关于自己实现的 UserDetailsService 中 loadUserByUsername() 方法中抛出的异常被隐藏

最新推荐文章于 2024-07-16 15:43:03 发布
最新推荐文章于 2024-07-16 15:43:03 发布
阅读量6.5k 收藏 12
点赞数 6
分类专栏: springsecurity springboot 源码 文章标签: SpringSecurity SpringBoot Spring
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwang_dev/article/details/119108639
版权
问题

自己实现的 UserDetailsServiceloadUserByUsername() 方法中抛出了 UsernameNotFoundException,在全局异常处理器中进行了捕获和处理,但是为什么没有用

自定义 UserDetailsService
@Slf4j
@Service
public class UserDetailsServiceImpl implements UserDetailsService {

    @Autowired
    SysUserService userService;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 从数据库中查
        SysUser sysUser = userService.selectUserByUsername(username);
        if (sysUser == null) {
            log.info("登录用户:{} 不存在.", username);
            // 抛出异常 UsernameNotFoundException,注意我的错误信息,之后看结果比较
            throw new UsernameNotFoundException("登录用户:" + username + " 不存在");
        } 
        // LoginUser实现了UserDetails接口,这个不是重点,不用管
        LoginUser loginUser = new LoginUser(sysUser, new ArrayList<>());
        return loginUser;
    }
}
配置类中进行配置
@EnableWebSecurity
// 开启方法上权限控制的注解支持
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, jsr250Enabled = true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Autowired
    UserDetailsServiceImpl userDetailsService;
        
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 使用自己的 校验逻辑
        auth.userDetailsService(userDetailsService);
    }
}
全局异常处理器
@Slf4j
@RestControllerAdvice
public class GlobalExceptionHandler {

    /**
     * 用户名不存在异常
     */
    @ExceptionHandler(UsernameNotFoundException.class)
    public R userNameNotFoundExceptionHandler(UsernameNotFoundException e) {
        // 这里拿到的异常信息应该是上面跑出来的,也就是类似 ‘登录用户 xxx 不存在’
        log.error(e.getMessage());
        return R.error(e.getMessage());
    }
实际测试结果

这个结果绝对不是我写的,哪里来的英文???

image-20210726132807933
源码分析

上一篇博客中,我们已经分析了 AuthenticationManager 实际上调用的是 DaoAuthentionProviderauthentication 方法,在这个方法里面实际调用的父类 AbstractUserDetailsAuthenticationProviderauthention方法,我们再来看看这个类和这个方法。

public abstract class AbstractUserDetailsAuthenticationProvider implements
		AuthenticationProvider, InitializingBean, MessageSourceAware {
		
	// authentication
	public Authentication authenticate(Authentication authentication)
		throws AuthenticationException {
		// ....
        try {
            // 1. 这个 retrieveUser ,里面实际拿到了容器中的 UserDetailsService。也就是我们自己实现的,并调用了它的 loadUserByUsername 方法,在这里面我们的异常被抛出来了
            user = retrieveUser(username,
                                (UsernamePasswordAuthenticationToken) authentication);
        }
=========================================================================================
        // 看这里
        catch (UsernameNotFoundException notFound) {
            logger.debug("User '" + username + "' not found");
			// 还有这里
            if (hideUserNotFoundExceptions) {
                // 还有这里
                throw new BadCredentialsException(messages.getMessage(
                    "AbstractUserDetailsAuthenticationProvider.badCredentials",
                    "Bad credentials"));
            }
=========================================================================================
            else {
                throw notFound;
            }
        }

好家伙,我把异常抛出来,你给我捕获了,抛一个新的????

当然这里有个判断条件就是 if (hideUserNotFoundExceptions) 从名字就能看出来,是否要隐藏 用户不存在异常,那么它的值能够能改,我点一下。

public abstract class AbstractUserDetailsAuthenticationProvider implements
      AuthenticationProvider, InitializingBean, MessageSourceAware {
   // 直接写死,就要隐藏,妙啊!
   protected boolean hideUserNotFoundExceptions = true;
解决办法

这又没绑定配置文件,改肯定是改不了的,但也不是没有办法,我们知道这个异常肯定是在 AuthenticationManager调用 authentication() 的过程中发生中,而这个方法我们一般是手动调用的,除非你只使用默认配置,但前后端分离,你绝对要写自己的逻辑,我们只要给这个调用过程加上一个 try catch,捕获一下

BadCredentialsException 异常,再自定义处理不就好了吗?

