认证异常翻译

默认情况下,当我们在获取令牌时输入错误的用户名或密码,系统返回如下格式响应:

{

    "error": "invalid_grant",

    "error_description": "Bad credentials"

}

当grant_type错误时,系统返回:

{

    "error": "unsupported_grant_type",

    "error_description": "Unsupported grant type: passwordd"

}

在security中,我们可以自定义一个异常翻译器,将这些认证类型异常翻译为友好的格式

在translator包下新建类SecurityResponseExceptionTranslator

@Slf4j

@Component

public class SecurityResponseExceptionTranslator implements WebResponseExceptionTranslator {

    @Override

    public ResponseEntity translate(Exception e) {

        ResponseEntity.BodyBuilder status = ResponseEntity.status(HttpStatus.UNAUTHORIZED);

        String message = "认证失败";

        log.info(message, e);

        if (e instanceof UnsupportedGrantTypeException) {

            message = "不支持该认证类型";

            return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

        }

        if (e instanceof InvalidTokenException

                && StringUtils.containsIgnoreCase(e.getMessage(), "Invalid refresh token (expired)")) {

            message = "刷新令牌已过期,请重新登录";

            return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

        }

        if (e instanceof InvalidScopeException) {

            message = "不是有效的scope值";

            return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

        }

        if (e instanceof InvalidGrantException) {

            if (StringUtils.containsIgnoreCase(e.getMessage(), "Invalid refresh token")) {

                message = "refresh token无效";

                return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

            }

            if (StringUtils.containsIgnoreCase(e.getMessage(), "locked")) {

                message = "用户已被锁定,请联系管理员";

                return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

            }

            message = "用户名或密码错误";

            return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

        }

        return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

    }

}

要让这个异常翻译器生效,我们还需在认证服务器配置类的configure(AuthorizationServerEndpointsConfigurer endpoints)方法里指定它:

@Autowired

private SecurityResponseExceptionTranslator exceptionTranslator;

.....

@Override

@SuppressWarnings("all")

public void configure(AuthorizationServerEndpointsConfigurer endpoints) {

    endpoints.exceptionTranslator(exceptionTranslator);

}

......

资源服务器异常

资源服务器异常主要有两种:令牌不正确返回401和用户无权限返回403

新建SecurityExceptionEntryPoint类用于处理403类型异常:

@Component

public class SecurityExceptionEntryPoint implements AuthenticationEntryPoint {

    @Override

    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException {

        ResponseVO.makeResponse(response

                , MediaType.APPLICATION_JSON_VALUE

                , HttpStatus.UNAUTHORIZED.value()

                , JSONObject.toJSONString(ResponseVO.failed(401, "token无效")).getBytes());

    }

}

其中ResponseVO.makeResponse和ResponseVO.failed分别是工具类ResponseVO的方法:

/**

 * 设置响应

 *

 * @param response    HttpServletResponse

 * @param contentType content-type

 * @param status      http状态码

 * @param value       响应内容

 * @throws IOException IOException

 */

public static void makeResponse(HttpServletResponse response, String contentType,

                                 int status, Object value) throws IOException {

    response.setContentType(contentType);

    response.setStatus(status);

    response.getOutputStream().write(JSONObject.toJSONString(value).getBytes());

}

public static ResponseVO failed(Integer code, String msg) {

    ResponseVO result = new ResponseVO();

    result.setCode(code);

    result.setMsg(msg);

    result.setData(Lists.newArrayList());

    return result;

}

新建SecurityAccessDeniedHandler用于处理403类型异常:

@Component

public class SecurityAccessDeniedHandler implements AccessDeniedHandler {

    @Override

    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException {

        ResponseVO.makeResponse(response

                , MediaType.APPLICATION_JSON_VALUE

                , HttpStatus.FORBIDDEN.value()

                , JSONObject.toJSONString(ResponseVO.failed(403, "没有权限访问该资源")).getBytes());

    }

}

在资源服务器配置类里注入,并配置:

@Autowired

private SecurityAccessDeniedHandler accessDeniedHandler;

@Autowired

private SecurityExceptionEntryPoint exceptionEntryPoint;

......

