一. 前言
相信了解過我或者看過我之前的系列文章應該多少知道點我寫這些文章包括創建 有來商城youlai-mall 這個項目的目的,想給那些真的想提升自己或者迷茫的人提供上升的基石。項目是真的從無到有(往期文章佐證),且使用當前主流的開發模式(微服務+前后端分離),最新主流的技術棧(Spring Boot+ Spring Cloud +Spring Cloud Alibaba + Vue),最流行的統一安全認證授權(OAuth2+JWT),好了玩笑開完了大家別當真,總之有興趣一起的小伙伴歡迎加入~
接下來說下這篇文章的原因,之前我是沒想過應用到項目中的OAuth2+JWT這套組合拳這么受大家關注,期間一直有童鞋問怎么自定義Spring Security OAuth2的異常處理、JWT怎么續期、JWT退出等場景下如何失效等問題,所以最近有點時間想把這套統一認證授權完善掉,本篇就以如何自定義Spring Security OAuth2異常處理展開。
往期文章鏈接:
后端
- Spring Cloud實戰 | 第一篇:Windows搭建Nacos服務
- Spring Cloud實戰 | 第二篇:Spring Cloud整合Nacos實現注冊中心
- Spring Cloud實戰 | 第三篇:Spring Cloud整合Nacos實現配置中心
- Spring Cloud實戰 | 第四篇:Spring Cloud整合Gateway實現API網關
- Spring Cloud實戰 | 第五篇:Spring Cloud整合OpenFeign實現微服務之間的調用
- Spring Cloud實戰 | 第六篇:Spring Cloud Gateway+Spring Security OAuth2+JWT實現微服務統一認證授權
- Spring Cloud實戰 | 最七篇:Spring Cloud Gateway+Spring Security OAuth2集成統一認證授權平台下實現注銷使JWT失效方案
- Spring Cloud實戰 | 最八篇:Spring Cloud +Spring Security OAuth2+ Vue前后端分離模式下無感知刷新實現JWT續期
- Spring Cloud實戰 | 最九篇:Spring Security OAuth2認證服務器統一認證自定義異常處理
管理前端
- vue-element-admin實戰 | 第一篇: 移除mock接入后台,搭建有來商城youlai-mall前后端分離管理平台
- vue-element-admin實戰 | 第二篇: 最小改動接入后台實現根據權限動態加載菜單
微信小程序
二. 自定義異常實現代碼
直接需要答案的本節走起,添加和修改三個文件即可,異常分析,點擊下載完整工程代碼
1. 在youlai-auth認證服務器模塊添加全局異常處理器AuthExceptionHandler
package com.youlai.auth.exception;
import com.youlai.common.core.result.Result;
import com.youlai.common.core.result.ResultCode;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.authentication.InternalAuthenticationServiceException;
import org.springframework.security.oauth2.common.exceptions.InvalidGrantException;
import org.springframework.web.bind.annotation.ExceptionHandler;
import org.springframework.web.bind.annotation.RestControllerAdvice;
@RestControllerAdvice
@Slf4j
public class AuthExceptionHandler {
/**
* 用戶名和密碼錯誤
*
* @param e
* @return
*/
@ExceptionHandler(InvalidGrantException.class)
public Result handleInvalidGrantException(InvalidGrantException e) {
return Result.custom(ResultCode.USERNAME_OR_PASSWORD_ERROR);
}
/**
* 賬戶異常(禁用、鎖定、過期)
*
* @param e
* @return
*/
@ExceptionHandler({InternalAuthenticationServiceException.class})
public Result handleInternalAuthenticationServiceException(InternalAuthenticationServiceException e) {
return Result.error(e.getMessage());
}
}
2. 重寫ClientCredentialsTokenEndpointFilter實現客戶端自定義異常處理
package com.youlai.auth.filter;
import org.springframework.security.authentication.AuthenticationManager;
import org.springframework.security.oauth2.config.annotation.web.configurers.AuthorizationServerSecurityConfigurer;
import org.springframework.security.oauth2.provider.client.ClientCredentialsTokenEndpointFilter;
