SpringBoot集成SpringSecurity - 异常处理(三)

最新推荐文章于 2023-05-29 16:05:58 发布
最新推荐文章于 2023-05-29 16:05:58 发布
阅读量1.5k 收藏 5
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pyycsd/article/details/102803225
版权

源码地址:https://github.com/springsecuritydemo/microservice-auth-center03

当我们登录失败的时候,SpringSecurity 帮我们跳转到了 /login?error URL,奇怪的是不管是控制台还是网页上都没有打印错误信息。

11464886-8a702143d6654227.png

这是因为首先 /login?error 是SpringSecurity 默认的失败 URL,其次如果你不自己处理这个异常,这个异常时不会被处理的。

一、常见异常

我们先来列举下一些 SpringSecurity 中常见的异常:

  • UsernameNotFoundException (用户不存在)
  • DisableException(用户已被禁用)
  • BadCredentialsException(坏的凭据)
  • LockedException(账号锁定)
  • CerdentialsExpiredException(证书过期)
  • ...
    以上列出的这些异常都是 AuthenticationException 的子类,然后我们看 SpringSecurity 是如何处理 AuthenticationException 异常的。

二、源码分析

SpringSecurity的异常处理是在过滤器中进行的,我们在 AbastrctAuthenticationProcessingFilter 中找到了对 Authentication 的处理:

  • 在 doFilter() 中,捕获 AuthenticationException 异常,并交给 unsuccessfulAuthentication() 处理。


    11464886-3d79a9c35d16a904.png

  • unsuccessfulAuthentication() 中,转交给了 SimpleUrlAuthenticationFailureHandler 类的 onAuthencicationFailure() 处理。

    11464886-5bee808f9e6b76e3.png

  • 在 onAuthenticationFailure() 中,首先判断有没有设置 defaultFailureUrl

    a. 如果没有设置,直接返回 401 错误,即 HttpStatus.UNAUTHORIZED 的值。
    b. 如果设置了,首先执行 saveException() 方法。然后判断 forwardToDestination 是否为服务器调整,默认使用重定向即客户端跳转。

11464886-db57d1e842f65ea2.png
  • 在 saveException() 方法中,首先判断 forwardToDestination,如果使用服务器跳转则写入Request,客户端跳转则写入 Session。写入名为 WebAttributes.AUTHENTICATION_EXCEPTION 常量对应值SPRING_SECURITY_LAST_EXCEPTION,值为 AuthenticationException 对象。
    11464886-97e8cb95c2b433fc.png

至此 SpringSecurity 完成了异常处理,总结下流程:

–> AbstractAuthenticationProcessingFilter.doFilter()
–> AbstractAuthenticationProcessingFilter.unsuccessfulAuthentication()
–> SimpleUrlAuthenticationFailureHandler.onAuthenticationFailure()
–> SimpleUrlAuthenticationFailureHandler.saveException()

三、处理异常

上面通过源码看着挺复杂,但真正处理起来SpringSecurity为我们提供了方便的方式,我们只需要指定错误的url,然后在该方法中对异常进行处理即可。

  • 指定错误url ,在WebSecurityConfig 中添加 .failureUrl("/login/error")
 @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                // 如果有允许匿名的url,填在下面
//                .antMatchers().permitAll()
                .anyRequest().authenticated()
                .and()
                // 设置登陆页
                .formLogin().loginPage("/login")
                // 设置登陆成功url
                .defaultSuccessUrl("/").permitAll()
                // 设置登录失败url
                .failureUrl("/login/error")
                // 自定义登陆用户名和密码参数,默认为username和password
//                .usernameParameter("username")
//                .passwordParameter("password")
                .and()
                .logout().permitAll()
                // 自动登录
                .and().rememberMe()
                .tokenRepository(persistentTokenRepository())
                // 有效时间,单位:s
                .tokenValiditySeconds(60)
                .userDetailsService(userDetailsService);

