SpringSecurity中loadUserByUsername方法无法正常捕获异常的问题
最近在做动态权限,整合了SpringSecurity。在使用SpringSecurity 做用户认证功能的时候,重写了loadUserByUsername方法并且在方法内判断用户是否为空,如果为空就抛出自定义的UserException异常。前端捕获到就反馈相应信息。代码如下:本以为如上代码会正常抛出UserException,但是在测试之后并没有按照预想的走...
最近在做动态权限,整合了SpringSecurity。在使用SpringSecurity 做用户认证功能的时候,重写了loadUserByUsername方法并且在方法内判断用户是否为空,如果为空就抛出自定义的UserException异常。前端捕获到就反馈相应信息。代码如下:
// 校验用户名密码是否为空
if(StringUtils.isEmpty(username)) throw new UserException(UserCodeEnum.USERNAME_IS_EMPTY);
// 查询用户
User userFromDB = userMapper.selectOne(new QueryWrapper<User>().eq("username", username));
// 判断用户是否为空或账号不存在
if(null == userFromDB){
throw new UserException(UserCodeEnum.USER_NOT_FOUNT);
}
// 查询登录用户的权限列表
Set<String> permissions = permissionMapper.queryPermissions(userFromDB.getId());
if(!CollectionUtils.isEmpty(permissions)){
userFromDB.setPermissions(permissions);
}
return userFromDB;
}
本以为如上代码会正常抛出UserException,但是在测试之后并没有按照预想的走,而是抛出了下面的异常
经过排查发现走了UsernamePasswordAuthenticationFilter的unsuccessfulAuthentication异常,但是这样我们根本无法区别是用户名不存在还是密码错误。一般情况下可以直接反馈用户名或密码异常。不过我还是想知道为什么我抛出的异常没有被捕获。于是开始DEBUG。发现确实抛出了UserException异常,但是我写的全局异常处理并没有捕获到。
反而抛了一个InternalAuthenticationServiceException
走进第一行信息查看原因,在DaoAuthenticationProvider的找到了原因。原来Security会自动将我们的异常替换成InternalAuthenticationServiceException。
同样在这个类中可以看到密码校验的逻辑,密码校验失败会抛出BadCredentialsException异常,这个异常和上面抛出的InternalAuthenticationServiceException都继承与AuthenticationException。
所以,在SpringSecurity中,所有和身份认证相关的异常都会统一处理。包括用户名不存在,密码异常或者状态异常等。都会统一抛出401身份认证失败的异常。
解决方法
1.前端直接拦截401异常,直接反馈用户账号不存在或密码错误。(图个方便)。
2.在全局异常中捕获AuthenticationException在判断是何种异常。例如BadCredentialsException就反馈密码错误,UsernameNotFountException就反馈用户不存在。当然也可以自定义异常去继承AuthenticationException。(猜想)
3.自己加一个过滤器
更多推荐
所有评论(0)