认证异常翻译

默认情况下,当我们在获取令牌时输入错误的用户名或密码,系统返回如下格式响应:

{

    "error": "invalid_grant",

    "error_description": "Bad credentials"

}

当grant_type错误时,系统返回:

{

    "error": "unsupported_grant_type",

    "error_description": "Unsupported grant type: passwordd"

}

在security中,我们可以自定义一个异常翻译器,将这些认证类型异常翻译为友好的格式

在translator包下新建类SecurityResponseExceptionTranslator

@Slf4j

@Component

public class SecurityResponseExceptionTranslator implements WebResponseExceptionTranslator {

    @Override

    public ResponseEntity translate(Exception e) {

        ResponseEntity.BodyBuilder status = ResponseEntity.status(HttpStatus.UNAUTHORIZED);

        String message = "认证失败";

        log.info(message, e);

        if (e instanceof UnsupportedGrantTypeException) {

            message = "不支持该认证类型";

            return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

        }

        if (e instanceof InvalidTokenException

                && StringUtils.containsIgnoreCase(e.getMessage(), "Invalid refresh token (expired)")) {

            message = "刷新令牌已过期,请重新登录";

            return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

        }

        if (e instanceof InvalidScopeException) {

            message = "不是有效的scope值";

            return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

        }

        if (e instanceof InvalidGrantException) {

            if (StringUtils.containsIgnoreCase(e.getMessage(), "Invalid refresh token")) {

                message = "refresh token无效";

                return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

            }

            if (StringUtils.containsIgnoreCase(e.getMessage(), "locked")) {

                message = "用户已被锁定,请联系管理员";

                return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

            }

            message = "用户名或密码错误";

            return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

        }

        return status.body(ResponseVO.failed(message + ":" + e.getMessage()));

    }

}

要让这个异常翻译器生效,我们还需在认证服务器配置类的configure(AuthorizationServerEndpointsConfigurer endpoints)方法里指定它:

@Autowired

private SecurityResponseExceptionTranslator exceptionTranslator;

.....

@Override

@SuppressWarnings("all")

public void configure(AuthorizationServerEndpointsConfigurer endpoints) {

    endpoints.exceptionTranslator(exceptionTranslator);

}

......

资源服务器异常

资源服务器异常主要有两种:令牌不正确返回401和用户无权限返回403

新建SecurityExceptionEntryPoint类用于处理403类型异常:

@Component

public class SecurityExceptionEntryPoint implements AuthenticationEntryPoint {

    @Override

    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException {

        ResponseVO.makeResponse(response

                , MediaType.APPLICATION_JSON_VALUE

                , HttpStatus.UNAUTHORIZED.value()

                , JSONObject.toJSONString(ResponseVO.failed(401, "token无效")).getBytes());

    }

}

其中ResponseVO.makeResponse和ResponseVO.failed分别是工具类ResponseVO的方法:

/**

 * 设置响应

 *

 * @param response    HttpServletResponse

 * @param contentType content-type

 * @param status      http状态码

 * @param value       响应内容

 * @throws IOException IOException

 */

public static void makeResponse(HttpServletResponse response, String contentType,

                                 int status, Object value) throws IOException {

    response.setContentType(contentType);

    response.setStatus(status);

    response.getOutputStream().write(JSONObject.toJSONString(value).getBytes());

}

public static ResponseVO failed(Integer code, String msg) {

    ResponseVO result = new ResponseVO();

    result.setCode(code);

    result.setMsg(msg);

    result.setData(Lists.newArrayList());

    return result;

}

新建SecurityAccessDeniedHandler用于处理403类型异常:

@Component

public class SecurityAccessDeniedHandler implements AccessDeniedHandler {

    @Override

    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException {

        ResponseVO.makeResponse(response

                , MediaType.APPLICATION_JSON_VALUE

                , HttpStatus.FORBIDDEN.value()

                , JSONObject.toJSONString(ResponseVO.failed(403, "没有权限访问该资源")).getBytes());

    }

}

在资源服务器配置类里注入,并配置:

@Autowired

private SecurityAccessDeniedHandler accessDeniedHandler;

@Autowired

private SecurityExceptionEntryPoint exceptionEntryPoint;

......