        // 关闭CSRF跨域
        http.csrf().disable();
    }
  • 在 Controller 中编写 loginError方法完成异常处理操作:
 @GetMapping("/login/error")
    @ResponseBody
    public Result loginError(HttpServletRequest request) {
        AuthenticationException authenticationException = (AuthenticationException) request.getSession().getAttribute(WebAttributes.AUTHENTICATION_EXCEPTION);
        log.info("authenticationException={}", authenticationException);
        Result result = new Result();
        result.setCode(201);

        if (authenticationException instanceof UsernameNotFoundException || authenticationException instanceof BadCredentialsException) {
            result.setMsg("用户名或密码错误");
        } else if (authenticationException instanceof DisabledException) {
            result.setMsg("用户已被禁用");
        } else if (authenticationException instanceof LockedException) {
            result.setMsg("账户被锁定");
        } else if (authenticationException instanceof AccountExpiredException) {
            result.setMsg("账户过期");
        } else if (authenticationException instanceof CredentialsExpiredException) {
            result.setMsg("证书过期");
        } else {
            result.setMsg("登录失败");
        }
        return result;
    }

四、运行项目

首先我们修改 CustomUserDetailsService loadUserByUsername() 方法的返回值:

11464886-67f2c037c3afebcb.png

  1. 输入错误的用户名或密码:


    11464886-cf4fcc8d2733ef51.png

  2. 修改返回值:enable 为 false


    11464886-db8c5a23787f7f58.png

    11464886-1b413975a3db5a9f.png

  3. 修改返回值:accountNonExpired 为 false


    11464886-e9eeedaa1c456014.png

    11464886-98bb1b606fb5fd62.png

  4. 修改返回值:credentialsNonExpired 为 false


    11464886-b7d500ecea672441.png

    11464886-012fb669fa01ae6f.png

  5. 修改返回值:accountNonLocked 为 false


    11464886-720b9a490c90b419.png

    11464886-ef515a5c2c75a152.png

五、存在问题

细心的同学再完成上面功能是会发现,当我们输入的用户名不存在时,不会抛出UserNameNotFoundException,而是抛出 BadCredentialsException这个异常,如果有需要区分 用户名不存在和密码错误的,可参考https://blog.csdn.net/wzl19870309/article/details/70314085