比如我们自己实现 UsernamePasswordAuthenticationFilter,这个过滤器是干嘛的相信大家都有了解,我就不多说了。

@Component
public class MyLoinFilter extends UsernamePasswordAuthenticationFilter {

    @Override
    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        String username = req.getParameter("username");
        String password = req.getParameter("password");
        UsernamePasswordAuthenticationToken auth = new UsernamePasswordAuthenticationToken(username, password);
        try {
            // 进行校验逻辑
            super.getAuthenticationManager().authenticate(auth);
        } catch (AuthenticationException e) {
            // 被隐藏起来的用户不存在异常
            if (e instanceof BadCredentialsException) {
                // 我们一般不给前端提示的那么清楚
                throw new RuntimeException("用户名或密码错误!");
            }
            throw e;
        }
        chain.doFilter(req, res);
    }
}

然后把它配置容器中,替换原来的 。

@autowired
MyLoginFilter myLoginFilter;
    
@Override
protected void configure(HttpSecurity http) throws Exception {
    http.addFilterAt(myLoginFilter, UsernamePasswordAuthenticationFilter.class);
再次测试

完美!

image-20210726135205875
提问与解答
提问

有人可能会说,我在自己的 UserDeteilsService 中 抛出 UserNotExist异常会被catch到,然后被隐藏。那我给它抛的大一点,我直接给它抛出一个Exception 你还能捕获到?也就是这么写

@Service
public class UserDetailsServiceImpl implements UserDetailsService {
    
@Autowired
SysUserService userService;

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
    // 从数据库中查
    SysUser sysUser = userService.selectUserByUsername(username);
    if (sysUser == null) {
        // 我直接抛出一个大的
        throw new Exception("登录用户:" + username + " 不存在");
    } 
    // ...
}
回答

实际上,它还是能够被隐藏起来的。回顾一下刚才的代码

public abstract class AbstractUserDetailsAuthenticationProvider implements
		AuthenticationProvider, InitializingBean, MessageSourceAware {	
    // authentication
    public Authentication authenticate(Authentication authentication)
        throws AuthenticationException {
        // ....
        try {
            // 1. 这个 retrieveUser ,里面实际拿到了容器中的 UserDetailsService。
            user = retrieveUser(username,
                                (UsernamePasswordAuthenticationToken) authentication);
        }// 看这里
            catch (UsernameNotFoundException notFound) {
                    // ...
                    throw new BadCredentialsException(messages.getMessage(
                        "AbstractUserDetailsAuthenticationProvider.badCredentials",
                        "Bad credentials"));
                 }
            }
        }

我们刚才没有看 retrieveUser 这个方法,现在来看一下

	protected final UserDetails retrieveUser(String username,
			UsernamePasswordAuthenticationToken authentication)
			throws AuthenticationException {
		prepareTimingAttackProtection();
		try {
            // 确实是拿到了 UserDetailsService,调用它的 loadUserByUsername 方法,就会
			UserDetails loadedUser = this.getUserDetailsService().loadUserByUsername(username);
			if (loadedUser == null) {
				throw new InternalAuthenticationServiceException(
						"UserDetailsService returned null, which is an interface contract violation");
			}
			return loadedUser;
		}
=========================================================================================
        // 异常捕获,如果是 UsernameNotFoundException 也就是我门自己跑出的
		catch (UsernameNotFoundException ex) {
			mitigateAgainstTimingAttack(authentication);
            // 它还会抛出去,所以在外面被捕获到,然后隐藏,抛出了个新的
			throw ex;
		}
		catch (InternalAuthenticationServiceException ex) {
			throw ex;
		}
        // 看这里,就算你在 UserDetailsService 抛出的是 Exception,也会被捕获
		catch (Exception ex) {
            // 熟悉的配方,熟悉的味道,又给你来了个新的,但是这次它并没有重新设置错误消息,所以说,这个办法其实也可以。
            // InternalAuthenticationServiceException extends AuthenticationServiceException
            // AuthenticationServiceException extends AuthenticationException
			throw new InternalAuthenticationServiceException(ex.getMessage(), ex);
		}
	}
总结

虽然说抛出一个更大的异常也被隐藏为 AuthenticationException 了,但是这次并没有改变你自己的异常信息,所以这个方法其实也可以。

总结

所以说,AbstractUserDetailsAuthenticationProvider类设置的那个属性 hideUserNotFoundExceptions 还真是和名字匹配,就是只隐藏 UserNotFoundException,重新抛出异常,修改异常信息为 “Bad Credentials”,至于其他的异常,虽然也捕获了,抛出了新的,但是没有修改你的异常信息,所以不受影响,你只需要设置相应的捕获方法就好了。

