SpringBoot 集成 Spring Security(9)——解决 UserNotFoundException 不抛出问题

最新推荐文章于 2022-02-18 14:24:28 发布
最新推荐文章于 2022-02-18 14:24:28 发布
阅读量9.8k 收藏 51
点赞数 12
分类专栏: # Spring Security 5 文章标签: spring security UserNotFoundException
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanlaijike/article/details/95104553
版权

一、前言

《SpringBoot 集成 Spring Security》系列文章,原本只是我自己学习后写的笔记,没想到受到大家的欢迎,能够对大家带来帮助,让我感到十分高兴。但说起来我也只是初学者,这一系列文章中可能也存在错误,本文是为了解决 UserNotFoundException 这个异常无法抛出而写出。

这个问题大致是这样的,我们知道 Spring Security 的验证处理是由某个 Provider 处理的,在 Provider 中通过对应的 UserDetailsService 的 loadUserByUsername() 来决定如何加载数据库中的用户信息。

《SpringBoot集成Spring Security(3)——异常处理》 代码为例,采用默认的用户名密码登陆方式,我们在 CustomUserDetailsService 类中,有这么一行代码:

@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
	...
    // 判断用户是否存在
    if(user == null) {
        throw new UsernameNotFoundException("用户名不存在");
    }

	...
}

但是实际运行后你会发现,当用户不存在时,只会抛出 BadCredentialsException,而不是 UsernameNotFoundException,百度下后发现这个问题的人不在少数。在本文中,我将介绍为什么会无法抛出 UsernameNotFoundException,以及如何解决这个问题。

二、导致的原因是什么?

首先说明,出现这种情况只有在你使用默认的用户名密码登陆方式,且没有自定义 Provider 的情况下,才会发生!如果你有自定义 Provider,仍然出现这个问题,说明代码写的有问题,这一点在后面我会说。

由提供的源码地址中,第三章和第四章两篇文章是一个项目。分别是 springboot_security03springboot_security03_filter。由于前者是自定义 Provider 实现,因此理论上不会出现这个问题,所以我们以后者代码为例。

运行 springboot_security03_filter 项目,发现当用户不存在时,的确抛出的是 BadCredentialsException。我们给抛出异常那行代码加断点,进行调试。

@Service("userDetailsService")
public class CustomUserDetailsService implements UserDetailsService {
	...
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        ...
        if (user == null) {
            throw new UsernameNotFoundException("用户名不存在");  // TODO 该行断点
        }
        ...
    }
}

给 org.springframework.security.authentication.ProviderManager,Line 174 加上断点,该行是 provider 调用 UserDetailsService 位置。

运行后,首先进入该断点行中,根据断点信息已知 providers 一共只有1个,当前的 providers 是 DaoAuthenticationProvider。

DaoAuthenticationProvider 是 Spring Security 默认的用户名密码登陆的处理 provider,符合预期。跳到下一断点处,此时进入 UserDetailsService,由于用户不存在,跳转到异常抛出处。

下面采用单步调试,如图所示,抛出异常后在 DaoAuthenticationProviderretrieveUser() 方法中被捕获。随后执行了 mitigateAgainstTimingAttack() 方法,虽然我没看出这方法有啥实际作用。但这不重要,最后将该异常又抛出去了。

被抛到了 DaoAuthenticationProvider 的父类 AbstractUserDetailsAuthenticationProvider 的 authenticate() 方法中。如图所示,在 catch 到 UsernameNotFoundException 后,有个关键的 hideUserNotFoundExceptions 变量。当 hideUserNotFoundExceptions 为true 时,在这个地方被重新包装成了 BadCredentialsException 抛出去。

检查后发现 true 为其默认值,这就是导致 UserNotFoundException 无法抛出的原因。

三、如何解决?

