spring security oauth2中UsernameNotFoundException无法在认证失败后被捕获的问题

已于 2023-12-14 13:42:01 修改
阅读量3.3k 收藏
点赞数 1
文章标签: spring java 前端
于 2020-11-24 11:30:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhom_w/article/details/109995257
版权
1.问题描述:

在认证失败后UsernameNotFoundException异常会被默认转换成BadCredentialsException异常,导致不能捕获到UsernameNotFoundException, 一般来说UsernameNotFoundException是用户名错误导致的登录失败,BadCredentialsException是用户名或者密码错误导致的登录失败。如果我们能捕获到UsernameNotFoundException就能很好的区分登录失败是哪种具体的原因,以便在某些时候做一些对应的逻辑处理。

2.解决方案:

在AbstractUserDetailsAuthenticationProvider中有这么一段代码:

public Authentication authenticate(Authentication authentication)
			throws AuthenticationException {
		//...
			
		if (user == null) {
			cacheWasUsed = false;

			try {
				user = retrieveUser(username,
						(UsernamePasswordAuthenticationToken) authentication);
			}
			catch (UsernameNotFoundException notFound) {
				logger.debug("User '" + username + "' not found");

				if (hideUserNotFoundExceptions) {
					throw new BadCredentialsException(messages.getMessage(
							"AbstractUserDetailsAuthenticationProvider.badCredentials",
							"Bad credentials"));
				} else {
					throw notFound;
				}
			}

			Assert.notNull(user,
					"retrieveUser returned null - a violation of the interface contract");
		}

		// ...
	}

可以看到hideUserNotFoundExceptions为true的时候UsernameNotFoundException就会被转换成BadCredentialsException异常,而hideUserNotFoundExceptions的默认值是true,所以我们只需要修改hideUserNotFoundExceptions为false即可解决问题。以下是具体方案:

在WebSecurityConfigurerAdapter的实现类配置中添加如下配置:

@Primary
@Order(90)
@Configuration
public class WebSecurityConfigurer extends WebSecurityConfigurerAdapter {
	@Autowired
	private UserDetailsService userDetailsService;
	//...
	
	@Override
	public void configure(AuthenticationManagerBuilder auth) {
		auth.authenticationProvider(authenticationProvider());
	}
	
	//可以配置成一个Bean
	private DaoAuthenticationProvider authenticationProvider() {
		DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
		//设置hideUserNotFoundExceptions为false
		provider.setHideUserNotFoundExceptions(false);
		//userDetailsService是你自己的userDetailsService实现类,
		//UsernameNotFoundException就是其中抛出来的
		provider.setUserDetailsService(userDetailsService);
		provider.setPasswordEncoder(passwordEncoder());
		return provider;
	}
	
    //...
}

认证失败事件处理:

import org.springframework.context.ApplicationListener;
import org.springframework.security.authentication.event.AbstractAuthenticationFailureEvent;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

@Component
public class AuthenticationFailureEvenHandler implements ApplicationListener<AbstractAuthenticationFailureEvent> {
	@Override
	public void onApplicationEvent(AbstractAuthenticationFailureEvent event) {
		AuthenticationException authenticationException = event.getException();
		Authentication authentication = (Authentication) event.getSource();
		handle(authenticationException, authentication);
	}

	public void handle(AuthenticationException exc, Authentication auth){
		//获取一些参数
		String username = (String)auth.getPrincipal();
		Map<String,Object> params= (Map<String,Object>)auth.getDetails();
		