Lambda程序员
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SpringSecurity的异常提示处理“error“:“forbidden“,“message“:“Access Denied“
Linch的博客
05-08 1万+
首先,框架是用的SpringBoot+SpringSecurity+SpringSession 这个错误肯定大家都遇到过: 没有登陆的时候,swagger访问接口会提示这个;如果登陆了,无权限也是返回403,message=forbidden 这个返回对前端来说很不友好; 我参考了很多文章都对我不管用: 1,https://blog.csdn.net/yuanlaijike/art...
一文搞定 Spring Security 异常处理机制!
最新发布
2401_84407867的博客
04-20 743
我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)《互联网大厂面试真题解析、进阶开发核心学习笔记、全套讲解视频、实战项目源码讲义》点击传送门即可获取!” />我还为大家准备了一套体系化的架构师学习资料包以及BAT面试资料,供大家参考及学习已经将知识体系整理好(源码,笔记,PPT,学习视频)[外链图片转存中…(img-yw24h40Z-1713563349496)]
SpringSecurity异常处理
拒绝熬夜啊的博客
11-30 1484
SpringSecurity——异常处理 一、常见异常 我们先来列举下一些 Spring Security 中常见的异常: UsernameNotFoundException(用户不存在) DisabledException(用户已被禁用) BadCredentialsException(坏的凭据) LockedException(账户锁定) AccountExpiredException (账户过期) CredentialsExpiredException(证书过期) 二、处理异常 (1) 指定错误U
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
SpringSecurity异常处理源码解析
HHoao的博客
05-03 736
SpringSecurity异常处理源码解析 异常处理主要是由ExceptionTranslationFilter完成的,而ExceptionTranslationFilter是由ExceptionHandlingConfigurer配置的,所以我们从ExceptionHandlingConfigurer开始解析 我们首先看ExceptionHandlingConfigurer的configure(Httpsecurity security)方法: @Override public void configu
SpringSecurity登录失败返回错误信息
qq_44993268的博客
05-20 4329
现在有这么一个需求,客户端登录验证失败之后显示两种错误信息--"用户名不存在"或者"账号密码错误",但是spring Security好像并没有返回错误信息的类,所以需要我们自己从request域中去获取错误信息,首先我们要设置验证失败后的返回地址。 http.formLogin() //自定义自己编写的登陆页面 .loginPage("/login.html") //登陆页面设置 .loginProcessingUrl("/us..
解决SpringSecurity登入后跳转报错
crazy1013的博客
03-08 1103
Controller层 完成登入后出现 先把security的依赖给注释掉,重新启动项目 然后去访问Controller层的接口,访问成功 再把security的依赖打开,重新启动项目 再次去访问页面,就可以跳转了 出现这种原因,可能是没有加载缓存 ...
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证【完整源码+数据库】
02-16
SpringBoot集成Spring Security实现异常处理+自定义表单登录使用Filter验证
spring-parent:自定义Springboot starter、自动化配置、条件配置、AOP、模式配置、幂等性组件、限流组件、返回值包装组件、redis组件、异常处理组件、基础工具包、Spring security、OAuth2、集成Redis、封装token端点、Spring学习笔记、RabbitMQ、Docker、Netty
04-16
项目打包(同时处理项目所依赖的包)mvn clean install -pl emily-spring-boot-starter -am或./mvnw clean install -pl emily-spring-boot-starter -am参数全程说明-pl--projects选项后可跟随{groupId}:{artifactId}...
javasmack源码-springboot-master:springboot-master
06-04
拦截器/AppToken/自定义权限/SpringSecurity/SSO单点登录 后台管理功能:权限管理、模块管理、地址、文件、工具、日志、UI等 线程池、日志服务、分布式日志ELK、异常处理、多数据源、分布式锁、分布式Sessi
spring-boot示例项目
03-25
在基于Spring Boot、Spring Cloud 分布微服务开发过程中,根据实际项目环境,需要选择、集成符合项目需求的各种组件和积累各种解决方案。基于这样的背景下,我开源了本示例项目,方便大家快速上手Spring Boot、...
jwt的环境搭建,以及springboot集成开发
03-08
此外,为了实现完整的JWT认证流程,还需要配置Spring Security,包括设置JWT的解析路径、注册自定义的认证和授权提供者,以及处理未授权和未认证的异常。在Spring Boot应用中,这通常涉及到配置类、安全配置和用户...
springboot项目中运行spring security 报 Error creating bean with name 'springSecurityFilterChain'。。。。错误
热门推荐
qq_37736010的博客
03-16 3万+
springboot版本:1.5.9 spring security版本:1.5.9 问题描述: 启动springboot项目,直接编译报错,内容: org.springframework.beans.factory.BeanCreationException: Error creating bean with name 'springSecurityFilterChain' define...
Spring Boot+Spring Security+Thymeleaf
我的博客
11-06 916
自定义登录页面,包含用户名、密码等必填项,通过form表单post提交方式进行登录合法性验证,如果登录失败,将给出相应的错误提示信息,显示在页面上,改善用户体验。 在Spring Security框架中,认证失败会将最后一次的异常信息保存至session中,对应的attribute key为WebAttributes.AUTHENTICATION_EXCEPTION常量,前台thymeleaf模
Spring security 配置的AccessDeniedHandler无效,抛出AccessDeniedException 不允许访问
单筱风的博客
12-17 2万+
1.Spring Security 中的异常处理 我们在 Spring Security 实战干货系列文章中的 自定义配置类入口 WebSecurityConfigurerAdapter 一文中提到 HttpSecurity 提供的 exceptionHandling() 方法用来提供异常处理。该方法构造出 ExceptionHandlingConfigurer 异常处理配置类。该配置类提供了两个实用接口: AuthenticationEntryPoint 该类用来统一处理 AuthenticationEx
