srping security3.0(一)----登陆不能抛出自己定义的异常,用户不存在异常,用户尝试登陆次数过多,回到登陆之前访问的页面

最新推荐文章于 2023-06-19 19:36:20 发布
最新推荐文章于 2023-06-19 19:36:20 发布
阅读量1w 收藏 2
点赞数
分类专栏: Spring 文章标签: security exception session spring authentication bean
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sinlff/article/details/5894088
版权

          spring security3.0默认的表单登陆并不会抛出UsernameNotFoundException异常,我尝试了多次, 自定配置了bean, 也把错误信息扔到了session属性都没有解决

public final class WebAttributes {
    public static final String AUTHENTICATION_EXCEPTION = "SPRING_SECURITY_LAST_EXCEPTION";

 

得到的老是令人讨厌的Bad credentials(当然可以通过message.property可以做国际化, spring security3提供的, 我们写个中文的属性文件就可以了。

 

之所以我想在登陆验证时抛异常是出于两个目的:

1  提示用户不存在

2  提示用户输入密码错误最大次数不能超过3, 超过3则锁定账号,   让管理员自己去解锁。

(注意:账号可用,过期,是否锁定, 这些是spring security3自带的异常, 没必要我们再去扔出了, 上面列的2个是我自定义的异常。

 

补充一点,默认的登录表单异常处理是在类SimpleUrlAuthenticationFailureHandler里处理的。

有个不一样的地方是, spring security并不是直接抛出异常, 而是包装了放在session里,属性名就是

WebAttributes.AUTHENTICATION_EXCEPTION

 

我自定义了异常处理, 不用SimpleUrlAuthenticationFailureHandler

 session.getAttribute(TRY_MAX_COUNT);  这里记得登陆成功了之后要清掉

具体办法是:在这里清掉

public class AccessSavedRequestAwareAuthenticationSuccessHandler extends SimpleUrlAuthenticationSuccessHandler {

 

对应的配置文件

 

这个是支持登陆成功之后, 进入没有登陆之前访问的地址。

 

 

下面是登陆多次失败的配置:

 

 

 

在源码里可以看到DaoAuthenticationProvide

r的父类AbstractUserDetailsAuthenticationProvider有一个属性hideUserNotFoundExceptions

在配置中即可看出 hideUserNotFoundExceptions   = true代表隐藏真实的异常, 改为false即可显示你自己的异常了。

不过要继承AuthenticationException这个异常哦。

 

 

 

 