@Override

public void configure(ResourceServerSecurityConfigurer resources) {

    resources.authenticationEntryPoint(exceptionEntryPoint)

            .accessDeniedHandler(accessDeniedHandler);

}

扩展

由于我们的资源服务器可能有多个,所以上面两个资源服务器的异常翻译类我们可能要复用,所以这种情况下我们应该将其抽离出来写在公共包common下,然后在其他的资源服务器中引用这个common模块。

但是这时,我们在使用自动注入这两个类时,会发现我们不能注入这两个类,这时由于Springboot的默认扫包范围是,启动类所属包路径及其子类,所以即使在这两个类上使用@Component注解标注,它们也不能被成功注册到各个资源服务器的SpringIOC容器中。我们可以使用@Enable模块驱动的方式来解决这个问题。

在common模块中新建configure包,然后在该包下新建SecurityExceptionConfigure配置类:

public class SecurityExceptionConfigure {

    @Bean

    @ConditionalOnMissingBean(name = "accessDeniedHandler")

    public SecurityAccessDeniedHandler accessDeniedHandler() {

        return new SecurityAccessDeniedHandler();

    }

    @Bean

    @ConditionalOnMissingBean(name = "authenticationEntryPoint")

    public SecurityExceptionEntryPoint authenticationEntryPoint() {

        return new SecurityExceptionEntryPoint();

    }

}

在该配置类中,我们注册了SecurityAccessDeniedHandler和SecurityExceptionEntryPoint。

  • @ConditionalOnMissingBean注解的意思是,当IOC容器中没有指定名称或类型的Bean的时候,就注册它。以@ConditionalOnMissingBean(name = "accessDeniedHandler")为例,当资源服务器系统中的Spring IOC容器中没有名称为accessDeniedHandler的Bean的时候,就将SecurityAccessDeniedHandler注册为一个Bean。这样做的好处在于,子系统可以自定义自个儿的资源服务器异常处理器,覆盖我们在common通用模块里定义的。

接着定义一个注解来驱动该配置类。

在common模块下新建annotation包,然后在该包下新建EnableSecurityAuthExceptionHandler注解:

@Target({ElementType.TYPE})

@Retention(RetentionPolicy.RUNTIME)

@Documented

@Import(SecurityExceptionConfigure.class)

public @interface EnableSecurityAuthExceptionHandler {

}

在该注解上,我们使用@Import将SecurityExceptionConfigure配置类引入了进来。

然后,我们只需要在需要使用这两个配置类的资源服务器系统的启动类上引入@EnableSecurityAuthExceptionHandler来标记

@SpringBootApplication

@EnableSecurityAuthExceptionHandler

public class Application {

    public static void main(String[] args) {

        SpringApplication.run(Application.class, args);

    }

}

最后,我们就可以在资源服务器的配置类中愉快的使用自动注入的方式来注入SecurityAccessDeniedHandler和SecurityExceptionEntryPoint这两个类了

@Autowired

private SecurityAccessDeniedHandler accessDeniedHandler;

@Autowired

private SecurityExceptionEntryPoint exceptionEntryPoint;

......

@Override

public void configure(ResourceServerSecurityConfigurer resources) {

    resources.authenticationEntryPoint(exceptionEntryPoint)

            .accessDeniedHandler(accessDeniedHandler);

}

参考博客:https://mrbird.cc/deepin-springboot-autoconfig.html

OAuth + Security - 7 - 异常翻译的更多相关文章

  1. Spring Security中异常上抛机制及对于转型处理的一些感悟

    在使用Spring Security的过程中,我们会发现框架内部按照错误及问题出现的场景,划分出了许许多多的异常,但是在业务调用时一般都会向外抛一个统一的异常出来,为什么要这样做呢,以及对于抛出来的异 ...

  2. spark启动后出现“JAVA_HOME not set” 异常和"org.apache.hadoop.security.AccessControlException"异常

    /home/bigdata/hadoop/spark-2.1.1-bin-hadoop2.7/sbin/start-all.sh 启动后执行jps命令,主节点上有Master进程,其他子节点上有Wor ...

  3. OAuth + Security -1 - 认证服务器配置

    配置 基础包依赖 <dependency> <groupId>org.springframework.boot</groupId> <artifactId&g ...

  4. OAuth + Security - 3 - JWT令牌

    为什么使用JWT令牌 在上面的资源服务器中,通过配置,我们了解到,当我们拿着token去获取资源时,程序会先去调用远程认证服务器的端点去验证解析token,或者在本地解析校验token,这样毫无疑问, ...

