg) { super(msg); } } ``` 2. 创建一个自定义的认证提供者(AuthenticationProvider)或认证过滤器(AuthenticationFilter)。 - 如果你选择创建认证提供者,需要实现`AuthenticationProvider`接口,并在`authenticate()`方法中抛出自定义异常。 ```java public class CustomAuthenticationProvider implements AuthenticationProvider { @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { // 自定义认证逻辑 if (认证失败) { throw new CustomAuthenticationException("自定义异常信息"); } // 认证成功则返回一个认证对象 return new UsernamePasswordAuthenticationToken(authentication.getPrincipal(), authentication.getCredentials(), authentication.getAuthorities()); } @Override public boolean supports(Class<?> authentication) { return authentication.equals(UsernamePasswordAuthenticationToken.class); } } ``` - 如果你选择创建认证过滤器,需要继承`AbstractAuthenticationProcessingFilter`类,并在`attemptAuthentication()`方法中抛出自定义异常。 ```java public class CustomAuthenticationFilter extends AbstractAuthenticationProcessingFilter { public CustomAuthenticationFilter() { super(new AntPathRequestMatcher("/login", "POST")); } @Override public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException, IOException, ServletException { // 自定义认证逻辑 if (认证失败) { throw new CustomAuthenticationException("自定义异常信息"); } // 认证成功则返回一个认证对象 return getAuthenticationManager().authenticate(new UsernamePasswordAuthenticationToken(username, password)); } } ``` 3. 在Spring Security配置类中,将自定义的认证提供者或认证过滤器添加到认证流程中。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomAuthenticationProvider customAuthenticationProvider; @Override protected void configure(AuthenticationManagerBuilder auth) throws Exception { auth.authenticationProvider(customAuthenticationProvider); } } ``` 这样,当登录过程中发生自定义异常时,Spring Security会捕获并处理该异常,你可以在登录失败的处理逻辑中进行相应的操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值