我有一个使用x509身份验证的Spring Boot应用程序,该应用程序进一步根据数据库验证用户。当用户访问站点时,内部Spring代码将调用loadUserByUsername方法,该方法又将进行数据库调用。这一切都发生在控制器意识到任何事情发生之前。如果找不到该用户,它将引发EntityNotFoundException并在用户的浏览器上显示堆栈跟踪。
我正在使用Spring Boot Starter。控制器具有捕获异常并返回“未授权”消息的代码,但这早已发生。还有其他人看到过这个吗,您有解决方法吗?
@Service
public class UserService implements UserDetailsService {
public UserDetails loadUserByUsername(String dn) {
ApprovedUser details = auService.getOne(dn);
if (details == null){
String message = "User not authorized: " + dn;
throw new UsernameNotFoundException(message);
}
List<GrantedAuthority> authorities = new ArrayList<>();
authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
if (details.isAdminUser()){
authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN_USER"));
}
return new AppUser(dn, "", authorities);
}
答案 0 :(得分:1)
通常,您将使用AuthenticationFailureHandler
来封装由AuthenticationException
触发的逻辑。 X509AuthenticationFilter
通常会调用PreAuthenticatedAuthenticationProvider
进行身份验证,这反过来又会从loadUserByUsername(...)
调用UserDetailsService
方法。 AuthenticationException
引发的任何UserDetailsService
都将被过滤器捕获,并将控制权传递给已注册的AuthenticationFailureHandler
。其中包括UsernameNotFoundException
。
但是,如果您使用的是X509Configurer
(http.x509()
),则无法直接在过滤器上设置处理程序。因此,一旦引发异常,X509AuthenticationFilter
就会捕获该异常,发现没有默认处理程序,然后将请求传递到过滤器链中的下一个过滤器。
一种解决方法是提供自定义X509AuthenticationFilter
。
在WebSecurityConfigurerAdapter
中:
@Autowired
private AuthenticationFailureHandler customFailureHandler;
@Autowired
private UserService customUserService;
@Bean(name = BeanIds.AUTHENTICATION_MANAGER)
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
return super.authenticationManagerBean();
}
protected void configure(HttpSecurity http) throws Exception {
...
http.x509().x509AuthenticationFilter(myX509Filter())
.userDetailsService(customUserService)
...
}
private X509AuthenticationFilter myX509Filter() {
X509AuthenticationFilter myCustomFilter = new X509AuthenticationFilter();
myCustomFilter.setAuthenticationManager(authenticationManagerBean());
...
myCustomFilter.setContinueFilterChainOnUnsuccessfulAuthentication(false);
myCustomFilter.setAuthenticationFailureHandler(customFailureHandler);
return myCustomFilter;
}
然后,您可以编写自己的AuthenticationFailureHandler
实现并将其公开为bean。