@Override

public void configure(ResourceServerSecurityConfigurer resources) {

    resources.authenticationEntryPoint(exceptionEntryPoint)

            .accessDeniedHandler(accessDeniedHandler);

}

扩展

由于我们的资源服务器可能有多个,所以上面两个资源服务器的异常翻译类我们可能要复用,所以这种情况下我们应该将其抽离出来写在公共包common下,然后在其他的资源服务器中引用这个common模块。

但是这时,我们在使用自动注入这两个类时,会发现我们不能注入这两个类,这时由于Springboot的默认扫包范围是,启动类所属包路径及其子类,所以即使在这两个类上使用@Component注解标注,它们也不能被成功注册到各个资源服务器的SpringIOC容器中。我们可以使用@Enable模块驱动的方式来解决这个问题。

在common模块中新建configure包,然后在该包下新建SecurityExceptionConfigure配置类:

public class SecurityExceptionConfigure {

    @Bean

    @ConditionalOnMissingBean(name = "accessDeniedHandler")

    public SecurityAccessDeniedHandler accessDeniedHandler() {

        return new SecurityAccessDeniedHandler();

    }

    @Bean

    @ConditionalOnMissingBean(name = "authenticationEntryPoint")

    public SecurityExceptionEntryPoint authenticationEntryPoint() {

        return new SecurityExceptionEntryPoint();

    }

}

在该配置类中,我们注册了SecurityAccessDeniedHandler和SecurityExceptionEntryPoint。

  • @ConditionalOnMissingBean注解的意思是,当IOC容器中没有指定名称或类型的Bean的时候,就注册它。以@ConditionalOnMissingBean(name = "accessDeniedHandler")为例,当资源服务器系统中的Spring IOC容器中没有名称为accessDeniedHandler的Bean的时候,就将SecurityAccessDeniedHandler注册为一个Bean。这样做的好处在于,子系统可以自定义自个儿的资源服务器异常处理器,覆盖我们在common通用模块里定义的。

接着定义一个注解来驱动该配置类。

在common模块下新建annotation包,然后在该包下新建EnableSecurityAuthExceptionHandler注解:

@Target({ElementType.TYPE})

@Retention(RetentionPolicy.RUNTIME)

@Documented

@Import(SecurityExceptionConfigure.class)

public @interface EnableSecurityAuthExceptionHandler {

}

在该注解上,我们使用@Import将SecurityExceptionConfigure配置类引入了进来。

然后,我们只需要在需要使用这两个配置类的资源服务器系统的启动类上引入@EnableSecurityAuthExceptionHandler来标记

@SpringBootApplication

@EnableSecurityAuthExceptionHandler

public class Application {

    public static void main(String[] args) {

        SpringApplication.run(Application.class, args);

    }

}

最后,我们就可以在资源服务器的配置类中愉快的使用自动注入的方式来注入SecurityAccessDeniedHandler和SecurityExceptionEntryPoint这两个类了

@Autowired

private SecurityAccessDeniedHandler accessDeniedHandler;

@Autowired

private SecurityExceptionEntryPoint exceptionEntryPoint;

......

@Override

public void configure(ResourceServerSecurityConfigurer resources) {

    resources.authenticationEntryPoint(exceptionEntryPoint)

            .accessDeniedHandler(accessDeniedHandler);

}

参考博客:https://mrbird.cc/deepin-springboot-autoconfig.html

OAuth + Security - 7 - 异常翻译的更多相关文章

  1. Spring Security中异常上抛机制及对于转型处理的一些感悟

    在使用Spring Security的过程中,我们会发现框架内部按照错误及问题出现的场景,划分出了许许多多的异常,但是在业务调用时一般都会向外抛一个统一的异常出来,为什么要这样做呢,以及对于抛出来的异 ...

  2. spark启动后出现“JAVA_HOME not set” 异常和"org.apache.hadoop.security.AccessControlException"异常

    /home/bigdata/hadoop/spark-2.1.1-bin-hadoop2.7/sbin/start-all.sh 启动后执行jps命令,主节点上有Master进程,其他子节点上有Wor ...

  3. OAuth + Security -1 - 认证服务器配置

    配置 基础包依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId&g ...

  4. OAuth + Security - 3 - JWT令牌

    为什么使用JWT令牌 在上面的资源服务器中,通过配置,我们了解到,当我们拿着token去获取资源时,程序会先去调用远程认证服务器的端点去验证解析token,或者在本地解析校验token,这样毫无疑问, ...

  5. OAuth + Security - 5 - Token存储升级(数据库、Redis)

    PS:此文章为系列文章,建议从第一篇开始阅读. 在我们之前的文章中,我们当时获取到Token令牌时,此时的令牌时存储在内存中的,这样显然不利于我们程序的扩展,所以为了解决这个问题,官方给我们还提供了其 ...