同一个springboot项目中,统一异常处理有多个@RestControllerAdvice 时的拦截顺序
sensen的博客
05-29 425
https://www.cnblogs.com/chongcheng/p/13058345.html
SpringSecurity权限控制之异常处理方式
Leon_Jinhai_Sun的博客
11-14 228
方式:编写异常处理器 拦截器和过滤器的区别 拦截器:可以在Spring中进行使用 过滤器:只能在web.xml中进行配置,也就是只能在web工程中使用 或者我们可以实现一个Spring给我们提供好的接口 @Component public class HandlerControllerException implements HandlerExceptionResolver { /** * @param httpServletRequest * @param http
springboot 全局异常捕获不起作用解决与排查方案
qq_36913208的博客
01-17 1万+
如题: 使用的是idea,我也不知道为什么,我建立完 GlobalExceptionHandler类之后就被idea给坑了 GlobalExceptionHandler类的小图标显示有一把叉叉,很不起眼的那种,后来一查才知道,原来是被编译器给排除了,气死我了,我今天一个晚上全搞这个问题去了,记录一下 解决方案: File > Setting > Build > Compile...
【Java】SpringBoot 全局异常捕获不到Filter中的异常的解决办法
weixin_44798538的博客
08-15 3125
SpringBoot 全局异常捕获不到Filter中的异常的解决办法,所以可以再写个过滤器专门用来分发到异常处理controller中,再有该controller来抛出异常,最后再通过SpringBoot 全局异常捕获。:当我想用 一个过滤器(filter)来对所有请求进行jwt校验,当校验不通过时我想抛出异常,然后再通过@ExceptionHandler来全局捕获该异常,发现SpringBoot 全局异常捕获不了filter中抛出的异常。.........
springboot整合springsecurity数据库
03-28
要将Spring Security与数据库集成,首先需要添加以下依赖项: ``` <dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-data</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-test</artifactId> <scope>test</scope> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-web</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-config</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-core</artifactId> </dependency> ``` 然后,需要创建一个UserDetails实现类,并实现UserDetailsService接口。这个类将从数据库中获取用户详细信息,并将其返回给Spring Security。 接下来,需要在SecurityConfig类中配置AuthenticationManagerBuilder,以使用上面实现的UserDetailsService来获取用户详细信息。例如,以下代码片段展示了如何将用户详细信息从数据库中获取并进行身份验证: ``` @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private UserDetailsService userDetailsService; @Autowired public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception { auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()); } @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/admin/**").hasRole("ADMIN") .antMatchers("/user/**").hasAnyRole("ADMIN", "USER") .antMatchers("/**").permitAll() .and().formLogin().loginPage("/login").permitAll() .and().logout().logoutSuccessUrl("/login?logout").permitAll() .and().exceptionHandling().accessDeniedPage("/403"); } } ``` 在这里,我们使用了BCryptPasswordEncoder作为密码编码器,并配置了一个HTTP安全性对象,以指定需要哪些角色才能访问受保护的URL。我们还指定了登录页面和注销成功后跳转的URL,以及拒绝访问页面的URL。 最后,我们需要在数据库中存储用户详细信息。这可以通过使用JdbcTemplate和SQL查询来实现。以下是一个示例查询,用于从数据库中检索用户详细信息: ``` @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { String sql = "SELECT username, password, enabled FROM users WHERE username = ?"; List<User> users = jdbcTemplate.query(sql, new String[]{username}, (rs, rowNum) -> new User( rs.getString("username"), rs.getString("password"), rs.getBoolean("enabled"), true, true, true, AuthorityUtils.createAuthorityList("ROLE_USER"))); if (users.isEmpty()) { throw new UsernameNotFoundException("User " + username + " not found."); } User user = users.get(0); return new org.springframework.security.core.userdetails.User( user.getUsername(), user.getPassword(), user.isEnabled(), true, true, true, user.getAuthorities()); } ``` 在这里,我们查询名为“users”的数据库表,并使用给定的用户名查找用户。如果找到用户,则创建一个新的UserDetails对象,并将其返回给Spring Security。否则,我们将抛出一个UsernameNotFoundException异常。 总的来说,将Spring Security和数据库集成非常简单。只需要实现UserDetailsService接口,配置AuthenticationManagerBuilder和SecurityConfig,并在数据库中存储用户详细信息即可。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值