最近在做动态权限,整合了SpringSecurity。在使用SpringSecurity 做用户认证功能的时候,重写了loadUserByUsername方法并且在方法内判断用户是否为空,如果为空就抛出自定义的UserException异常。前端捕获到就反馈相应信息。代码如下:

// 校验用户名密码是否为空

if(StringUtils.isEmpty(username)) throw new UserException(UserCodeEnum.USERNAME_IS_EMPTY);

// 查询用户

User userFromDB = userMapper.selectOne(new QueryWrapper().eq("username", username));

// 判断用户是否为空或账号不存在

if(null == userFromDB){

throw new UserException(UserCodeEnum.USER_NOT_FOUNT);

}

// 查询登录用户的权限列表

Set permissions = permissionMapper.queryPermissions(userFromDB.getId());

if(!CollectionUtils.isEmpty(permissions)){

userFromDB.setPermissions(permissions);

}

return userFromDB;

}

本以为如上代码会正常抛出UserException,但是在测试之后并没有按照预想的走,而是抛出了下面的异常 经过排查发现走了UsernamePasswordAuthenticationFilter的unsuccessfulAuthentication异常,但是这样我们根本无法区别是用户名不存在还是密码错误。一般情况下可以直接反馈用户名或密码异常。不过我还是想知道为什么我抛出的异常没有被捕获。于是开始DEBUG。发现确实抛出了UserException异常,但是我写的全局异常处理并没有捕获到。

反而抛了一个InternalAuthenticationServiceException

走进第一行信息查看原因,在DaoAuthenticationProvider的找到了原因。原来Security会自动将我们的异常替换成InternalAuthenticationServiceException。 同样在这个类中可以看到密码校验的逻辑,密码校验失败会抛出BadCredentialsException异常,这个异常和上面抛出的InternalAuthenticationServiceException都继承与AuthenticationException。 所以,在SpringSecurity中,所有和身份认证相关的异常都会统一处理。包括用户名不存在,密码异常或者状态异常等。都会统一抛出401身份认证失败的异常。

解决方法

1.前端直接拦截401异常,直接反馈用户账号不存在或密码错误。(图个方便)。 2.在全局异常中捕获AuthenticationException在判断是何种异常。例如BadCredentialsException就反馈密码错误,UsernameNotFountException就反馈用户不存在。当然也可以自定义异常去继承AuthenticationException。(猜想) 3.自己加一个过滤器

精彩链接

评论可见,请评论后查看内容,谢谢!!!
 您阅读本篇文章共花了: