认证异常翻译

默认情况下,当我们在获取令牌时输入错误的用户名或密码,系统返回如下格式响应:

{

    "error": "invalid_grant",

    "error_description": "Bad credentials"

}

当grant_type错误时,系统返回:

{

    "error": "unsupported_grant_type",

    "error_description": "Unsupported grant type: passwordd"

}

在security中,我们可以自定义一个异常翻译器,将这些认证类型异常翻译为友好的格式

在translator包下新建类SecurityResponseExceptionTranslator

@Slf4j

@Component

public class SecurityResponseExceptionTranslator implements WebResponseExceptionTranslator {

    @Override

    public ResponseEntity translate(Exception e) {

        ResponseEntity.BodyBuilder status = ResponseEntity.status(HttpStatus.UNAUTHORIZED);

        String message = "认证失败";

        log.info(message, e);

        if (e instanceof UnsupportedGrantTypeException) {

            message = "不支持该认证类型";

            return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

        }

        if (e instanceof InvalidTokenException

                && StringUtils.containsIgnoreCase(e.getMessage(), "Invalid refresh token (expired)")) {

            message = "刷新令牌已过期,请重新登录";

            return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

        }

        if (e instanceof InvalidScopeException) {

            message = "不是有效的scope值";

            return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

        }

        if (e instanceof InvalidGrantException) {

            if (StringUtils.containsIgnoreCase(e.getMessage(), "Invalid refresh token")) {

                message = "refresh token无效";

                return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

            }

            if (StringUtils.containsIgnoreCase(e.getMessage(), "locked")) {

                message = "用户已被锁定,请联系管理员";

                return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

            }

            message = "用户名或密码错误";

            return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

        }

        return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

    }

}

要让这个异常翻译器生效,我们还需在认证服务器配置类的configure(AuthorizationServerEndpointsConfigurer endpoints)方法里指定它:

@Autowired

private SecurityResponseExceptionTranslator exceptionTranslator;

.....

@Override

@SuppressWarnings("all")

public void configure(AuthorizationServerEndpointsConfigurer endpoints) {

    endpoints.exceptionTranslator(exceptionTranslator);

}

......

资源服务器异常

资源服务器异常主要有两种:令牌不正确返回401和用户无权限返回403

新建SecurityExceptionEntryPoint类用于处理403类型异常:

@Component

public class SecurityExceptionEntryPoint implements AuthenticationEntryPoint {

    @Override

    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException {

        ResponseVO.makeResponse(response

                , MediaType.APPLICATION_JSON_VALUE

                , HttpStatus.UNAUTHORIZED.value()

                , JSONObject.toJSONString(ResponseVO.failed(401, "token无效")).getBytes());

    }

}

其中ResponseVO.makeResponse和ResponseVO.failed分别是工具类ResponseVO的方法:

/**

 * 设置响应

 *

 * @param response    HttpServletResponse

 * @param contentType content-type

 * @param status      http状态码

 * @param value       响应内容

 * @throws IOException IOException

 */

public static void makeResponse(HttpServletResponse response, String contentType,

                                 int status, Object value) throws IOException {

    response.setContentType(contentType);

    response.setStatus(status);

    response.getOutputStream().write(JSONObject.toJSONString(value).getBytes());

}

public static ResponseVO failed(Integer code, String msg) {

    ResponseVO result = new ResponseVO();

    result.setCode(code);

    result.setMsg(msg);

    result.setData(Lists.newArrayList());

    return result;

}

新建SecurityAccessDeniedHandler用于处理403类型异常:

@Component

public class SecurityAccessDeniedHandler implements AccessDeniedHandler {

    @Override

    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException {

        ResponseVO.makeResponse(response

                , MediaType.APPLICATION_JSON_VALUE

                , HttpStatus.FORBIDDEN.value()

                , JSONObject.toJSONString(ResponseVO.failed(403, "没有权限访问该资源")).getBytes());

    }

}

在资源服务器配置类里注入,并配置:

@Autowired

private SecurityAccessDeniedHandler accessDeniedHandler;

@Autowired

private SecurityExceptionEntryPoint exceptionEntryPoint;

......

@Override

public void configure(ResourceServerSecurityConfigurer resources) {

    resources.authenticationEntryPoint(exceptionEntryPoint)

            .accessDeniedHandler(accessDeniedHandler);

}

扩展

由于我们的资源服务器可能有多个,所以上面两个资源服务器的异常翻译类我们可能要复用,所以这种情况下我们应该将其抽离出来写在公共包common下,然后在其他的资源服务器中引用这个common模块。

但是这时,我们在使用自动注入这两个类时,会发现我们不能注入这两个类,这时由于Springboot的默认扫包范围是,启动类所属包路径及其子类,所以即使在这两个类上使用@Component注解标注,它们也不能被成功注册到各个资源服务器的SpringIOC容器中。我们可以使用@Enable模块驱动的方式来解决这个问题。

在common模块中新建configure包,然后在该包下新建SecurityExceptionConfigure配置类:

public class SecurityExceptionConfigure {

    @Bean

    @ConditionalOnMissingBean(name = "accessDeniedHandler")

    public SecurityAccessDeniedHandler accessDeniedHandler() {

        return new SecurityAccessDeniedHandler();

    }

    @Bean

    @ConditionalOnMissingBean(name = "authenticationEntryPoint")

    public SecurityExceptionEntryPoint authenticationEntryPoint() {

        return new SecurityExceptionEntryPoint();

    }

}

在该配置类中,我们注册了SecurityAccessDeniedHandler和SecurityExceptionEntryPoint。

  • @ConditionalOnMissingBean注解的意思是,当IOC容器中没有指定名称或类型的Bean的时候,就注册它。以@ConditionalOnMissingBean(name = "accessDeniedHandler")为例,当资源服务器系统中的Spring IOC容器中没有名称为accessDeniedHandler的Bean的时候,就将SecurityAccessDeniedHandler注册为一个Bean。这样做的好处在于,子系统可以自定义自个儿的资源服务器异常处理器,覆盖我们在common通用模块里定义的。

接着定义一个注解来驱动该配置类。

在common模块下新建annotation包,然后在该包下新建EnableSecurityAuthExceptionHandler注解:

@Target({ElementType.TYPE})

@Retention(RetentionPolicy.RUNTIME)

@Documented

@Import(SecurityExceptionConfigure.class)

public @interface EnableSecurityAuthExceptionHandler {

}

在该注解上,我们使用@Import将SecurityExceptionConfigure配置类引入了进来。

然后,我们只需要在需要使用这两个配置类的资源服务器系统的启动类上引入@EnableSecurityAuthExceptionHandler来标记

@SpringBootApplication

@EnableSecurityAuthExceptionHandler

public class Application {

    public static void main(String[] args) {

        SpringApplication.run(Application.class, args);

    }

}

最后,我们就可以在资源服务器的配置类中愉快的使用自动注入的方式来注入SecurityAccessDeniedHandler和SecurityExceptionEntryPoint这两个类了

@Autowired

private SecurityAccessDeniedHandler accessDeniedHandler;

@Autowired

private SecurityExceptionEntryPoint exceptionEntryPoint;

......

@Override

public void configure(ResourceServerSecurityConfigurer resources) {

    resources.authenticationEntryPoint(exceptionEntryPoint)

            .accessDeniedHandler(accessDeniedHandler);

}

参考博客:https://mrbird.cc/deepin-springboot-autoconfig.html

OAuth + Security - 7 - 异常翻译的更多相关文章

  1. Spring Security中异常上抛机制及对于转型处理的一些感悟

    在使用Spring Security的过程中,我们会发现框架内部按照错误及问题出现的场景,划分出了许许多多的异常,但是在业务调用时一般都会向外抛一个统一的异常出来,为什么要这样做呢,以及对于抛出来的异 ...

  2. spark启动后出现“JAVA_HOME not set” 异常和"org.apache.hadoop.security.AccessControlException"异常

    /home/bigdata/hadoop/spark-2.1.1-bin-hadoop2.7/sbin/start-all.sh 启动后执行jps命令,主节点上有Master进程,其他子节点上有Wor ...

  3. OAuth + Security -1 - 认证服务器配置

    配置 基础包依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId&g ...

  4. OAuth + Security - 3 - JWT令牌

    为什么使用JWT令牌 在上面的资源服务器中,通过配置,我们了解到,当我们拿着token去获取资源时,程序会先去调用远程认证服务器的端点去验证解析token,或者在本地解析校验token,这样毫无疑问, ...