解决的办法也很简单,我们只要想办法把这个变量默认值改掉就好了。因此我们需要手动注入 DaoAuthenticationProvider,在注入时候把值改了。WebSecurityConfig 类改动如下:

首先自己注入下 DaoAuthenticationProvider:

@Bean
public DaoAuthenticationProvider authenticationProvider() {
    DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
    provider.setHideUserNotFoundExceptions(false);
    provider.setUserDetailsService(userDetailsService);
    provider.setPasswordEncoder(passwordEncoder());
    return provider;
}

通过调用 setHideUserNotFoundExceptions 改变其默认值,这样就 OK 啦!同时这里需要指定加密方式和 UserDetailsService,因此原本默认的全局配置 config() 方法就可以不要了,删除方法:

//    @Override
//    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
//        auth.userDetailsService(userDetailsService).passwordEncoder(new PasswordEncoder() {
//            @Override
//            public String encode(CharSequence charSequence) {
//                return charSequence.toString();
//            }
//
//            @Override
//            public boolean matches(CharSequence charSequence, String s) {
//                return s.equals(charSequence.toString());
//            }
//        });
//    }

这里将加密方式也注入 bean,方便调用:

 @Bean
 public PasswordEncoder passwordEncoder() {
     return new PasswordEncoder() {
         @Override
         public String encode(CharSequence charSequence) {
             return charSequence.toString();
         }

         @Override
         public boolean matches(CharSequence charSequence, String s) {
             return s.equals(charSequence.toString());
         }
     };
 }

重新运行程序,已经没毛病了:

四、勘误

这一小节的题目为“勘误”,勘的就是我前面几篇文章,以及博客示例程序中的错误。错误的发现是当我运行 springboot_security03 项目时,依然出现了这个问题。而那个项目采用的是自定义 provider,如果你已经明白这个错误的缘由后,就会知道这个错误的根本原因是 DaoAuthenticationProvider 的父类 AbstractUserDetailsAuthenticationProvider 中存在变量来控制是否将异常进行包装。

那么我自己定义 provide,跟这 DaoAuthenticationProvider 屁关系都没有,怎么也会出现这个错误呢,显然代码是有毛病的。

因此我运行 springboot_security03 后,也在 ProviderManager Line 174 行断点调试后,发现 providers 竟然是两个,DaoAuthenticationProvider 也在列。

此时我还没发现问题,我继续单步调试,自己定义的 provider 中的确把 UsernameNotFoundException 跑出去了,我正高兴了,突然发现它竟然又跳入了下一次循环,此时 provider 是 DaoAuthenticationProvider,且它通过了provider.supports() 校验,开始进入 正式执行流程了。

我暗道不好,根据前文我们知道 DaoAuthenticationProvider 默认最后把 UsernameNotFoundException 包装成了 BadCredentialsException。当 providers 循环遍历结束后,取了 lastException,并把它抛出去。

由于是先执行 CustomAuthenticationProvider 后执行 DaoAuthenticationProvider,故最终自定义的 provider 的 UsernameNotFoundException,被 DaoAuthenticationProvider 的 BadCredentialsException 给覆盖了。

发现问题了,下面开始解决问题,大致有以下三种方案。

Plan A: 我们在 provider 循环中让 CustomAuthenticationProvider 和 DaoAuthenticationProvider 掉个顺序不就好了?

咳咳,不得不说真是一个十分糟主意,虽然我没咋研究 providers 的顺序是咋生成的,暂且认为是字典序吧,我难道自定义 providrs 还得考虑首字母命名顺序吗? PASS!

Plan B: 根据《SpringBoot集成Spring Security(7)——认证流程》,我们知道如果我们要自定义一种登陆方式,那么 xxxProvider、xxxUserDetailsService、xxxToken,这三个应该是一体的。

provider 决定了调用哪个 userDetailsService,support() 方法决定了这个 provider 支持的 token。但是我在这个项目中偷了懒,我只自定义了 provider 和 userDetailsService,却没有定义专属的 token,而是使用 UsernamePasswordAuthenticationToken。

那么 UsernamePasswordAuthenticationToken 将会同时被我的 provider 以及 DaoAuthenticationProvider 所支持。那么 PlanB 就是定义一个专属的 token,跟《SpringBoot 集成 Spring Security(8)——短信验证码登录》一样。

这的确是一个好主意,而且我认为这也是 Spring Security 在非 DEMO 项目中正确的使用方式,provider + userDetailsService + token 三者捆绑。

然而这毕竟只是一个 demo,而且还是第三章的 demo,考虑到入手难度,不想引入太多的类。PASS!

