SpringSecurity表单登录过程中的异常

已于 2022-12-28 10:05:50 修改
阅读量262 收藏
点赞数
文章标签: spring
于 2022-12-27 00:06:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44773129/article/details/128450608
版权

DaoAuthenticationProvider#retrieveUser

protected final UserDetails retrieveUser(String username,
		UsernamePasswordAuthenticationToken authentication)
		throws AuthenticationException {
	prepareTimingAttackProtection();
	try {
		UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
		if (loadedUser == null) {
			throw new InternalAuthenticationServiceException(
					"UserDetailsService returned null, which is an interface contract violation");
		}
		return loadedUser;
	}
	catch (UsernameNotFoundException ex) {
		mitigateAgainstTimingAttack(authentication);
		throw ex;
	}
	catch (InternalAuthenticationServiceException ex) {
		throw ex;
	}
	catch (Exception ex) {
		throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
	}
}

可以看到,这里在自定义的UserDetailsService#loadUserByUsername中抛出的任何异常都会被catch捕获到,最终抛出的异常只能是UsernameNotFoundExceptionInternalAuthenticationServiceException,向调用者AbstractUserDetailsAuthenticationProvider抛出。

AbstractUserDetailsAuthenticationProvider#authenticate

public Authentication authenticate(Authentication authentication)
		throws AuthenticationException {
	Assert.isInstanceOf(UsernamePasswordAuthenticationToken.class, authentication,
			() -> messages.getMessage(
					"AbstractUserDetailsAuthenticationProvider.onlySupports",
					"Only UsernamePasswordAuthenticationToken is supported"));

	// Determine username
	String username = (authentication.getPrincipal() == null) ? "NONE_PROVIDED"
			: authentication.getName();

	boolean cacheWasUsed = true;
	UserDetails user = this.userCache.getUserFromCache(username);

	if (user == null) {
		cacheWasUsed = false;

		try {
			user = retrieveUser(username,
					(UsernamePasswordAuthenticationToken) authentication);
		}
		catch (UsernameNotFoundException notFound) {
			logger.debug("User '" + username + "' not found");

			if (hideUserNotFoundExceptions) {
				throw new BadCredentialsException(messages.getMessage(
						"AbstractUserDetailsAuthenticationProvider.badCredentials",
						"Bad credentials"));
			}
			else {
				throw notFound;
			}
		}

		Assert.notNull(user,
				"retrieveUser returned null - a violation of the interface contract");
	}

	try {
		preAuthenticationChecks.check(user);
		additionalAuthenticationChecks(user,
				(UsernamePasswordAuthenticationToken) authentication);
	}
	catch (AuthenticationException exception) {
		if (cacheWasUsed) {
			// There was a problem, so try again after checking
			// we're using latest data (i.e. not from the cache)
			cacheWasUsed = false;
			user = retrieveUser(username,
					(UsernamePasswordAuthenticationToken) authentication);
			preAuthenticationChecks.check(user);
			additionalAuthenticationChecks(user,
					(UsernamePasswordAuthenticationToken) authentication);
		}
		else {
			throw exception;
		}
	}

	postAuthenticationChecks.check(user);

	if (!cacheWasUsed) {
		this.userCache.putUserInCache(user);
	}

	Object principalToReturn = user;

	if (forcePrincipalAsString) {
		principalToReturn = user.getUsername();
	}

	return createSuccessAuthentication(principalToReturn, authentication, user);
}

#retrieveUser这里如果抛出了InternalAuthenticationServiceException,则会抛给ProviderManager

ProviderManager#authenticate

public Authentication authenticate(Authentication authentication)
		throws AuthenticationException {
	Class<? extends Authentication> toTest = authentication.getClass();
	AuthenticationException lastException = null;
	AuthenticationException parentException = null;
	Authentication result = null;
	Authentication parentResult = null;
	boolean debug = logger.isDebugEnabled();

	for (AuthenticationProvider provider : getProviders()) {
		if (!provider.supports(toTest)) {
			continue;
		}

		if (debug) {
			logger.debug("Authentication attempt using "
					+ provider.getClass().getName());
		}

		try {
			result = provider.authenticate(authentication);

			if (result != null) {
				copyDetails(authentication, result);
				break;
			}
		}
		catch (AccountStatusException | InternalAuthenticationServiceException e) {
			prepareException(e, authentication);
			// SEC-546: Avoid polling additional providers if auth failure is due to
			// invalid account status
			throw e;
		} catch (AuthenticationException e) {
			lastException = e;
		}
	}