  5. OAuth + Security - 5 - Token存储升级(数据库、Redis)

    PS:此文章为系列文章,建议从第一篇开始阅读. 在我们之前的文章中,我们当时获取到Token令牌时,此时的令牌时存储在内存中的,这样显然不利于我们程序的扩展,所以为了解决这个问题,官方给我们还提供了其 ...

  6. C# Windows服务安装出现System.Security.SecurityException异常解决办法

    我把注册windows服务所用的安装及启用服务命令写到了bat可执行文件(名称为install.bat)中,如下所示: %SystemRoot%\Microsoft.NET\Framework\v4. ...

  7. OAuth + Security - 6 - 自定义授权模式

    我们知道OAuth2的官方提供了四种令牌的获取,简化模式,授权码模式,密码模式,客户端模式.其中密码模式中仅仅支持我们通过用户名和密码的方式获取令牌,那么我们如何去实现一个我们自己的令牌获取的模式呢? ...

  8. Spring Security报异常 Encoded password does not look like BCrypt

    控制台报错: Encoded password does not look like BCrypt 意思是前端传回去的密码格式与数据库里的密码格式不匹配,这样即使密码正确也无法校验.自然也就无法登录. ...

  9. OAuth 2.0 安全案例回顾

    原文:http://drops.wooyun.org/papers/598 0x00 背景 纵观账号互通发展史,可以发现OAuth比起其它协议(如OpenID)更流行的原因是,业务双方不仅要求账号本身 ...

  10. OAuth 2.0安全案例回顾

    转载自:http://www.360doc.com/content/14/0311/22/834950_359713295.shtml 0x00 背景 纵观账号互通发展史,可以发现OAuth比起其它协 ...

随机推荐

  1. 基于 Wasm 和 ORAS 简化扩展服务网格功能

    简介: 本文将介绍如何使用 ORAS 客户端将具有允许的媒体类型的 Wasm 模块推送到 ACR 注册库(一个 OCI 兼容的注册库)中,然后通过 ASM 控制器将 Wasm Filter 部署到指定 ...

  2. Java编程技巧之单元测试用例编写流程

    简介: 立足于"如何来编写单元测试用例",让大家"有章可循",快速编写出单元测试用例. 作者 | 常意来源 | 阿里技术公众号 温馨提示:本文较长,同学们可收藏 ...

  3. 如何保证 Serverless 业务部署更新的一致性?

    简介: 代码在其他场景被更新,需要我们在当前得到感知,这个事情其实是非常重要的,和代码的安全发布密不可少.而此时,通过 Serverless Devs 是可以做到的. 作者|Anycodes​ 从我做 ...

  4. js图片懒加载,在不做分页的情况下的解决方案

    Intersection Observer API 1.注意点 一般都是后端返回数据, 用 this.$nextTick(() => { this.handleScroll(); }); 确保d ...

  5. VForm

    VForm是一款基于Vue 2/Vue 3的低代码表单,支持Element UI.iView两种UI库,定位为前端开发人员提供快速搭建表单.实现表单交互和数据收集的功能. VForm全称为Varian ...

  6. 几行命令用minikube快速搭建可测试的kubernetes单节点环境

    几行命令用minikube快速搭建可测试的kubernetes单节点环境 需要docker环境,https://www.cnblogs.com/xiaofei12/p/17544579.html,网速 ...

  7. Python语言:散修笔记

    文章目录 前言 转义字符的使用 原字符 变量的定义 类型转换 注释 接收用户信息 运算规则 整除运算 幂运算 比较运算符 布尔运算 运算优先级 对象的布尔值 if else elif分支结构 条件表达 ...

  8. C语言:窗口控制台颜色改变(不断换色)

    了解了stdlib头文件中的system 函数之后突发奇想想要做一个蹦迪效果后台 代码如下: #include <stdio.h> #include <stdlib.h> #i ...

  9. SSL/TSL 总结

    参考:https://blog.csdn.net/qq153471503/article/details/109524764 (一)生成CA证书 1.创建CA证书私钥openssl genrsa -a ...

  10. 【asp.net】滑块验证码(分享一个从github上下载的源码)

    思路: 1. 准备好10张或20张不同规格的图片,按规格分类到不同文件夹,每个文件夹的图片从1开始顺序递增命名,为了随机选择图片.   2.前端提交规格比如200*300,根据规格选择原图,并初始化 ...