spring security原理和机制 | Spring Boot 35
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
阐述Spring security实现用户认证授权的原理----基于session实现认证的方式
weixin_45856470的博客
05-18 572
fa
springSecurity不能抛出异常UserNameNotFoundException 解析
weixin_34365635的博客
01-19 1700
通过查看源码可得知: 1. 前言 抽象类中AbstractUserDetailsAuthenticationProvider 接口抛出异常AuthenticationException 下面源码注释这么描述 * * @throws AuthenticationException if the credentials c...
SpringSecurity(三)自定义登录成功与失败处理
lizc_lizc的博客
11-14 1万+
通过前面两篇文章,我们已经知道了如何使用简单的配置来保护我们的应用了,根本不需要去管SpringSecurity登录验证流程。如果我们需要自定义登录成功与失败处理,我们需要实现AuthenticationSuccessHandler接口和AuthenticationFailureHandler接口 。 1. 新建MyAuthenticationSuccessHandler类 @Compo...
SpringSecurity抛出异常但AccessDeniedHandler不生效
qq_45848700的博客
01-05 1468
最近在学习SpringSecurity权限管理框架,在测试权限管理发现在使用没有权限的接口异常被全局异常处理器给捕获了 查询资料后,发现解决方法有很多,所以把我觉得比较方便的方法记录下来:全局异常中捕获AccessDeniedException抛出就可以被AccessDeniedHandler捕获到了 @ExceptionHandler(AccessDeniedException.class) public void accessDeniedException(AccessDeniedExcep
spring security oauth2中UsernameNotFoundException无法在认证失败后被捕获的问题
咘噜biu的博客
11-24 3539
1.问题描述: 在认证失败后UsernameNotFoundException异常会被默认转换成BadCredentialsException异常,导致不能捕获到UsernameNotFoundException, 一般来说UsernameNotFoundException用户名错误导致的登录失败,BadCredentialsException用户名或者密码错误导致的登录失败。如果我们能捕获到UsernameNotFoundException就能很好的区分登录失败是哪种具体的原因,以便在某些候做一些
关于AuthenticationSuccessHandler和AuthenticationFailureHandler不执行的一种可能性
Qi_Chong的博客
06-08 575
springSecurity3.0
05-06
用户尝试访问未授权的资源或认证失败Spring Security可以抛出适当的异常,并配置自定义的错误页面或响应消息。 8. **配置灵活性** Spring Security的一大优点是其高度可配置性。通过XML或Java配置,我们...
Spring Security OAuth2.0认证授权 --- 基础篇
最新发布
shuai_h的博客
06-19 1094
一、基本概念 1.1、什么是认证 进入移动互联网代,大家每天都在刷手机,常用的软件有微信、支付宝、头条等,下边拿微信来举例子说明认证相关的基本概念,在初次使用微信前需要注册成为微信用户,然后输入账号和密码即可登录微信,输入账号和密码登录微信的过程就是认证。 系统为什么要认证? 认证是为了保护系统的隐私数据与资源,用户的身份合法方可访问该系统的资源。 认证 :用户认证就是判断一个用户的身份是否合法的过程,用户访问系统资源系统要求验证用户的身份信息,身份合法方可继续访问,不合法则拒绝访问。常见的用户身份认
SpringSecurity3.0.x官方参考文档(英文+中文双解版)
10-20
如果失败Spring Security抛出异常并返回相应的错误页面或消息。 ### 6. 会话管理 Spring Security 提供了会话管理功能,包括会话固定攻击防护(Session Fixation Protection)、会话超和会话并发控制等。 #...
SpringSercurity
HappyProgrammer的博客
02-21 491
SpringSecurity 权限设计 库表 Spring Security 必须跟Spring集成且只能在Web环境下运行。 Shiro相对独立,有自己的Ini配置(类似于Spring中的xml配置),且不仅可以在Web环境下运行还可以在非Web环境下运行。 RBAC(Role-Based Access Control,基于角色的访问控制),就是用户通过角色与权限进行关联。简单地说,一个用...
如何解决security异常UsernameNotFoundException总是抛出密码错误问题
程序三两行
05-15 5353
使用spring security进行授权登录候,发现登录接口无法正常捕捉UsernameNotFoundException异常,捕捉到的一直是BadCredentialsException异常。我们的预期是: UsernameNotFoundException -> 用户名错误 BadCredentialsException -> 密码错误 贴几个比较重要的代码: 经过步进法跟踪代码,发现问题所在,位于 AbstractUserDetailsAuthenticationProvi
securityspring security放行不生效,security放行后还是被拦截,路径变成了/error,security匿名用户无法访问
热门推荐
孟秋与你的博客
05-13 1万+
文章目录security最初的配置初步改进后的配置排查真实原因更加合理的配置 之前写了篇关于security认证的文章 感觉对security了解多了一点,直到遇到过滤器层面的问题,才明白security终究还是那个复杂的securitysecurity最初的配置 @Configuration public class SecuritySecureConfig extends WebSecurityConfigurerAdapter { @Override protected voi
security框架异常,不被自己自定义的全局异常捕获处理。
Lacia_的博客
02-12 2857
spring security中,过滤器不被自定义异常捕获的问题。
spring框架集成:全局异常处理类无法捕获springsecurity抛出异常的问题
toytoytelecar的博客
09-03 2377
在使用框架集成,通常我们会使用全局异常处理类来捕获产生的异常;但在集成springsecurity,我们遇到了这样的问题:重定义登录逻辑、重写UsernamePasswordAuthenticationFilter类,里面抛出的的异常不会被全局异常处理类捕获。
编写登录成功和失败的处理器
Leon_Jinhai_Sun的博客
01-22 486
认证失败的话,我们之前说过,登录失败候交给AuthenticationFailureHandler,所以我们自定义了LoginFailureHandler @Component public class LoginFailureHandler implements AuthenticationFailureHandler { @Override public void onAuthenticationFailure(HttpServletRequest request, HttpServ
Spring-Boot & JWT 实现前后端分离的用户认证授权案例
资源摘要信息:"Spring-Boot结合Security+JWT 简单实现前后端分离用户登录、授权案例" 知识点: 1. Spring-Boot: Spring-Boot 是 Spring 的一个模块,用于简化 Spring 应用的初始搭建以及开发过程。它使用了特定的...
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值