  6. C# Windows服务安装出现System.Security.SecurityException异常解决办法

    我把注册windows服务所用的安装及启用服务命令写到了bat可执行文件(名称为install.bat)中,如下所示: %SystemRoot%\Microsoft.NET\Framework\v4. ...

  7. OAuth + Security - 6 - 自定义授权模式

    我们知道OAuth2的官方提供了四种令牌的获取,简化模式,授权码模式,密码模式,客户端模式.其中密码模式中仅仅支持我们通过用户名和密码的方式获取令牌,那么我们如何去实现一个我们自己的令牌获取的模式呢? ...

  8. Spring Security报异常 Encoded password does not look like BCrypt

    控制台报错: Encoded password does not look like BCrypt 意思是前端传回去的密码格式与数据库里的密码格式不匹配,这样即使密码正确也无法校验.自然也就无法登录. ...

  9. OAuth 2.0 安全案例回顾

    原文:http://drops.wooyun.org/papers/598 0x00 背景 纵观账号互通发展史,可以发现OAuth比起其它协议(如OpenID)更流行的原因是,业务双方不仅要求账号本身 ...

  10. OAuth 2.0安全案例回顾

    转载自:http://www.360doc.com/content/14/0311/22/834950_359713295.shtml 0x00 背景 纵观账号互通发展史,可以发现OAuth比起其它协 ...

随机推荐

  1. MaxCompute管家详解--管家助力,轻松玩转MaxCompute

    精彩视频回顾请点击:MaxCompute管家详解以下是直播内容精华整理,主要包括以下四个方面:1.背景速览:2.功能介绍:3.案例讲解:4.新功能预告. 一.背景速览 MaxCompute(原ODPS ...

  2. 阿里云EMAS旗下低代码平台Mobi开放定向内测

    ​简介:[低代码深度共创]EMAS旗下低代码平台Mobi开放定向内测名额,限时限量,参与调研先到先得! Mobi是面向全端(Web.Native App.H5.全平台小程序等)场景,模型驱动的低代码开 ...

  3. 【产品能力深度解读】连续入围Gartner魔力象限的Quick BI有何魔力?

    简介: 国际权威分析机构Gartner发布2021年商业智能和分析平台魔力象限报告,阿里云Quick BI再度入选,并继续成为该领域魔力象限唯一入选的中国企业. Quick BI凭借在增强分析能力上的 ...

  4. 涨姿势 | 一文读懂备受大厂青睐的ClickHouse高性能列存核心原理

    简介: 本文尝试解读ClickHouse存储层的设计与实现,剖析它的性能奥妙 作者:和君 引言 ClickHouse是近年来备受关注的开源列式数据库,主要用于数据分析(OLAP)领域.目前国内各个大厂 ...

  5. Quick BI:降低使用门槛,大东鞋业8000家门店的数据导航

    简介: 通过引入MaxCompute和Quick BI,大东解决了以往数据查询即刻导致数据库闪崩的状况,还搭建起完善的报表体系,稳定应对高频.高并发的数据分析. 大东鞋业一季大约有500款的新品.大区 ...

  6. dotnet C# 通过 Vortice 使用 Direct2D 特效入门

    本文将告诉大家如何通过 Vortice 使用 D2D 的特效 本文属于 DirectX 系列博客,更多 DirectX 和 D2D 以及 Vortice 库的博客,请参阅我的 博客导航 上一篇: Di ...

  7. dotnet 6 推荐一个可代替 .NET Remoting 的 IPC 库

    本文将来和大家推荐一个基于最友好 MIT 协议的完全在 GitHub 上开源的,可代替 .NET Remoting 的 IPC 本机多进程通讯库 本机内多进程通讯 IPC 不同于跨设备系统的 RPC ...

  8. WPF 让窗口激活作为前台最上层窗口的方法

    在 WPF 中,如果想要使用代码控制,让某个窗口作为当前用户的输入的逻辑焦点的窗口,也就是在当前用户活动的窗口的最上层窗口,默认使用 Activate 方法,通过这个方法在大部分设备都可以做到激活窗口 ...

  9. WPF-dataGrid动态更新

    简介: 问题:在WPF中,使用了ObservableCollection<T>作为dataGrid的数据源,发现更新数据的时候不会触发dataGrid的更新 By MaQaQ 2023-1 ...

  10. 如何获取Github Token

    登录我们的github账号,点击头像后选择Settings 进入界面之后下拉到左侧菜单的最后,选择Developer settings 进入界面后,选择Personal access tokens-- ...