wwang_dev
关注
  • 6
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
details在Java_在自定义UserDetailsService总是空的,参数名为 loadUserByUsername
weixin_35285401的博客
02-26 1683
我正在使用带有自定义UserDetailsServicespring-security进行基于表单的登录,登录表单可以正确提交。在调试应用程序时,我发现提交的请求到达了UsernamePasswordAuthenticationFilter的tryAuthentication方法。但是请求参数不能映射到username和password字段,因为它们一直为空,因此,自定义UserDetailsS...
关于Spring Security如何自定义的异常
莫闲的专栏
05-08 3764
关于Spring Security如何工作原理在这里就不介绍了。因为我也不懂 @Override public UserDetails loadUserByUsername(String mobile) throws UsernameNotFoundException { String[] str = mobile.split(BusinessConstant.Constants.KEY...
学习若依框架----之----authenticationManager.authenticate()调用UserDetailsServiceImpl.loadUserByUsername过程
XuDream的博客
09-07 7376
就调用了UserDetailsServiceImpl.loadUserByUsername方法。authenticationManager.authenticate()调用其实就是ProviderManager.authenticate()其的过程想要了解的建议参考。
若依--自定义登录loadUserByUsername参数入参
最新发布
ITLYL的博客
07-16 427
若依登录
UserDetails类loaduserByUsername获取不到用户名
qq164425443的博客
05-15 3032
使用Spring Security框架UserDetails类方法要注意的事项 最近在新项目使用了SpringSecurityUserDetails类loaduserbyUsername方法,在数据库和对应的映射文件username字段使用的account代替,json的登录接口账号也是 { "account":xxx, "password":xxx } 的方式,后来发现在验证token的时候,获取不到username, 原来loadUserByUsername方法调用后,获取到的用户信息
springsecurity UserDetailsServiceloadUserByUsername无法获取参数 坑位填补
weixin_46564011的博客
07-05 1451
springsecurity UserDetailsServiceloadUserByUsername无法获取参数 坑位填补
SpringSecurityloadUserByUsername抛出异常无法捕获原因分析
weixin_45630446的博客
09-16 4570
SpringSecurityloadUserByUsername抛出异常无法捕获原因分析 文章目录SpringSecurityloadUserByUsername抛出异常无法捕获原因分析1、分析原因2、解决方式2.1、方式一2.2、方式二 SpringSecurity 相信大家对它都不陌生,这是一个令我又爱又恨的框架,配置不简单,但是功能却异常强大。下面我们就一起来分析一下loadUserByUsername抛出自定义异常无法捕获的原因吧 嗯,话不多说,自定义异常,全局异常处理拦截器、Securit
Java自定义service异常_java – 在Rest Service启动自定义异常
weixin_31894867的博客
02-26 317
我在我的基于Spring Boot的Rest服务定义了一个全局异常处理:@ControllerAdvicepublic class GlobalExceptionController {private final Logger LOG = LoggerFactory.getLogger(getClass());@ResponseStatus(value = HttpStatus.INTERNAL...
Spring Boot + Spring Security解决UsernameNotFoundException无法被捕获的问题
qq_42182065的博客
04-27 2211
以下配置基于spring boot版本1.4.2.RELEASE,默认引入的spring security版本为4.1.3.RELEASE,页面模板采用thymeleaf。 在MyUserDetailsService实现UserDetailsService接口以后,在重写的loadUserByUsername方法里验证用户名不存在时,我们会抛出一个UsernameNotFoundExceptio...
java账户冻结后无法登录_Spring Security实现多次登录失败后账户锁定功能
weixin_29130255的博客
02-25 682
在上一次写的文章,为大家说到了如何动态的从数据库加载用户、角色、权限信息,从而实现登录验证及授权。在实际的开发过程,我们通常会有这样的一个需求:当用户多次登录失败的时候,我们应该将账户锁定,等待一定的时间之后才能再次进行登录操作。一、基础知识回顾要实现多次登录失败账户锁定的功能,我们需要先回顾一下基础知识:Spring Security 不需要我们自己实现登录验证逻辑,而是将用户、角色、权限信...
springsercurity 重写 loadUserByUsername
04-05
在 `loadUserByUsername` 方法,我们首先根据用户名从数据库查找用户信息,如果不存在则抛出 `UsernameNotFoundException` 异常。然后根据用户信息构建 `UserDetails` 对象,并返回给 Spring Security。在这里,...
Spring Security在前后端分离项目的使用
KRYST4L123的博客
02-26 331
报错的原因:默认情况下Spring Security在获取到UserDetailsService返回的用户信息以后,会调用PasswordEncoder的matches方法进行校验,但是此时在Spring容器并不。并且为了让用户下回请求时能通过jwt识别出具体的是哪个用户,在返回之前,我们需要把用户信息存入redis,可以把用户id。然后设置我们的资源所需要的权限。我们还希望在认证失败或者是授权失败的情况下也能和我们的接口一样返回相同结构的json,这样可以让前端能对响应进行统一的处理。