import org.springframework.security.web.AuthenticationEntryPoint;
/**
* 重寫filter實現客戶端自定義異常處理
*/
public class CustomClientCredentialsTokenEndpointFilter extends ClientCredentialsTokenEndpointFilter {
private AuthorizationServerSecurityConfigurer configurer;
private AuthenticationEntryPoint authenticationEntryPoint;
public CustomClientCredentialsTokenEndpointFilter(AuthorizationServerSecurityConfigurer configurer) {
this.configurer = configurer;
}
@Override
public void setAuthenticationEntryPoint(AuthenticationEntryPoint authenticationEntryPoint) {
super.setAuthenticationEntryPoint(null);
this.authenticationEntryPoint = authenticationEntryPoint;
}
@Override
protected AuthenticationManager getAuthenticationManager() {
return configurer.and().getSharedObject(AuthenticationManager.class);
}
@Override
public void afterPropertiesSet() {
setAuthenticationFailureHandler((request, response, e) -> authenticationEntryPoint.commence(request, response, e));
setAuthenticationSuccessHandler((request, response, authentication) -> {
});
}
}
3. AuthorizationServerConfig認證服務器配置修改
/**
* 授權服務配置
*/
@Configuration
@EnableAuthorizationServer
@AllArgsConstructor
public class AuthorizationServerConfig extends AuthorizationServerConfigurerAdapter {
......
@Override
public void configure(AuthorizationServerSecurityConfigurer security) {
/*security.allowFormAuthenticationForClients();*/
CustomClientCredentialsTokenEndpointFilter endpointFilter = new CustomClientCredentialsTokenEndpointFilter(security);
endpointFilter.afterPropertiesSet();
endpointFilter.setAuthenticationEntryPoint(authenticationEntryPoint());
security.addTokenEndpointAuthenticationFilter(endpointFilter);
security.authenticationEntryPoint(authenticationEntryPoint())
.tokenKeyAccess("isAuthenticated()")
.checkTokenAccess("permitAll()");
}
@Bean
public AuthenticationEntryPoint authenticationEntryPoint() {
return (request, response, e) -> {
response.setStatus(HttpStatus.HTTP_OK);
response.setHeader(HttpHeaders.CONTENT_TYPE, MediaType.APPLICATION_JSON_UTF8_VALUE);
response.setHeader("Access-Control-Allow-Origin", "*");
response.setHeader("Cache-Control", "no-cache");
Result result = Result.custom(ResultCode.CLIENT_AUTHENTICATION_FAILED);
response.getWriter().print(JSONUtil.toJsonStr(result));
response.getWriter().flush();
};
}
......
}
三. 異常處理分析
其實你搜一下有關Spring Security OAuth2如何自定義異常處理,網上會很多差不多解決方案提供參考,但是照搬過來試用,一點效果沒有?!咋回事么?其實不能武斷的說人家方案不行,最多的可能是Spring Security OAuth2版本不一致,本篇項目使用的是2.3.4版本,目前截止寫這篇文章最新一版的是2020.5.28發布的2.5.0版本,后續項目會升級,如果有差異我會修改本篇文章,總之給大家提供一個解決思路,可行不可行我是不希望大家不能在我里浪費時間。
好了正文開始了~ Spring Security OAuth2認證服務器異常目前我知道的有3類:
- 用戶名或密碼錯誤