Plan 3: 换个思路,这个 DaoAuthenticationProvider 是咋加进去,如果它不在 providers 循环中,不就没问题了?

修改 WebSecurityConfig 类如下图,去除了 auth .userDetailsService(userDetailsService).passwordEncoder(passwordEncoder()) 配置,这会导致将 DaoAuthenticationProvider 加入到 providers 集合中。

我参考 https://blog.csdn.net/wzl19870309/article/details/70314085 这篇文章,找到了解决方案。

Jitwxs
关注
  • 12
    点赞
  • 51
    收藏
    觉得还不错? 一键收藏
  • 19
    评论
专栏目录
Spring Security教程(7)---- 解决UsernameNotFoundException无法被捕获的问题
jaune162的专栏,最新动态请关注:https://jaune162.blog
01-16 2万+
这个教程是我在往项目中一点一点添加 Spring Security的过程的一个笔记,也是我学习 Spring Security的一个过程。 在解决这个问题之前要先说一点authentication-provider默认加载的是DaoAuthenticationProvider类。 完成了上一章的内容后在测试的时候发现在UserDetailsService中抛出的UsernameNotFound
SpringBoot整合SpringSecurit(一)实现ajax的登录、退出、权限校验
最新发布
我是混IT圈的
05-28 704
1、本文章中SpringBoot整合SpringSecurity,只是基于session方式,并且没有使用到redis。2、登录、登出都是通过ajax的方式进行。
SpringBoot集成 Spring Security出现UserNotFoundException抛出问题
做技术,贵在学习与坚持!
08-05 1726
最近项目中在使用Spring Security的token;在做退出和验证时,出现UserNotFoundException抛出问题; 当用户不存在时,只会抛出BadCredentialsException,而不是UsernameNotFoundException; 首先debug断点跟踪 进入该断点行中,根据断点信息已知 providers 一共只有1个,当前的 providers 是 DaoAuthenticationProvider 代码1: protected final U..
SpringBoot整合Spring Security——第三章异常处理
境里婆娑
08-05 1095
文章目录一、常见异常二、源码分析三、处理异常四、拓展spring security authenticationProvider用法及关闭不隐藏UserNotFoundException解决 不知道你有没有注意到,当我们登陆失败时候,Spring security 帮我们跳转到了 /login?error Url,奇怪的是不管是控制台还是网页上都没有打印错误信息。 这是因为首先 /login?...
spring security authenticationProvider用法及关闭不隐藏UserNotFoundException解决
Luxy_wang的博客
04-21 1万+
这两天采用了spring security做登录验证,上一篇说到了增加图形验证码的解决办法,我们在config中增加了一个authenticationProvider的实现类。接下来我遇到的问题是用户登录失败(用户不存在或密码错误)之后,security框架直接返回的是验证失败。而我的需求是将用户不存在和密码错误区分开来,然后做不同的后续工作
【晓时代】SpringBoot + Jpa + Security 简单实例
Negen.H
01-18 2万+
文章目录零、项目结构一、创建数据库二、创建项目三、修改application.properties 文件名为 application.yml 并写入如下配置四、创建实体类,并创建 UserRepository.java五、更改账号验证方式,自定义UserDetailsService六、自定义配置类七、创建测试类新增一条用户记录八、测试九、示例下载地址https://github.com/Negen...
关于springsecurity无法捕获UsernameNotFoundException解决办法
小羊的小窝
02-18 2289
UserDetailsService代码如下,当根据用户名查询不到用户信息时,我们抛出UsernameNotFoundException异常,按预想,只需要捕获该异常,便可在用户名错误时给用户提示 然而实际运行时,无论用户名不存在还是密码错误,均抛出BadCredentialsException异常,无法知道登录失败的具体原因,经过debug发现,正是在这个地方做了判断,当hideUserNotFoundExceptions为false时,抛出UserNotFoundException异常,而true时.
