spring security authenticationProvider用法及关闭不隐藏UserNotFoundException的解决

最新推荐文章于 2024-05-28 21:47:35 发布
最新推荐文章于 2024-05-28 21:47:35 发布
阅读量1.9w 收藏 24
点赞数 11
分类专栏: java srping 文章标签: spring spring security
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzl19870309/article/details/70314085
版权
java 同时被 2 个专栏收录
31 篇文章 1 订阅
订阅专栏
srping
10 篇文章 1 订阅
订阅专栏

这两天采用了spring security做登录验证,上一篇说到了增加图形验证码的解决办法,我们在config中增加了一个authenticationProvider的实现类。接下来我遇到的问题是用户登录失败(用户不存在或密码错误)之后,security框架直接返回的是验证失败。而我的需求是将用户不存在和密码错误区分开来,然后做不同的后续工作。

出现这个问题的配置是:

……
 @Inject
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(customAuthenticationProvider)
            .userDetailsService(userDetailsService)
                .passwordEncoder(passwordEncoder());

    }
……

因发现UserNotFoundException异常是在DaoAuthenticationProvider中被屏蔽掉的,而DaoAuthenticationProvider中有个属性hideUserNotFoundExceptions,默认是ture,也就是说要想抛出UserNotFoundException,需要把hideUserNotFoundExceptions设为false。
于是增加了一个DaoAuthenticationProvider的配置

@Bean
public DaoAuthenticationProvider authenticationProvider() {
    DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
    provider.setHideUserNotFoundExceptions(false);
    provider.setUserDetailsService(userDetailsService);
    provider.setPasswordEncoder(passwordEncoder());
    return provider;
}
@Inject
public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
    auth.authenticationProvider(customAuthenticationProvider)
        .authenticationProvider(authenticationProvider()) //增加
        .userDetailsService(userDetailsService)
        .passwordEncoder(passwordEncoder());
}

出现的结果是调用了两次userDetailsService中的验证,UserNotFoundException还是被屏蔽掉了。
经过源码跟踪,发现了ProviderManager这个类,这个类中有这么一段代码:

……
for (AuthenticationProvider provider : getProviders()) {
    if (!provider.supports(toTest)) {
        continue;
    }
    if (debug) {
        logger.debug("Authentication attempt using "
                + provider.getClass().getName());
    }

    try {
        result = provider.authenticate(authentication);

        if (result != null) {
            copyDetails(authentication, result);
            break;
        }
    }
    catch (AccountStatusException e) {
        prepareException(e, authentication);
        throw e;
    }
    catch (InternalAuthenticationServiceException e) {
        prepareException(e, authentication);
        throw e;
    }
    catch (AuthenticationException e) {
        lastException = e;
    }
}
……

从上边的代码可以看出,对于AuthenticationProvider,只要配置几个provider,就会执行几个,但我在config中只配了两个,为什么会执行三个呢?
最后发现原因在于

auth .userDetailsService(userDetailsService)
        .passwordEncoder(passwordEncoder());

这两个会默认在providerlist中增加一个DaoAuthenticationProvider,看到这里果断将这两行注释掉。再次测试,完美通过。UserNotFoundException也抛出来了

下面总结下authenticationProvider:
1、验证过程中,可以增加多个authenticationProvider,来完成不同的验证工作
2、根据验证的先后顺序,需要注意authenticationProvider设置的先后顺序。
3、如果抛出异常,即可停止的话,不能抛出AuthenticationException
4、每个authenticationProvider都要配置一个UserDetailsService的实现类
5、如果不使用DaoAuthenticationProvider或要重新配置,就直接使用auth.authenticationProvider()方法,不要使用auth .userDetailsService()