- 賬戶狀態異常
- 客戶端認證異常
有知道其他的歡迎留言補充~,以下就這3類異常逐一分析
在異常處理之前先看下UserDetailsServiceImpl#loadUserByUsername方法拋出的異常信息,如下圖:
1. 用戶名或密碼錯誤
- 異常分析
org.springframework.security.oauth2.common.exceptions.InvalidGrantException: 用戶名或密碼錯誤
通過異常堆棧信息定位到最終拋出異常的方法是ResourceOwnerPasswordTokenGranter#getOAuth2Authentication,異常類型是InvalidGrantException,其實到這個異常類型中間經過幾道轉換UsernameNotFoundException->BadCredentialsException->InvalidGrantException
- 處理方法
添加全局異常處理器捕獲(定位標識:AuthExceptionHandler)
/**
* 用戶名和密碼異常
*
* @param e
* @return
*/
@ExceptionHandler(InvalidGrantException.class)
public Result handleInvalidGrantException(InvalidGrantException e) {
return Result.error(ResultCode.USERNAME_OR_PASSWORD_ERROR);
}
- 結果驗證
驗證成功,已按照自定義異常格式返回
2. 賬戶狀態異常
- 異常分析
首先我們需要把數據庫youlai的表sys_user的字段status設置為0,表示不可用狀態,然后輸入正確的用戶名和密碼,看看跑出來的原生異常信息,可惜的是這個異常沒有打印堆棧信息,不過沒關系,我們斷點調試下,最終定位到ProviderManager#authenticate方法拋出的異常,異常類型是InternalAuthenticationServiceException。
- 處理方法
添加全局異常處理器捕獲(定位標識:AuthExceptionHandler)
/**
* 賬戶異常(禁用、鎖定、過期)
*
* @param e
* @return
*/
@ExceptionHandler({InternalAuthenticationServiceException.class})
public Result handleInternalAuthenticationServiceException(InternalAuthenticationServiceException e) {
return Result.error(e.getMessage());
}
- 結果驗證
驗證成功,已按照自定義異常格式返回
3. 客戶端認證異常
- 異常分析
之前兩種異常方式都可以通過全局異常處理器捕獲,且@RestControllerAdvice只能捕獲Controller的異常。
客戶端認證的異常則是發生在過濾器filter上,此時還沒進入DispatcherServlet請求處理流程,便無法通過全局異常處理器捕獲。
先看下客戶端認證異常出現的位置,首先把客戶端ID改成錯的。
然后執行“登錄”操作,返回錯誤信息如下:
{"error":"invalid_client","error_description":"Bad client credentials"}
一眼望去,這顯然不是我們想要的格式。
那怎么做才能捕獲這個異常轉換成自定義數據格式返回呢?顯然全局異常處理器無法實現,那必須轉換下思路了。
首先客戶端的認證是交由ClientCredentialsTokenEndpointFilter來完成的,其中有后置添加失敗處理方法,最后把異常交給OAuth2AuthenticationEntryPoint這個所謂認證入口處理。
認證入口OAuth2AuthenticationEntryPoint#commence方法中轉給父類AbstractOAuth2SecurityExceptionHandler#doHandle方法。
最后異常定格在AbstractOAuth2SecurityExceptionHandler#doHandle方法上,如下圖:
其中this.enhanceResponse是調用OAuth2AuthenticationEntryPoint#enhanceResponse方法得到響應結果數據。
- 處理方法
上面我們得知客戶端的認證失敗異常是過濾器ClientCredentialsTokenEndpointFilter轉交給OAuth2AuthenticationEntryPoint得到響應結果的,既然這樣我們就可以重寫ClientCredentialsTokenEndpointFilter然后使用自定義的AuthenticationEntryPoint替換原生的OAuth2AuthenticationEntryPoint,在自定義AuthenticationEntryPoint處理得到我們想要的異常數據。
自定義AuthenticationEntryPoint設置異常響應數據格式
重寫ClientCredentialsTokenEndpointFilter替換AuthenticationEntryPoint
認證服務器配置添加自定義過濾器
- 結果驗證
驗證成功,已按照自定義異常格式返回
四. 總結
至此,認證服務器的自定義異常處理已全部處理完畢,資源服務器異常處理說明在這篇文章 Spring Cloud實戰 | 第六篇:Spring Cloud Gateway+Spring Security OAuth2+JWT實現微服務統一認證授權,這就宣告 youlai-mall 的統一認證授權模塊基本達到完善的一個標准, 后面繼續回到業務功能的開發,所以覺得對你有幫助的給個關注(持續更新)或者給個star,灰常感謝! 最重要的如果你真的對這個項目有興趣想一起開發學習的像文章開始說的那樣請聯系我哈~