我在我们的应用程序中启动并运行了Spring Security LDAP身份验证,除了一个方面外,一切都运行顺畅。那是 如果AD服务器碰巧离线或无法触及,则抛出org.springframework.ldap.CommunicationException。然而,这个例外没有被捕获 并作为Tomcat HTTP 500错误页面传播回客户端,包括堆栈跟踪(如下所示)。
我正在使用带有Spring Security 4.0.1,Java 8和Tomcat 7.0.42的java配置。
springframework.ldap.CommunicationException: localhost:389; nested exception is javax.naming.CommunicationException: localhost:389 [Root exception is java.net.ConnectException: Connection refused: connect]
org.springframework.ldap.support.LdapUtils.convertLdapException(LdapUtils.java:108)
org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider.bindAsUser(ActiveDirectoryLdapAuthenticationProvider.java:211)
org.springframework.security.ldap.authentication.ad.ActiveDirectoryLdapAuthenticationProvider.doAuthentication(ActiveDirectoryLdapAuthenticationProvider.java:143)
org.springframework.security.ldap.authentication.AbstractLdapAuthenticationProvider.authenticate(AbstractLdapAuthenticationProvider.java:82)
org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:167)
org.springframework.security.authentication.ProviderManager.authenticate(ProviderManager.java:192)
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter.attemptAuthentication(UsernamePasswordAuthenticationFilter.java:93)
... other frames omitted
在这个异常跟踪中没有我们的代码,甚至在堆栈的上方(我为了简洁而省略了它,因为它只是Servlet过滤器链)。
通常我在这种情况下我只是将Spring ActiveDirectoryLdapAuthenticationProvider类子类化并在该派生类调用中 try / catch中的基类doAuthentication()方法从那里开始。不幸的是,声明了ActiveDirectoryLdapAuthenticationProvider 作为最终决定,所以我不能这样做。
为了尝试在我的代码中捕获异常,我尝试了一些其他的东西。这些是
在formLogin配置中添加了authenticationfailurehandler,如下所示。但是,当异常被抛出时,这不会被调用,它似乎只是 触发基于身份验证的异常,
...
.formLogin()
.usernameParameter("j_username")
.passwordParameter("j_password")
.loginPage("/login.jsp")
.loginProcessingUrl("/j_spring_security_check")
.successHandler(authenticationSuccessHandler())
.failureHandler(authenticationFailureHandler())
.and()
...
使用SecurityConfig.java文件中的以下代码为任何未经身份验证的请求设置authenticationEndpoint,
...
.formLogin()
.usernameParameter("j_username")
.passwordParameter("j_password")
.loginPage("/login.jsp")
.loginProcessingUrl("/j_spring_security_check")
.successHandler(authenticationSuccessHandler())
.and()
.exceptionHandling().authenticationEntryPoint(myAuthenticationEntryPoint())
...
其中myAuthenticationEntryPoint()方法是一个@Bean注释方法,它只返回一个新的Http403ForbiddenEntryPoint。但同样这不会被称为 我仍然从配置的身份验证入口点返回HTTP 500错误,而不是403.
在Spring Security源代码中抛出异常的实际方法如下所示:
private DirContext bindAsUser(String username, String password) {
// TODO. add DNS lookup based on domain
final String bindUrl = url;
Hashtable<String,String> env = new Hashtable<String,String>();
env.put(Context.SECURITY_AUTHENTICATION, "simple");
String bindPrincipal = createBindPrincipal(username);
env.put(Context.SECURITY_PRINCIPAL, bindPrincipal);
env.put(Context.PROVIDER_URL, bindUrl);
env.put(Context.SECURITY_CREDENTIALS, password);
env.put(Context.INITIAL_CONTEXT_FACTORY, "com.sun.jndi.ldap.LdapCtxFactory");
env.put(Context.OBJECT_FACTORIES, DefaultDirObjectFactory.class.getName());
try {
return contextFactory.createContext(env);
} catch (NamingException e) {
if ((e instanceof AuthenticationException) || (e instanceof OperationNotSupportedException)) {
handleBindException(bindPrincipal, e);
throw badCredentials(e);
} else {
throw LdapUtils.convertLdapException(e);
}
}
}
对于AD服务器不可联系的情况,代码进入异常处理程序中的else子句,我们得到一个基于Ldap的异常。据我所知,这意味着没有任何“正常”的身份验证失败处理程序被调用。
我发现捕获此异常的唯一方法是“分叉”ActiveDirectoryLdapAuthenticationProvider类,即将其内容剪切+粘贴到新类中并从中派生一个类。这样做可以按预期工作,我可以在try / catch中捕获异常。但我真的不想选择这个选项,因为它只是一个黑客。
是否有人遇到类似情况并找到了更优雅的解决方案?我不禁想到必须有办法处理所有异常 登录过程,而不仅仅是基于身份验证的过程,但我一直无法找到这样做的方法。
答案 0 :(得分:0)
您可以定义处理ControllerAdvice
的{{1}}。您可以指定每个异常类型的响应或视图。
ldap.CommunicationException
该示例将根据Request的Accept标头返回响应正文中序列化的ErrorMessage。如果您想提供视图,可以直接返回@ControllerAdvice
public class LdapErrorController {
@ExceptionHandler({CommunicationException.class})
public ResponseEntity<ErrorMessage> handleLdapCommunicationException(Exception ex) {
return new ResponseEntity<ErrorMessage>(new ErrorMessage("Can not connect to LDAP server."), HttpStatus.INTERNAL_SERVER_ERROR);
}
}
或ModelAndView
。
答案 1 :(得分:0)
你刚刚在@kpentchev回答中写道:
抛出此异常时我的预期行为是我可以 捕获它并将用户返回到具有适当错误的登录页面。 而不是使用只看到蓝色Tomcat 500错误页面 异常追踪。
如果您只想“阻止”默认的Tomcat错误页面,以便攻击者或用户无法看到有关您服务器的重要信息,可以将其放入您的web.xml中:
<error-page>
<error-code>500</error-code>
<location>/error.jsp</location>
</error-page>
之后,在你的error.jsp页面中,你可以用以下方法检查异常:
Throwable throwable = (Throwable) request
.getAttribute("javax.servlet.error.exception");
并将用户重定向到登录页面,以防throwable是CommunicationException.class