luxy_wang
关注
  • 11
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 11
    评论
专栏目录
spring aop action中验证用户登录状态的实例代码
08-29
spring aop action中验证用户登录状态的实例代码 本篇文章主要介绍了spring aop action中验证用户登录状态的实例代码,具有...通过本篇文章,读者可以了解到spring aop的使用方法和优点,并且可以应用于实际项目中。
Spring3.0 rest 实例
06-21
对于生产环境,我们需要考虑安全性,如使用Spring Security进行身份验证和授权。可以结合`@PreAuthorize`、`@PostAuthorize`等注解进行权限控制。 ### 9. 集成测试 为了确保REST服务的正确性,我们需要编写集成...
SpringBoot 集成 Spring Security(9)——解决 UserNotFoundException 不抛出问题
Jitwxs
07-09 9787
一、前言 《SpringBoot 集成 Spring Security》系列文章,原本只是我自己学习后写的笔记,没想到受到大家的欢迎,能够对大家带来帮助,让我感到十分高兴。但说起来我也只是初学者,这一系列文章中可能也存在错误,本文是为了解决 UserNotFoundException 这个异常无法抛出而写出。 这个问题大致是这样的,我们知道 Spring Security 的验证处理是由某个 Pr...
Spring Security异常类记录
lao_hu_的博客
11-10 1472
1、Spring Security异常体系 Spirng Security中的异常共有两大类:AuthenticationException(认证异常)和AccessDeniedException(权限异常) 1.1、AuthenticationException(认证异常) AuthenticationException:认证异常的父类,抽象类 BadCredentialsException:登录凭证(密码)异常 InsufficientAuthenticationException:登陆凭证不够充
SpringBoot整合SpringSecurit(一)实现ajax的登录、退出、权限校验
最新发布
我是混IT圈的
05-28 681
1、本文章中SpringBoot整合SpringSecurity,只是基于session方式,并且没有使用到redis。2、登录、登出都是通过ajax的方式进行。
SpringSecurity 提示ProviderNotFoundException: No AuthenticationProvider found for ****
热门推荐
zhouzhiwengang的专栏
01-13 1万+
今天在实现SpringSecurity 集成多种认证方式:密码模式+ 验证码模式 时,密码模式正常返回执行并返回Token ,验证码模式:总是提示上述错误信息:ProviderNotFoundException: No AuthenticationProvider found for **** 问题解决: 报错代码发生在:ProviderManager.authenticate()方法的235行,错误源码输出如下: 源码上已经标识产生错误的原因: provider.authenticat.
SpringBoot集成 Spring Security出现UserNotFoundException 不抛出问题
做技术,贵在学习与坚持!
08-05 1721
最近项目中在使用Spring Security的token;在做退出和验证时,出现UserNotFoundException 不抛出问题; 当用户不存在时,只会抛出BadCredentialsException,而不是UsernameNotFoundException; 首先debug断点跟踪 进入该断点行中,根据断点信息已知 providers 一共只有1个,当前的 providers 是 DaoAuthenticationProvider 代码1: protected final U..
SpringSecurity hideUserNotFoundExceptions
Cheung
03-10 4715
项目中,使用SpringSecurity用户登录验证时,密码错误能够正常抛出异常, 但是用户不存在的情况却依然抛出密码错误的异常。。异常:总是抛出UsernameNotFoundException异常,打印出Badcredentials。原因:hideUserNotFoundExceptions属性默认为ture,会隐藏用户不存在的异常查看AbstractUserDetailsAuthentica
ReactorWebFlux:带webFlux的示例Java Reactor
02-12
.switchIfEmpty(Mono.error(new UserNotFoundException(userId))); } ``` 上述代码展示了如何使用`Mono`处理单个用户查询。如果用户不存在,将抛出异常。 **四、反应式编程的优势** 1. **非阻塞I/O**:反应式...
Understanding Transaction
03-30
这可以通过捕获并处理异常来实现,或者使用`TransactionTemplate`(在Spring框架中)进行更精细的控制。 总结,理解事务对于开发可靠的、数据一致性的应用程序至关重要。无论是源码层面的事务管理机制,还是工具...
HomeTaskWeek3
04-28
HomeTaskWeek3 实现Comparable []排序(Comparable []元素)方法。... 如果找不到用户,则应引发UserNotFoundException。 如果用户名或密码为空-WrongCredentialsException。 如果通过登录找到用户,
org.springframework.security.authentication.InternalAuthenticationServiceException
weixin_51146698的博客
03-22 9541
错误:org.springframework.security.authentication.InternalAuthenticationServiceException: Invalid bound statement (not found): com.fish.Mapper.UserMapper.selectUserByUsername 原因找不到xxxMapper.xml配置文件 解决:在配置文件中加入你的配置文件的地址 ...
SpringSecurity自定义多Provider时提示No AuthenticationProvider found for问题的解决方案与原理(一)
半斤米粉闯天下的博客
08-27 9528
SpringSecurity 5.6.X 自定义多Provider时No AuthenticationProvider found for问题的排查与修复
Spring Cloud & Alibaba 实战 | 总结篇】Spring Cloud Gateway + Spring Security OAuth2 + JWT 实现微服务统一认证授权和鉴权,
竹林幽深
10-08 5525
https://blog.51cto.com/u_12386660/4903587
SpringSecurity重写DaoAuthenticationProvider问题
tang_mu_yi的博客
09-03 2001
SpringSecurity重写DaoAuthenticationProvider问题
SpringSecurity自定义多Provider时提示No AuthenticationProvider found for问题的解决方案与原理(四)
半斤米粉闯天下的博客
08-29 4250
SpringSecurity 5.6.X 自定义多Provider时No AuthenticationProvider found for问题的排查与修复
SpringSecrurity AuthenticationProvider异常处理
我是天才的专栏
07-14 626
处理全局异常无法处理的异常
一个奇怪的登录需求
江南一点雨的专栏
09-27 1502
文章目录1. 问题再现2. 源码分析3. 登录流程4. 思路分析5. 具体实践6. 小结 一个奇怪的登录需求。 这是小伙伴们在微信群里的一个提问,我觉得很有意思: 虽然这并非一个典型需求,但是把这个问题解决了,有助于加深大家对于 Spring Security 的理解。 因此,松哥打算撸一篇文章和大家稍微聊聊这个话题。 1. 问题再现 可能有小伙伴还不明白这个问题,因此我先稍微解释一下。 当我们登录失败的时候,可能用户名写错,也可能密码写错,但是出于安全考虑,服务端一般不会明确提示是用户名写错了还是密码写
Spring Security OAuth2实现多用户类型认证、刷新Token
susu1083018911的博客
03-07 3764
loadUserByUsername携带多个参数
使用spring boot和jpa实现注册登录功能
06-02
在这个控制器中,我们使用了@RestController和@RequestMapping注释来指定它是一个Spring MVC控制器。我们还注入了UserService,以便我们可以使用它来处理与用户相关的业务逻辑。 我们添加了两个端点:registerUser...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值