最近在做动态权限,整合了SpringSecurity。在使用SpringSecurity 做用户认证功能的时候,重写了loadUserByUsername方法并且在方法内判断用户是否为空,如果为空就抛出自定义的UserException异常。前端捕获到就反馈相应信息。代码如下:

        // 校验用户名密码是否为空
        if(StringUtils.isEmpty(username)) throw new UserException(UserCodeEnum.USERNAME_IS_EMPTY);
        // 查询用户
        User userFromDB = userMapper.selectOne(new QueryWrapper<User>().eq("username", username));
        // 判断用户是否为空或账号不存在
        if(null == userFromDB){
            throw new UserException(UserCodeEnum.USER_NOT_FOUNT);
        }
        // 查询登录用户的权限列表
        Set<String> permissions = permissionMapper.queryPermissions(userFromDB.getId());
        if(!CollectionUtils.isEmpty(permissions)){
            userFromDB.setPermissions(permissions);
        }

        return userFromDB;
    }

本以为如上代码会正常抛出UserException,但是在测试之后并没有按照预想的走,而是抛出了下面的异常
在这里插入图片描述
经过排查发现走了UsernamePasswordAuthenticationFilterunsuccessfulAuthentication异常,但是这样我们根本无法区别是用户名不存在还是密码错误。一般情况下可以直接反馈用户名或密码异常。不过我还是想知道为什么我抛出的异常没有被捕获。于是开始DEBUG。发现确实抛出了UserException异常,但是我写的全局异常处理并没有捕获到。
在这里插入图片描述
在这里插入图片描述

反而抛了一个InternalAuthenticationServiceException
在这里插入图片描述

走进第一行信息查看原因,在DaoAuthenticationProvider的找到了原因。原来Security会自动将我们的异常替换成InternalAuthenticationServiceException
在这里插入图片描述
同样在这个类中可以看到密码校验的逻辑,密码校验失败会抛出BadCredentialsException异常,这个异常和上面抛出的InternalAuthenticationServiceException都继承与AuthenticationException
在这里插入图片描述
所以,在SpringSecurity中,所有和身份认证相关的异常都会统一处理。包括用户名不存在,密码异常或者状态异常等。都会统一抛出401身份认证失败的异常。

解决方法

1.前端直接拦截401异常,直接反馈用户账号不存在或密码错误。(图个方便)。
2.在全局异常中捕获AuthenticationException在判断是何种异常。例如BadCredentialsException就反馈密码错误,UsernameNotFountException就反馈用户不存在。当然也可以自定义异常去继承AuthenticationException。(猜想)
3.自己加一个过滤器

Logo

华为开发者空间,是为全球开发者打造的专属开发空间,汇聚了华为优质开发资源及工具,致力于让每一位开发者拥有一台云主机,基于华为根生态开发、创新。

更多推荐