文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

SpringCloud Alibaba实战之 Oauth2认证服务器自定义异常

2024-12-03 11:43

关注

前言

今天内容主要是解决一位粉丝提的问题:在使用 Spring Security OAuth2 时如何自定义认证服务器返回异常。

那么首先我们先以 Password模式为例看看在认证时会出现哪些异常情况。

授权模式错误

这里我们故意将授权模式 password 修改成 password1,认证服务器返回如下所示的异常

  1.   "error""unsupported_grant_type"
  2.   "error_description""Unsupported grant type: password1" 

密码错误

在认证时故意输错 username 或 password 会出现如下异常错误:

  1.   "error""invalid_grant"
  2.   "error_description""Bad credentials" 

客户端错误

在认证时故意输错 client_id 或 client

  1.   "error""invalid_client"
  2.   "error_description""Bad client credentials" 
  3. 上面的返回结 

上面的返回结果很不友好,而且前端代码也很难判断是什么错误,所以我们需要对返回的错误进行统一的异常处理,让其返回统一的异常格式。

问题剖析

如果只关注解决方案,可以直接跳转到解决方案模块!

OAuth2Exception异常处理

在Oauth2认证服务器中认证逻辑最终调用的是 TokenEndpoint#postAccessToken()方法,而一旦认证出现 OAuth2Exception异常则会被 handleException()捕获到异常。如下图展示的是当出现用户密码异常时debug截图:

 

认证服务器在捕获到 OAuth2Exception后会调用 WebResponseExceptionTranslator#translate()方法对异常进行翻译处理。

默认的翻译处理实现类是 DefaultWebResponseExceptionTranslator,处理完成后会调用 handleOAuth2Exception()方法将处理后的异常返回给前端,这就是我们之前看到的异常效果。

处理方法熟悉Oauth2套路的同学应该知道了如何处理此类异常,就是「自定义一个异常翻译类让其返回我们需要的自定义格式,然后将其注入到认证服务器中。」

但是这种处理逻辑只能解决 OAuth2Exception异常,即前言部分中的「授权模式异常」和「账号密码类的异常」,并不能解决我们客户端的异常。

客户端异常处理

客户端认证的异常是发生在过滤器 ClientCredentialsTokenEndpointFilter上,其中有后置添加失败处理方法,最后把异常交给 OAuth2AuthenticationEntryPoint这个所谓认证入口处理。执行顺序如下所示:

 

然后跳转到父类的 AbstractOAuth2SecurityExceptionHandler#doHandle()进行处理:

 

最终由 DefaultOAuth2ExceptionRenderer#handleHttpEntityResponse()方法将异常输出给客户端

 

处理方法

通过上面的分析我们得知客户端的认证失败异常是过滤器 ClientCredentialsTokenEndpointFilter转交给 OAuth2AuthenticationEntryPoint得到响应结果的,既然这样我们就可以重写 ClientCredentialsTokenEndpointFilter然后使用自定义的 AuthenticationEntryPoint替换原生的 OAuth2AuthenticationEntryPoint,在自定义 AuthenticationEntryPoint处理得到我们想要的异常数据。

解决方案

为了解决上面这些异常,我们首先需要编写不同异常的错误代码:ReturnCode.java

  1. CLIENT_AUTHENTICATION_FAILED(1001,"客户端认证失败"), 
  2. USERNAME_OR_PASSWORD_ERROR(1002,"用户名或密码错误"), 
  3. UNSUPPORTED_GRANT_TYPE(1003, "不支持的认证模式"); 

OAuth2Exception异常

  1. @Slf4j 
  2. public class CustomWebResponseExceptionTranslator implements WebResponseExceptionTranslator { 
  3.  
  4.     @Override 
  5.     public ResponseEntity> translate(Exception e) throws Exception { 
  6.         log.error("认证服务器异常",e); 
  7.  
  8.         ResultData response = resolveException(e); 
  9.  
  10.         return new ResponseEntity<>(response, HttpStatus.valueOf(response.getHttpStatus())); 
  11.     } 
  12.  
  13.      
  14.     private ResultData resolveException(Exception e) { 
  15.         // 初始值 500 
  16.         ReturnCode returnCode = ReturnCode.RC500; 
  17.         int httpStatus = HttpStatus.UNAUTHORIZED.value(); 
  18.         //不支持的认证方式 
  19.         if(e instanceof UnsupportedGrantTypeException){ 
  20.             returnCode = ReturnCode.UNSUPPORTED_GRANT_TYPE; 
  21.         //用户名或密码异常 
  22.         }else if(e instanceof InvalidGrantException){ 
  23.             returnCode = ReturnCode.USERNAME_OR_PASSWORD_ERROR; 
  24.         } 
  25.  
  26.         ResultData failResponse = ResultData.fail(returnCode.getCode(), returnCode.getMessage()); 
  27.         failResponse.setHttpStatus(httpStatus); 
  28.  
  29.         return failResponse; 
  30.     } 
  31.  

