Spring Security - AD服务器脱机时无法捕获LDAP异常

时间:2015-09-28 07:55:19

标签: java spring-security

我在我们的应用程序中启动并运行了Spring Security LDAP身份验证,除了一个方面外,一切都运行顺畅。那是 如果AD服务器碰巧离线或无法触及,则抛出org.springframework.ldap.CommunicationException。然而,这个例外没有被捕获 并作为Tomcat HTTP 500错误页面传播回客户端,包括堆栈跟踪(如下所示)。

我正在使用带有Spring Security 4.0.1,Java 8和Tomcat 7.0.42的java配置。

springframework.ldap.CommunicationException: localhost:389; nested exception is javax.naming.CommunicationException: localhost:389 [Root exception is java.net.ConnectException: Connection refused: connect]
org.springframework.ldap.support.LdapUtils.convertLdapException(LdapUtils.java:108)
org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider.bindAsUser(ActiveDirectoryLdapAuthenticationProvider.java:211)
org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider.doAuthentication(ActiveDirectoryLdapAuthenticationProvider.java:143)
org.springframework.security.ldap.authentication.AbstractLdapAuthenticationProvider.authenticate(AbstractLdapAuthenticationProvider.java:82)
org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:167)
org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:192)
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter.attemptAuthentication(UsernamePasswordAuthenticationFilter.java:93)
... other frames omitted

在这个异常跟踪中没有我们的代码,甚至在堆栈的上方(我为了简洁而省略了它,因为它只是Servlet过滤器链)。

通常我在这种情况下我只是将Spring ActiveDirectoryLdapAuthenticationProvider类子类化并在该派生类调用中 try / catch中的基类doAuthentication()方法从那里开始。不幸的是,声明了ActiveDirectoryLdapAuthenticationProvider 作为最终决定,所以我不能这样做。

为了尝试在我的代码中捕获异常,我尝试了一些其他的东西。这些是

  1. 在formLogin配置中添加了authenticationfailurehandler,如下所示。但是,当异常被抛出时,这不会被调用,它似乎只是 触发基于身份验证的异常,

        ...
        .formLogin()            
            .usernameParameter("j_username")
            .passwordParameter("j_password")            
            .loginPage("/login.jsp")
            .loginProcessingUrl("/j_spring_security_check")         
            .successHandler(authenticationSuccessHandler())
            .failureHandler(authenticationFailureHandler())
        .and()
        ...
    
  2. 使用SecurityConfig.java文件中的以下代码为任何未经身份验证的请求设置authenticationEndpoint,

        ...
        .formLogin()            
            .usernameParameter("j_username")
            .passwordParameter("j_password")            
            .loginPage("/login.jsp")
            .loginProcessingUrl("/j_spring_security_check")         
            .successHandler(authenticationSuccessHandler())
        .and()
        .exceptionHandling().authenticationEntryPoint(myAuthenticationEntryPoint())
        ...
    
  3. 其中myAuthenticationEntryPoint()方法是一个@Bean注释方法,它只返回一个新的Http403ForbiddenEntryPoint。但同样这不会被称为 我仍然从配置的身份验证入口点返回HTTP 500错误,而不是403.

    在Spring Security源代码中抛出异常的实际方法如下所示:

    private DirContext bindAsUser(String username, String password) {
        // TODO. add DNS lookup based on domain
        final String bindUrl = url;
    
        Hashtable<String,String> env = new Hashtable<String,String>();
        env.put(Context.SECURITY_AUTHENTICATION, "simple");
        String bindPrincipal = createBindPrincipal(username);
        env.put(Context.SECURITY_PRINCIPAL, bindPrincipal);
        env.put(Context.PROVIDER_URL, bindUrl);
        env.put(Context.SECURITY_CREDENTIALS, password);
        env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
        env.put(Context.OBJECT_FACTORIES, DefaultDirObjectFactory.class.getName());
    
        try {
            return contextFactory.createContext(env);
        } catch (NamingException e) {
            if ((e instanceof AuthenticationException) || (e instanceof OperationNotSupportedException)) {
                handleBindException(bindPrincipal, e);
                throw badCredentials(e);
            } else {
                throw LdapUtils.convertLdapException(e);
            }
        }
    }
    

    对于AD服务器不可联系的情况,代码进入异常处理程序中的else子句,我们得到一个基于Ldap的异常。据我所知,这意味着没有任何“正常”的身份验证失败处理程序被调用。

    我发现捕获此异常的唯一方法是“分叉”ActiveDirectoryLdapAuthenticationProvider类,即将其内容剪切+粘贴到新类中并从中派生一个类。这样做可以按预期工作,我可以在try / catch中捕获异常。但我真的不想选择这个选项,因为它只是一个黑客。

    是否有人遇到类似情况并找到了更优雅的解决方案?我不禁想到必须有办法处理所有异常 登录过程,而不仅仅是基于身份验证的过程,但我一直无法找到这样做的方法。

2 个答案:

答案 0 :(得分:0)

您可以定义处理ControllerAdvice的{​​{1}}。您可以指定每个异常类型的响应或视图。

ldap.CommunicationException

该示例将根据Request的Accept标头返回响应正文中序列化的ErrorMessage。如果您想提供视图,可以直接返回@ControllerAdvice public class LdapErrorController { @ExceptionHandler({CommunicationException.class}) public ResponseEntity<ErrorMessage> handleLdapCommunicationException(Exception ex) { return new ResponseEntity<ErrorMessage>(new ErrorMessage("Can not connect to LDAP server."), HttpStatus.INTERNAL_SERVER_ERROR); } } ModelAndView

答案 1 :(得分:0)

你刚刚在@kpentchev回答中写道:

  

抛出此异常时我的预期行为是我可以   捕获它并将用户返回到具有适当错误的登录页面。   而不是使用只看到蓝色Tomcat 500错误页面   异常追踪。

如果您只想“阻止”默认的Tomcat错误页面,以便攻击者或用户无法看到有关您服务器的重要信息,可以将其放入您的web.xml中:

<error-page> 
<error-code>500</error-code> 
<location>/error.jsp</location> 
</error-page>

之后,在你的error.jsp页面中,你可以用以下方法检查异常:

Throwable throwable = (Throwable) request
                .getAttribute("javax.servlet.error.exception");

并将用户重定向到登录页面,以防throwable是CommunicationException.class

的实例