  5. OAuth + Security - 5 - Token存储升级(数据库、Redis)

    PS:此文章为系列文章,建议从第一篇开始阅读. 在我们之前的文章中,我们当时获取到Token令牌时,此时的令牌时存储在内存中的,这样显然不利于我们程序的扩展,所以为了解决这个问题,官方给我们还提供了其 ...

  6. C# Windows服务安装出现System.Security.SecurityException异常解决办法

    我把注册windows服务所用的安装及启用服务命令写到了bat可执行文件(名称为install.bat)中,如下所示: %SystemRoot%\Microsoft.NET\Framework\v4. ...

  7. OAuth + Security - 6 - 自定义授权模式

    我们知道OAuth2的官方提供了四种令牌的获取,简化模式,授权码模式,密码模式,客户端模式.其中密码模式中仅仅支持我们通过用户名和密码的方式获取令牌,那么我们如何去实现一个我们自己的令牌获取的模式呢? ...

  8. Spring Security报异常 Encoded password does not look like BCrypt

    控制台报错: Encoded password does not look like BCrypt 意思是前端传回去的密码格式与数据库里的密码格式不匹配,这样即使密码正确也无法校验.自然也就无法登录. ...

  9. OAuth 2.0 安全案例回顾

    原文:http://drops.wooyun.org/papers/598 0x00 背景 纵观账号互通发展史,可以发现OAuth比起其它协议(如OpenID)更流行的原因是,业务双方不仅要求账号本身 ...

  10. OAuth 2.0安全案例回顾

    转载自:http://www.360doc.com/content/14/0311/22/834950_359713295.shtml 0x00 背景 纵观账号互通发展史,可以发现OAuth比起其它协 ...

随机推荐

  1. 基于MaxCompute的大数据安全方案

    ​简介:随着法律的完善,数据安全,信息安全,网络安全,升级成国家安全,所以数据安全不管对用户,还是对公司也都会变的越来越重要.做为大数据云数仓解决方案的领导者,阿里云MaxCompute在安全体系上也 ...

  2. 来电科技:基于 Flink + Hologres 的实时数仓演进之路

    简介: 本文将会讲述共享充电宝开创企业来电科技如何基于 Flink + Hologres 构建统一数据服务加速的实时数仓 作者:陈健新,来电科技数据仓库开发工程师,目前专注于负责来电科技大数据平台离线 ...

  3. AI和大数据结合,智能运维平台助力流利说提升核心竞争力

    简介: 简介:本文整理自数智创新行--智能运维专场(上海站),流利说最佳实践演讲:<基于SLS千万级在线教育平台统一监控运营实践> 作者:孙文杰 流利说运维总监元乙 阿里云智能技术专家 优 ...

  4. [GPT] golang 有那么多系统包 该如何了解和学习

    在学习和了解Golang(Go语言)的系统包时,可以遵循以下步骤来逐步熟悉并掌握它们: 1. 官方文档阅读: 首先从官方文档入手,Go的标准库文档非常详尽且易于理解.你可以访问 Go标准库 来查看各个 ...

  5. 优秀的 Modbus 从站(从机、服务端)仿真器、串口调试工具

    目录 优秀的 Modbus 从站(从机.服务端)仿真器.串口调试工具 主要功能 软件截图 优秀的 Modbus 从站(从机.服务端)仿真器.串口调试工具 官网下载地址:http://www.redis ...

  6. 兼容ie8问题

    <!-- 让IE8/9支持媒体查询,从而兼容栅格 --><!--[if lt IE 9]><script src="https://cdn.staticfile ...

  7. 让 KEPServer 变成一款 Web 组态软件

    ​KEPServerEX是行业领先的连接平台,用于向您的所有应用程序提供单一来源的工业自动化数据.该平台的设计使用户能够通过一个直观的用户界面来连接.管理.监视和控制不同的自动化设备和软件应用程序. ...

  8. js部分数组方法

    <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8&quo ...

  9. 一个现代化轻量级的跨平台Redis桌面客户端

    大家好,我是 Java陈序员. Redis 作为一款高性能的非关系型数据库,可是深受开发者的喜爱,无论是什么开发,都能看到 Redis 的身影. 今天,给大家介绍一款跨平台的 Redis 客户端连接工 ...

  10. 深入剖析:如何使用Pulsar和Arthas高效排查消息队列延迟问题

    背景 前两天收到业务反馈有一个 topic 的分区消息堆积了: 根据之前的经验来看,要么是业务消费逻辑出现问题导致消费过慢,当然也有小概率是消息队列的 Bug(我们使用的是 pulsar). 排查 通 ...