springboot日记(二)spring security的配置
六六先森的博客
05-24 371
spring securityspring全家桶里的权限控制系统,本质上是一堆过滤器组合而成的。 在我的简历项目中权限控制模块就是利用了spring security模块,实行三级权力控制。 因此,springboot中学会怎么样使用权限控制模块是十分便利的。 一、建立项目 为了方便起见,在建立时选中以下几个选项: 这样就直接集成了模板引擎Thymeleaf,数据库引擎...
SpringSecurity系列文章学习笔记
weixin_38370441的博客
04-13 873
SpringSecurity系列文章学习笔记学习链接第一篇:入门程序第二篇:自动登录第三篇:异常处理第四篇:自定义表单登录第五章:权限控制第六章:登录管理第七章:认证流程第八章:短信验证码登录 学习链接 https://blog.csdn.net/yuanlaijike/category_9283872.html 第一篇:入门程序 文章目录: 一、导入依赖 二、创建数据库 三、准备页面 四、配置application.properties 配置了数据库驱动、URL、账户密码、开启mybatis的部分配置 五
spring aop action中验证用户登录状态的实例代码
08-29
2. 通过spring写一个advice来获取session中的userId,判断用户登录状态,如果userId不符合,则抛出自定义异常 3. 通过struts中配置来捕获异常,跳转界面 在实现该功能时,我们需要创建一个advice来获取session中的...
Spring3.0 rest 实例
06-21
对于生产环境,我们需要考虑安全性,如使用Spring Security进行身份验证和授权。可以结合`@PreAuthorize`、`@PostAuthorize`等注解进行权限控制。 ### 9. 集成测试 为了确保REST服务的正确性,我们需要编写集成...
ReactorWebFlux:带webFlux的示例Java Reactor
02-12
如果用户不存在,将抛出异常。 **四、反应式编程的优势** 1. **非阻塞I/O**:反应式编程模型允许在等待I/O操作完成时执行其他任务,从而提高并发性和资源利用率。 2. **背压**:Reactor支持背压机制,可以防止下游...
HomeTaskWeek3
04-28
HomeTaskWeek3 实现Comparable []排序(Comparable []元素)方法。... 如果找不到用户,则应引发UserNotFoundException。 如果用户名或密码为空-WrongCredentialsException。 如果通过登录找到用户,
Understanding Transaction
03-30
在这个例子中,如果`updateUser`方法中抛出任何异常,事务将会回滚,确保不会因部分更新导致数据不一致。 此外,我们还可以自定义事务边界,比如在特定情况下手动提交或回滚事务。这可以通过捕获并处理异常来实现,...
SpringBoot集成Spring Security(1)——入门程序
热门推荐
Jitwxs
05-09 7万+
因为项目需要,第一次接触Spring Security,早就听闻Spring Security强大但上手困难,今天学习了一天,翻遍了全网资料,才仅仅出入门道,特整理这篇文章来让后来者少踩一点坑(本文附带实例程序,请放心食用) 预警: 如果你仅仅是学习一个安全框架,不推荐使用Spring Security!!!!推荐学习Apache Shiro,配置简单易上手,该有功能它都有,可以...
SpringBoot集成Spring Security(7)——认证流程
Jitwxs
12-02 6万+
文章目录一、认证流程二、多个请求共享认证信息三、获取用户认证信息 在前面的六章中,介绍了 Spring Security 的基础使用,在继续深入向下的学习前,有必要理解清楚 Spring Security 的认证流程,这样才能理解为什么要这样写代码,也方便后续的扩展。 一、认证流程 上图是 Spring Security 认证流程的一部分,下面的讲解以上图为依据。 (1) 用户发起表单登...
SpringBoot 集成 Spring Security(8)——短信验证码登录
Jitwxs
01-09 3万+
经过前面七章的学习,我们已经算入门 Spring Security 了,下面我们学习如何对 Spring Security 进行扩展,来实现短信验证码方式登录。 注意: 为了方便讲解,本篇文章代码直接在 《SpringBoot集成Spring Security(1)——入门程序》 上进行开发。 并且为了省去与本篇主题无关的代码,短信验证码只是一个模拟。如果你需要具体的实际例子,在下面的源码中除了包...
springboot security jwt aouth2整合完整代码
05-26