#provider.authenticate如这里的异常只可能是BadCredentialsException
InternalAuthenticationServiceException,观察代码可以发现,这两种异常都会继续向上抛出。

AbstractAuthenticationProcessingFilter#doFilter

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
		throws IOException, ServletException {

	HttpServletRequest request = (HttpServletRequest) req;
	HttpServletResponse response = (HttpServletResponse) res;

	if (!requiresAuthentication(request, response)) {
		chain.doFilter(request, response);

		return;
	}

	if (logger.isDebugEnabled()) {
		logger.debug("Request is to process authentication");
	}

	Authentication authResult;

	try {
		authResult = attemptAuthentication(request, response);
		if (authResult == null) {
			// return immediately as subclass has indicated that it hasn't completed
			// authentication
			return;
		}
		sessionStrategy.onAuthentication(authResult, request, response);
	}
	catch (InternalAuthenticationServiceException failed) {
		logger.error(
				"An internal error occurred while trying to authenticate the user.",
				failed);
		unsuccessfulAuthentication(request, response, failed);

		return;
	}
	catch (AuthenticationException failed) {
		// Authentication failed
		unsuccessfulAuthentication(request, response, failed);

		return;
	}

	// Authentication success
	if (continueChainBeforeSuccessfulAuthentication) {
		chain.doFilter(request, response);
	}

	successfulAuthentication(request, response, chain, authResult);
}

#attemptAuthentication这里的异常是InternalAuthenticationServiceExceptionBadCredentialsException,这两种异常都会执行#unsuccessfulAuthentication
分析到这里,得出第一个结论,AbstractUserDetailsAuthenticationProvider#authenticate#retrieveUser这里抛出的任何异常都会执行#unsuccessfulAuthentication
继续分析可以得出第二个结论,在AbstractUserDetailsAuthenticationProvider#authenticate的这里,

try {
	preAuthenticationChecks.check(user);
	additionalAuthenticationChecks(user,
			(UsernamePasswordAuthenticationToken) authentication);
}
catch (AuthenticationException exception) {
	if (cacheWasUsed) {
		// There was a problem, so try again after checking
		// we're using latest data (i.e. not from the cache)
		cacheWasUsed = false;
		user = retrieveUser(username,
				(UsernamePasswordAuthenticationToken) authentication);
		preAuthenticationChecks.check(user);
		additionalAuthenticationChecks(user,
				(UsernamePasswordAuthenticationToken) authentication);
	}
	else {
		throw exception;
	}
}

抛出的异常也都会执行AbstractAuthenticationProcessingFilter#unsuccessfulAuthentication

结论:

SpringSecurity默认的表单登录,或者是自定义UserDetailsService,抛出的任何异常都会走认证失败方法#unsuccessfulAuthentication,进一步就会执行#failureHandler.onAuthenticationFailure

