最近在做动态权限，整合了SpringSecurity。在使用SpringSecurity 做用户认证功能的时候，重写了loadUserByUsername方法并且在方法内判断用户是否为空，如果为空就抛出自定义的UserException异常。前端捕获到就反馈相应信息。代码如下：

        // 校验用户名密码是否为空
        if(StringUtils.isEmpty(username)) throw new UserException(UserCodeEnum.USERNAME_IS_EMPTY);
        // 查询用户
        User userFromDB = userMapper.selectOne(new QueryWrapper<User>().eq("username", username));
        // 判断用户是否为空或账号不存在
        if(null == userFromDB){
            throw new UserException(UserCodeEnum.USER_NOT_FOUNT);
        }
        // 查询登录用户的权限列表
        Set<String> permissions = permissionMapper.queryPermissions(userFromDB.getId());
        if(!CollectionUtils.isEmpty(permissions)){
            userFromDB.setPermissions(permissions);
        }

        return userFromDB;
    }

本以为如上代码会正常抛出UserException，但是在测试之后并没有按照预想的走，而是抛出了下面的异常

经过排查发现走了UsernamePasswordAuthenticationFilter的unsuccessfulAuthentication异常，但是这样我们根本无法区别是用户名不存在还是密码错误。一般情况下可以直接反馈用户名或密码异常。不过我还是想知道为什么我抛出的异常没有被捕获。于是开始DEBUG。发现确实抛出了UserException异常，但是我写的全局异常处理并没有捕获到。

反而抛了一个InternalAuthenticationServiceException

走进第一行信息查看原因，在DaoAuthenticationProvider的找到了原因。原来Security会自动将我们的异常替换成InternalAuthenticationServiceException。

同样在这个类中可以看到密码校验的逻辑，密码校验失败会抛出BadCredentialsException异常，这个异常和上面抛出的InternalAuthenticationServiceException都继承与AuthenticationException。

所以，在SpringSecurity中，所有和身份认证相关的异常都会统一处理。包括用户名不存在，密码异常或者状态异常等。都会统一抛出401身份认证失败的异常。

解决方法

1.前端直接拦截401异常，直接反馈用户账号不存在或密码错误。(图个方便)。
2.在全局异常中捕获AuthenticationException在判断是何种异常。例如BadCredentialsException就反馈密码错误，UsernameNotFountException就反馈用户不存在。当然也可以自定义异常去继承AuthenticationException。(猜想)
3.自己加一个过滤器