这是一个基于Spring Boot、Spring Security、JWT和OAuth2的示例项目,实现了用户注册、登录、注销、刷新令牌、访问受保护资源等功能。 ## 技术栈 - Spring Boot 2.5.4 - Spring Security 5.5.1 - Spring Data JPA 2.5.4 - MySQL 8.0.26 - JWT 0.11.2 - OAuth2 2.5.4 - Lombok 1.18.20 ## 数据库配置 在MySQL数据库中新建一个名为`springboot_security_jwt_oauth2`的数据库,执行以下SQL语句创建用户表: ```sql CREATE TABLE `user` ( `id` bigint(20) NOT NULL AUTO_INCREMENT COMMENT '主键ID', `username` varchar(255) NOT NULL COMMENT '用户名', `password` varchar(255) NOT NULL COMMENT '密码', `enabled` tinyint(1) NOT NULL DEFAULT '1' COMMENT '是否启用', `create_time` datetime NOT NULL COMMENT '创建时间', PRIMARY KEY (`id`), UNIQUE KEY `uk_username` (`username`) ) ENGINE=InnoDB AUTO_INCREMENT=1 DEFAULT CHARSET=utf8mb4 COMMENT='用户表'; ``` ## 项目结构 ``` ├── src/main/java │ └── com │ └── example │ └── demo │ ├── DemoApplication.java │ ├── config │ │ ├── JwtConfig.java │ │ ├── MyPasswordEncoder.java │ │ └── SecurityConfig.java │ ├── controller │ │ ├── LoginController.java │ │ └── UserController.java │ ├── dao │ │ ├── UserRepository.java │ │ └── UserRoleRepository.java │ ├── entity │ │ ├── User.java │ │ └── UserRole.java │ ├── exception │ │ ├── JwtAuthenticationException.java │ │ └── UserNotFoundException.java │ ├── service │ │ ├── AuthService.java │ │ ├── UserService.java │ │ └── impl │ │ ├── AuthServiceImpl.java │ │ └── UserServiceImpl.java │ ├── util │ │ ├── JwtTokenUtil.java │ │ └── JwtUserDetailsService.java │ └── web │ ├── JwtAuthenticationEntryPoint.java │ ├── JwtAuthenticationFilter.java │ ├── JwtAuthorizationFilter.java │ ├── RestResponse.java │ └── UserNotFoundExceptionHandler.java └── src/main/resources ├── application.properties ├── static └── templates ``` - `config`:Spring Security和JWT的配置类 - `controller`:控制器类,处理请求和响应 - `dao`:数据访问层,使用Spring Data JPA实现 - `entity`:实体类 - `exception`:异常类 - `service`:服务层接口和实现类 - `util`:工具类,包括JWT生成和解析、用户认证等 - `web`:Web相关类,包括异常处理、JWT过滤器等 ## API文档 ### 用户注册 - URL:`/api/register` - Method:POST - Request: ```json { "username": "test", "password": "123456" } ``` - Response: ```json { "code": 200, "message": "注册成功", "data": { "id": 1, "username": "test", "password": "$2a$10$8uFJ3zZB.Sd7K3YB2K3Y/OfVhF4oJXeS3j0R2A3RG1c2UJWuXkSdC", "enabled": true, "createTime": "2021-10-01T08:16:28.000+00:00" } } ``` ### 用户登录 - URL:`/api/login` - Method:POST - Request: ```json { "username": "test", "password": "123456" } ``` - Response: ```json { "code": 