details在Java_java – 用户名字段在UserDetailsS​​erviceImplloadUserByUsername为空...
weixin_30298733的博客
02-26 649
我正在使用spring security进行身份验证.问题是我一直将用户名作为空字符串.我甚至搜索所有我得到的是我必须遵循j_username和j_password等字段的标准名称,我已经在做了.这是我的登录页面 –action=''>class="btn social icon-facebook col-lg-5 col-md-5 col-sm-5 col-xs-5 pull-right"...
SpringSecurityloadUserByUsername方法无法正常捕获异常的问题
weixin_51110958的博客
06-13 3933
最近在做动态权限,整合了SpringSecurity。在使用SpringSecurity 做用户认证功能的时候,重写了loadUserByUsername方法并且在方法内判断用户是否为空,如果为空就抛出自定义的UserException异常。前端捕获到就反馈相应信息。代码如下: 本以为如上代码会正常抛出UserException,但是在测试之后并没有按照预想的走...
请大神指教!spring-security UserDetailsService loadUserByUsername 参数为空问题
liuji0517的博客
03-06 8828
目前使用springsecurity,但如何试验都登录校验失败,debug跟踪发现实现UserDetailsService接口的loadUserByUsername方法,lrc下载参数总是空,求大神指点。 loadUserByUsername默认参数名为Stringusername,页面提交参数名必须也为username,否则security取不到值 试验了一下,还是没有传值。...
奇怪,Spring Security 登录成功后总是获取不到登录用户信息?
热门推荐
江南一点雨的专栏
04-01 1万+
有好几位小伙伴小伙伴曾向松哥求助过这个问题。 一开始我觉得这可能是一个小概率 BUG,但是当问的人多了,我觉得这个问题对于新手来说还有一定的普遍性,有必要来写篇文章跟大家仔细聊一聊这个问题,防止小伙伴们掉坑。 1.问题复现 如果使用了 Spring Security,当我们登录成功后,可以通过如下方式获取到当前登录用户信息: SecurityContextHolder.getContext()....
SpringSecurity执行表单登录认证时无法执行loadUserByUsername方法
qq_43820896的博客
05-13 3436
项目场景: 执行表单登录认证时配置了loginProcessUrl和loginPage。但是执行登录认证时并不执行UserDetailsService接口的loadByUsername方法。导致认证失败。 问题描述: 1. 表单登录页面 2. 配置类 3. loadUserByUsername方法 所有都配置好了,但是进行登录认证的时候还是认证失败跳回登录页。并且控制台未打印loadUserByUsername方法的日志。 原因分析: 因此判断是loginProcessUrl方法的问题。进入lo
springsecurity loadUserByUsername方法不生效导致密码验证失败
m0_61255858的博客
10-15 1438
密码验证步骤一直没有进入UserDetailsService类的loadUserByUsername方法,导致登录的时候就一直密码验证失败,无法跳转到登录成功后的界面。
实现UserDetailsService
码字不易,大家的支持就是我坚持下去的动力
03-05 939
Spring Security 用于加载用户信息的接口,它包含了一个方法,用于根据用户名加载用户信息。开发者可以通过实现接口,并重写方法实现自定义的用户信息加载逻辑。下面是一个实现// 从数据库根据用户名加载用户信息 User user = userRepository . findByUsername(username);
UserDetailsService方法抛出异常,怎么跳到指定的画面
04-07
UserDetailsService方法抛出异常时,可以在控制器捕获该异常,并根据异常类型跳转到指定的画面。 例如,假设在UserDetailsService方法抛出UsernameNotFoundException异常,可以在控制器添加一个异常处理器来捕获该异常,然后根据异常类型跳转到指定的画面,示例如下: ```java @ControllerAdvice public class ExceptionHandlerController { @ExceptionHandler(UsernameNotFoundException.class) public String handleUsernameNotFoundException() { return "login-error"; // 跳转到登录错误页面 } } ``` 在上述代码,使用@ControllerAdvice注解标记该类为全局异常处理器,在该类定义一个handleUsernameNotFoundException方法来处理UsernameNotFoundException异常,该方法返回一个字符串类型的值,表示要跳转的页面。在本例,返回的是"login-error",表示要跳转到登录错误页面。 需要注意的是,如果使用了Spring Security框架,可以在WebSecurityConfigurerAdapter配置类设置登录失败时的跳转页面,如下所示: ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { // ...省略其他配置代码... @Override protected void configure(HttpSecurity http) throws Exception { http .formLogin() .loginPage("/login") .failureUrl("/login-error") // 设置登录失败时的跳转页面 .permitAll() .and() .authorizeRequests() .antMatchers("/", "/home").permitAll() .anyRequest().authenticated(); } } ``` 在上述代码,使用了formLogin()方法来配置表单登录,其设置了登录页面为"/login",登录失败时的跳转页面为"/login-error"。这样,在UserDetailsService方法抛出UsernameNotFoundException异常时,如果用户在登录页面输入的用户名不存在,就会跳转到"/login-error"页面。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值