然后在认证服务器配置类中注入自定义异常翻译类

  1. @Override 
  2. public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception { 
  3.     //如果需要使用refresh_token模式则需要注入userDetailService 
  4.     endpoints 
  5.             .authenticationManager(this.authenticationManager) 
  6.             .userDetailsService(userDetailService) 
  7. //                注入tokenGranter 
  8.             .tokenGranter(tokenGranter); 
  9.             //注入自定义的tokenservice,如果不使用自定义的tokenService那么就需要将tokenServce里的配置移到这里 
  10. //                .tokenServices(tokenServices()); 
  11.     // 自定义异常转换类 
  12.     endpoints.exceptionTranslator(new CustomWebResponseExceptionTranslator()); 

客户端异常

重写客户端认证过滤器,不使用默认的 OAuth2AuthenticationEntryPoint处理异常

  1. public class CustomClientCredentialsTokenEndpointFilter extends ClientCredentialsTokenEndpointFilter { 
  2.  
  3.     private final AuthorizationServerSecurityConfigurer configurer; 
  4.  
  5.     private AuthenticationEntryPoint authenticationEntryPoint; 
  6.  
  7.     public CustomClientCredentialsTokenEndpointFilter(AuthorizationServerSecurityConfigurer configurer) { 
  8.         this.configurer = configurer; 
  9.     } 
  10.  
  11.     @Override 
  12.     public void setAuthenticationEntryPoint(AuthenticationEntryPoint authenticationEntryPoint) { 
  13.         super.setAuthenticationEntryPoint(null); 
  14.         this.authenticationEntryPoint = authenticationEntryPoint; 
  15.     } 
  16.  
  17.     @Override 
  18.     protected AuthenticationManager getAuthenticationManager() { 
  19.         return configurer.and().getSharedObject(AuthenticationManager.class); 
  20.     } 
  21.  
  22.     @Override 
  23.     public void afterPropertiesSet() { 
  24.         setAuthenticationFailureHandler((request, response, e) -> authenticationEntryPoint.commence(request, response, e)); 
  25.         setAuthenticationSuccessHandler((request, response, authentication) -> { 
  26.         }); 
  27.     } 

在认证服务器注入异常处理逻辑,自定义异常返回结果。(代码位于 AuthorizationServerConfig)

  1. @Bean 
  2. public AuthenticationEntryPoint authenticationEntryPoint() { 
  3.     return (request, response, e) -> { 
  4.         response.setStatus(HttpStatus.UNAUTHORIZED.value()); 
  5.         ResultData resultData = ResultData.fail(ReturnCode.CLIENT_AUTHENTICATION_FAILED.getCode(), ReturnCode.CLIENT_AUTHENTICATION_FAILED.getMessage()); 
  6.         WebUtils.writeJson(response,resultData); 
  7.     }; 

修改认证服务器配置,注入自定义过滤器

  1. @Override 
  2. public void configure(AuthorizationServerSecurityConfigurer security) throws Exception { 
  3.  CustomClientCredentialsTokenEndpointFilter endpointFilter = new CustomClientCredentialsTokenEndpointFilter(security); 
  4.  endpointFilter.afterPropertiesSet(); 
  5.  endpointFilter.setAuthenticationEntryPoint(authenticationEntryPoint()); 
  6.  security.addTokenEndpointAuthenticationFilter(endpointFilter); 
  7.  
  8.  security 
  9.    .authenticationEntryPoint(authenticationEntryPoint()) 
  10.       //如果使用表单认证则需要加上 
  11.    .tokenKeyAccess("permitAll()"
  12.    .checkTokenAccess("isAuthenticated()"); 

此时需要删除 allowFormAuthenticationForClients()配置,否则自定义的过滤器不生效,至于为什么不生效大家看看源码就知道了。

测试

授权模式错误

 

账号密码错误

 

客户端错误

 

 

以上,希望对你有所帮助!

 

来源: JAVA日知录内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