qq_44773129
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Spring Boot + Spring Security解决UsernameNotFoundException无法被捕获的问题
qq_42182065的博客
04-27 2188
以下配置基于spring boot版本1.4.2.RELEASE,默认引入的spring security版本为4.1.3.RELEASE,页面模板采用thymeleaf。 在MyUserDetailsService实现了UserDetailsService接口以后,在重写的loadUserByUsername方法里验证用户名不存在时,我们会抛出一个UsernameNotFoundExceptio...
关于使用spring security不同源加载不出的问题
popoppor的博客
04-16 499
今天,使用发现一些frame加载不出来,研究了一下发下需要配置如下 spring-security下: <http use-expressions="false"> <intercept-url pattern="/**" access="ROLE_ADMIN" /><!--授权账号--> <!--登录页 ,默认跳转地址,登...
Spring Security开启表单登录后无效
weixin_44306456的博客
07-22 390
Spring Security开启表单登录后点击登录一直重复刷新 在表单添加method=“post”即可 <form action="login.html" method="post" class="form-signin" role="form"> </form>
在整合Spring security遇到的问题
weixin_41070914的博客
10-14 255
1、默认的登录页面的用户名输入框的name属性必须为“username” <input type="text" class="form-control" id="userid" name="username" placeholder="请输入学号"/> 2、在实现UserDetailsService的类,重写的loadUserByUsername方法的返回值必须符合org....
SpringSecurity的loadUserByUsername抛出异常无法捕获原因分析
weixin_45630446的博客
09-16 4429
SpringSecurity的loadUserByUsername抛出异常无法捕获原因分析 文章目录SpringSecurity的loadUserByUsername抛出异常无法捕获原因分析1、分析原因2、解决方式2.1、方式一2.2、方式二 SpringSecurity 相信大家对它都不陌生,这是一个令我又爱又恨的框架,配置不简单,但是功能却异常强大。下面我们就一起来分析一下loadUserByUsername 里抛出自定义异常无法捕获的原因吧 嗯,话不多说,自定义异常,全局异常处理拦截器、Securit
Spring Security基于json登录实现过程详解
10-14
传统的Spring Security主要通过表单方式实现用户登录,但在现代的Web应用,基于RESTful API的交互越来越多地采用JSON格式的数据。因此,如何在Spring Security实现基于JSON的登录认证,成为了开发人员需要掌握的...
springsecurity使用demo
03-03
在本示例,我们将探讨如何使用 SpringSecurity 构建一个基本的认证和授权流程。 首先,Spring Security 的核心组件包括认证(Authentication)和授权(Authorization)。认证涉及识别用户身份,而授权则是确定...
spring-security 官方文档 文版
10-12
- Spring Security 的验证机制允许开发者自定义认证过程,包括用户凭证的检查和存储。 - **直接设置 SecurityContextHolder 的内容**:允许在特定情况下直接设置用户的 Authentication 信息,从而绕过常规的身份...
SpringSecurity实现表单安全登录、图形验证的校验、记住我时长控制机制、第三方登录
01-30
SpringSecurity,我们可以方便地配置表单登录。首先,我们需要定义一个`UsernamePasswordAuthenticationFilter`,该过滤器会处理登录请求,解析用户名和密码。然后,通过`AuthenticationManager`进行认证。认证...
springsecurity
07-23
Spring Security 提供了多种认证机制,如基于表单登录、HTTP基本认证、OAuth2等。用户信息通常存储在内存、数据库或其他安全令牌。 3. **Authorization**:授权是决定用户是否有权访问特定资源或执行特定操作的...
SpringSecurity认证流程详解
WGH100817的博客
06-14 85
SpringSecurity基本原理 在之前的文章《SpringBoot + Spring Security 基本使用及个性化登录配置》SpringSecurity进行了简单的使用介绍,基本上都是对于接口的介绍以及功能的实现。 这一篇文章尝试从源码的...
Spring Security异常类记录
lao_hu_的博客
11-10 1486
1、Spring Security异常体系 Spirng Security异常共有两大类:AuthenticationException(认证异常)和AccessDeniedException(权限异常) 1.1、AuthenticationException(认证异常AuthenticationException:认证异常的父类,抽象类 BadCredentialsException:登录凭证(密码)异常 InsufficientAuthenticationException:登陆凭证不够充
SpringSecurity执行表单登录认证时无法执行loadUserByUsername方法
qq_43820896的博客
05-13 3375