		if (exc instanceof BadCredentialsException){
			//密码错误导致的登录失败
			//TODO...
		}else if(exc instanceof UsernameNotFoundException){
			//用户名不存在导致的登录失败
			//TODO...
		}
	}
}
咘噜biu
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
Spring Boot + Spring Security解决UsernameNotFoundException无法捕获问题
qq_42182065的博客
04-27 2188
以下配置基于spring boot版本1.4.2.RELEASE,默认引入的spring security版本为4.1.3.RELEASE,页面模板采用thymeleaf。 在MyUserDetailsService实现了UserDetailsService接口以后,在重写的loadUserByUsername方法里验证用户名不存在时,我们会抛出一个UsernameNotFoundExceptio...
详解最简单易懂的Spring Security 身份认证流程讲解
08-26
Spring Security ,我们可以使用 AuthenticationManager 来管理认证过程。AuthenticationManager 是一个接口,需要我们实现它的 authenticate 方法。这个方法将用户的信息传递给我们,然后我们可以根据用户的...
Spring Boot + Spring Security Oauth2 捕获UsernameNotFoundException 并处理
Return_Code的专栏
05-21 1493
在网上找了不少关于UsernameNotFoundException捕获的帖子,捕获成功后每次用户名错误会在控制台打印大段的异常信息,用统一异常处理也无法处理。 配置捕获UsernameNotFoundException,在 WebSecurityConfigurer 配置provider.setHideUserNotFoundExceptions(false) @Bean public DaoAuthenticationProvider authenticationProvid..
SpringSecurity如何自定义用户认证逻辑?
最新发布
java永无止境!
06-11 454
Spring Security 用于从数据库、LDAP 或其他任何地方检索用户信息的策略接口。你可以通过实现此接口来定义如何检索用户信息。实现首先,创建一个实现接口的类。你需要重写方法来定义加载用户的逻辑。
Spring Security教程(7)---- 解决UsernameNotFoundException无法捕获问题
chongmiandun5173的博客
02-28 430
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/jaune161/article/details/18359321 这个教程是我在往项目一点一点添加Spring Security的过程的一个笔记,也是我学习Spring ...
Spring-Security无法正常捕捉到UsernameNotFoundException异常
weixin_46246967的博客
05-02 185
Spring-Security无法正常捕捉到UsernameNotFoundException异常
springSecurity 不能抛出异常UserNameNotFoundException 解析
weixin_34365635的博客
01-19 1646
通过查看源码可得知: 1. 前言 抽象类AbstractUserDetailsAuthenticationProvider 接口抛出异常AuthenticationException 下面源码注释这么描述 * * @throws AuthenticationException if the credentials c...
关于springsecurity无法捕获UsernameNotFoundException的解决办法
小羊的小窝
02-18 2306
UserDetailsService代码如下,当根据用户名查询不到用户信息时,我们抛出UsernameNotFoundException异常,按预想,只需要捕获该异常,便可在用户名错误时给用户提示 然而实际运行时,无论用户名不存在还是密码错误,均抛出BadCredentialsException异常,无法知道登录失败的具体原因,经过debug发现,正是在这个地方做了判断,当hideUserNotFoundExceptions为false时,抛出UserNotFoundException异常,而true时.
Spring Security详细介绍及使用含完整代码(值得珍藏)
02-08
通过本篇文章的学习,你不仅了解了Spring Security的基本原理和使用方法,还学习了如何在Spring Boot项目集成和配置Spring Security。这对于开发安全稳定的企业应用来说至关重要。希望你能通过实践进一步掌握...
Spring Security自定义登录原理及实现详解
09-07
在本文,我们将深入探讨Spring Security的自定义登录原理和实现,这对于理解和构建安全的Web应用程序至关重要。Spring Security是一个强大的安全框架,提供了丰富的功能来保护我们的应用程序,包括用户认证、授权...
SpringSecurity.zip
07-30
2. **授权**:一旦用户被认证SpringSecurity会决定他们可以访问哪些资源。这可以通过权限控制(如基于角色的访问控制RBAC)或者更细粒度的访问表达式来实现。 3. **过滤器链**:SpringSecurity的核心是HTTP请求...
Spring security4.1 文版参考手册 PDF版
11-06
Spring Security 4.1版本,有以下几个关键知识点: 1. **身份验证(Authentication)**:Spring Security提供了一套完整的身份验证机制,包括基于内存、数据库、ldap等多种方式的用户认证。手册会详细介绍如何...
springSecurity UsernameNotFoundException无法抛出
小马的博客
08-10 2294
目录项目环境问题描述百度的解决方案方案1 --------(配置了无效)修改WebSecurityConfig配置,添加AuthenticationProvider Bean配置AuthenticationProvider Bean方案2 --------(没看懂)解决方法 项目环境 SpringBoot 2.3.1 spring-boot-starter-security 2.3.0 问题描述 使用SpringBoot + SpringSecurity做权限拦截,实现UserDetailsService进
jdk11,springboot2.6.7环境下的UsernameNotFoundException和i18n配置
u012362485的博客
05-11 1067
一、事情是这样的 有一天,看到这个代码的时候: @Service public class UserDetailsServiceImpl implements UserDetailsService { private final UserService userService; @Autowired public UserDetailsServiceImpl(UserService userService) { this.userService = userS
异常:Parameter ‘username‘ not found. Available parameters are [arg1, arg0, param1, param2]
weixin_46246967的博客
04-20 193
异常:Parameter 'username' not found. Available parameters are [arg1, arg0, param1, param2]
Spring security登录 显示用户名不存在或者密码错误
jiey0407的博客
04-08 2686
本文章只是做简单记录下曾经踩到坑,如果有什么别的想法,也可以提点宝贵的意见 1、整合spring security,我就不过多的介绍; 2、区分这两个错误之前,需要判断为什么会用户名或者密码错误时都返回相同的异常。 原因: 解决思路:将此属性配置为false. 具体的操作: 1、在security配置类编写DaoAuthenticationProvider,将hideUserNotFoundExceptions设置成false 2、在重写的configure方法配置DaoAuthentication
Spring Security报错:Bad credentials 若依微信小程序登录报错:(用户不存在/密码错误)
m0_64776123的博客
03-04 751
Spring Security报错:Bad credentials 若依微信小程序登录报错:(用户不存在/密码错误)
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值