200, "message": "登录成功", "data": { "accessToken": "eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJ0ZXN0Iiwicm9sZXMiOiJST0xFX1VTRVIiLCJleHAiOjE2MzI5NjQwODh9.5Syf8x3CZaLl0yHrXyXjJ4Qz4jJnVR3S4yIDg6GQ6puknFkJ9QWgJzJ5pB0tZzHfrGz2K1VJvJkHrOjLUQJWzA", "tokenType": "Bearer", "expiresIn": 3600 } } ``` ### 用户注销 - URL:`/api/logout` - Method:POST - Request Header: ``` Authorization: Bearer eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJ0ZXN0Iiwicm9sZXMiOiJST0xFX1VTRVIiLCJleHAiOjE2MzI5NjQwODh9.5Syf8x3CZaLl0yHrXyXjJ4Qz4jJnVR3S4yIDg6GQ6puknFkJ9QWgJzJ5pB0tZzHfrGz2K1VJvJkHrOjLUQJWzA ``` - Response: ```json { "code": 200, "message": "注销成功" } ``` ### 刷新令牌 - URL:`/api/refresh` - Method:POST - Request Header: ``` Authorization: Bearer eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJ0ZXN0Iiwicm9sZXMiOiJST0xFX1VTRVIiLCJleHAiOjE2MzI5NjQwODh9.5Syf8x3CZaLl0yHrXyXjJ4Qz4jJnVR3S4yIDg6GQ6puknFkJ9QWgJzJ5pB0tZzHfrGz2K1VJvJkHrOjLUQJWzA ``` - Response: ```json { "code": 200, "message": "刷新令牌成功", "data": { "accessToken": "eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJ0ZXN0Iiwicm9sZXMiOiJST0xFX1VTRVIiLCJleHAiOjE2MzI5NjQxMzQsImlhdCI6MTYzMjk2MDUzNH0.2hWq8dLJ7s9G6MqQ8Gg7kNvGzeOaJQFb4eBZ9RcB6N8lP3kglz8W_KXMh8r4oJZkzy5HOVZrB5YSEKNxZyY5lg", "tokenType": "Bearer", "expiresIn": 3600 } } ``` ### 获取当前用户信息 - URL:`/api/user/info` - Method:GET - Request Header: ``` Authorization: Bearer eyJhbGciOiJIUzUxMiJ9.eyJzdWIiOiJ0ZXN0Iiwicm9sZXMiOiJST0xFX1VTRVIiLCJleHAiOjE2MzI5NjQxMzQsImlhdCI6MTYzMjk2MDUzNH0.2hWq8dLJ7s9G6MqQ8Gg7kNvGzeOaJQFb4eBZ9RcB6N8lP3kglz8W_KXMh8r4oJZkzy5HOVZrB5YSEKNxZyY5lg ``` - Response: ```json { "code": 200, "message": "获取用户信息成功", "data": { "id": 1, "username": "test", "password": null, "enabled": true, "createTime": "2021-10-01T08:16:28.000+00:00", "authorities": [ { "authority": "ROLE_USER" } ] } } ``` ### 获取所有用户信息 - URL:`/api/user/all` - Method:GET - Response: ```json { "code": 200, "message": "获取所有用户信息成功", "data": [ { "id": 1, "username": "test", "password": null, "enabled": true, "createTime": "2021-10-01T08:16:28.000+00:00", "authorities": [ { "authority": "ROLE_USER" } ] } ] } ``` ## 完整代码 完整代码请参考[GitHub](https://github.com/zhongshijun/springboot-security-jwt-oauth2)。
评论 19
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值