项目场景: 执行表单登录认证时配置了loginProcessUrl和loginPage。但是执行登录认证时并不执行UserDetailsService接口的loadByUsername方法。导致认证失败。 问题描述: 1. 表单登录页面 2. 配置类 3. loadUserByUsername方法 所有都配置好了,但是进行登录认证的时候还是认证失败跳回登录页。并且控制台未打印loadUserByUsername方法的日志。 原因分析: 因此判断是loginProcessUrl方法的问题。进入lo
Spring Security异常
小汤圆
08-12 1660
有关认证和授权的异常处理
springboot集成springSecurity(总结篇)
qqzhengwei的专栏
02-25 964
SpringSecurity核心是什么? 过滤器链 有哪些组件? AuthenticationManager 认证管理器(所有的认证都是他负责完成)【注意它是一个接口,一般使用实现类是ProviderManager】 认证 SpringSecurity底层认证默认是通过UsernamePasswordAuthenticationFilter进行处理的 什么叫认证? 如何认证? 1、UsernamePasswordAuthenticationFilter 通过这...
django3.0.4在使用 authenticate检测用户的登录是出现的错误
sugar
07-25 1144
使用djangoauthenticate检测用户登录,用户名、密码都正确,但是没有激活,他的返回值一直是None,使得用户未激活用户一直显示用户名密码错误
关于Spring Security自定义认证时,异常处理的问题,如何使用自定义异常进行消息提示
无限进步的博客
02-10 2620
我们在利用springSecurity进行认证时,如果没有配置认证失败处理器,想要在自己实现UserDetailsService抛出异常来进行提示用户用户名错误时,再利用全局异常处理器是无法捕获到自己抛出的异常
SpringSecurity登录失败返回错误信息
qq_44993268的博客
05-20 4429
现在有这么一个需求,客户端登录验证失败之后显示两种错误信息--"用户名不存在"或者"账号密码错误",但是spring Security好像并没有返回错误信息的类,所以需要我们自己从request域去获取错误信息,首先我们要设置验证失败后的返回地址。 http.formLogin() //自定义自己编写的登陆页面 .loginPage("/login.html") //登陆页面设置 .loginProcessingUrl("/us..
关于自己实现的 UserDetailsService loadUserByUsername() 方法抛出的异常被隐藏
余生愿你常欢笑
07-26 6473
问题 自己实现的 UserDetailsService loadUserByUsername() 方法抛出了 UsernameNotFoundException,在全局异常处理器进行了捕获和处理,但是为什么没有用 自定义 UserDetailsService @Slf4j @Service public class UserDetailsServiceImpl implements UserDetailsService { @Autowired SysUserService us
Spring Security如何配置基于表单登录
最新发布
05-25
Spring Security配置基于表单登录,通常需要以下几个步骤: 1. **配置`WebSecurityConfigurerAdapter`**:您需要扩展`WebSecurityConfigurerAdapter`类并重写其`configure(HttpSecurity http)`方法。在这个方法,您可以定义安全策略,包括哪些URL应该被保护以及如何进行身份验证。 2. **启用表单登录**:在`configure(HttpSecurity http)`方法,使用`.formLogin()`启用表单登录。这会启用默认的登录页面和登录处理机制。 3. **自定义登录页面**:如果您想要自定义登录页面,可以使用`.loginPage("/custom-login.html")`来指定自定义登录页面的URL。这样,当用户尝试访问受保护的资源时,他们将被重定向到这个自定义的登录页面。 4. **允许所有用户访问登录页面**:使用`.permitAll()`方法确保所有用户都可以访问登录页面,即使他们尚未登录。 5. **配置登录成功和失败的处理**:您可以使用`.successHandler()`和`.failureHandler()`来分别配置登录成功和失败后的处理逻辑。 6. **配置用户名和密码参数**:默认情况下,Spring Security期望从请求获取名为`username`和`password`的参数。如果您的表单使用了不同的参数名称,您需要在`configure(HttpSecurity http)`方法使用`.usernameParameter("yourUsernameField")`和`.passwordParameter("yourPasswordField")`来指定这些参数的名称。 7. **配置登录POST请求的URL**:默认情况下,登录数据的提交地址是`/login`。如果您想要更改这个URL,可以使用`.loginProcessingUrl("/custom-login-processing-url")`来进行配置。 8. **配置退出登录**:使用`.and().logout()`启用退出登录功能,并且可以进一步配置退出登录的处理逻辑。 9. **配置记住我服务**:如果您想要提供“记住我”功能,可以使用`.rememberMe()`方法来启用它。 10. **配置异常处理**:您可以使用`.exceptionHandling()`来配置如何处理认证过程异常情况。 通过以上步骤,您就可以在Spring Security配置基于表单登录了。此外,还需要确保您的应用程序有一个接收用户名和密码的表单,并且该表单的`action`属性指向正确的登录处理URL。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值