x509验证失败，无法被捕获

Question

我有一个使用x509身份验证的Spring Boot应用程序，该应用程序进一步根据数据库验证用户。当用户访问站点时，内部Spring代码将调用loadUserByUsername方法，该方法又将进行数据库调用。这一切都发生在控制器意识到任何事情发生之前。如果找不到该用户，它将引发EntityNotFoundException并在用户的浏览器上显示堆栈跟踪。

我正在使用Spring Boot Starter。控制器具有捕获异常并返回“未授权”消息的代码，但这早已发生。还有其他人看到过这个吗，您有解决方法吗？

@Service
public class UserService implements UserDetailsService {
    public UserDetails loadUserByUsername(String dn) {
        ApprovedUser details = auService.getOne(dn);
        if (details ==  null){
            String message = "User not authorized: " + dn;
            throw new UsernameNotFoundException(message);
        }

        List<GrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
        if (details.isAdminUser()){
            authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN_USER"));
        }
        return new AppUser(dn, "", authorities);
    }

Answer 1

通常，您将使用AuthenticationFailureHandler来封装由AuthenticationException触发的逻辑。 X509AuthenticationFilter通常会调用PreAuthenticatedAuthenticationProvider进行身份验证，这反过来又会从loadUserByUsername(...)调用UserDetailsService方法。 AuthenticationException引发的任何UserDetailsService都将被过滤器捕获，并将控制权传递给已注册的AuthenticationFailureHandler。其中包括UsernameNotFoundException。

但是，如果您使用的是X509Configurer（http.x509()），则无法直接在过滤器上设置处理程序。因此，一旦引发异常，X509AuthenticationFilter就会捕获该异常，发现没有默认处理程序，然后将请求传递到过滤器链中的下一个过滤器。

一种解决方法是提供自定义X509AuthenticationFilter。

在WebSecurityConfigurerAdapter中：

@Autowired
private AuthenticationFailureHandler customFailureHandler;

@Autowired
private UserService customUserService;

@Bean(name = BeanIds.AUTHENTICATION_MANAGER)
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
    return super.authenticationManagerBean();
} 

protected void configure(HttpSecurity http) throws Exception {
    ...
    http.x509().x509AuthenticationFilter(myX509Filter())
    .userDetailsService(customUserService)
    ...
}

private X509AuthenticationFilter myX509Filter() {
    X509AuthenticationFilter myCustomFilter = new X509AuthenticationFilter();
    myCustomFilter.setAuthenticationManager(authenticationManagerBean());
    ...
    myCustomFilter.setContinueFilterChainOnUnsuccessfulAuthentication(false);
    myCustomFilter.setAuthenticationFailureHandler(customFailureHandler);
    return myCustomFilter;
}

然后，您可以编写自己的AuthenticationFailureHandler实现并将其公开为bean。