x509验证失败,无法被捕获

时间:2019-05-23 19:44:14

标签: spring security x509

我有一个使用x509身份验证的Spring Boot应用程序,该应用程序进一步根据数据库验证用户。当用户访问站点时,内部Spring代码将调用loadUserByUsername方法,该方法又将进行数据库调用。这一切都发生在控制器意识到任何事情发生之前。如果找不到该用户,它将引发EntityNotFoundException并在用户的浏览器上显示堆栈跟踪。

我正在使用Spring Boot Starter。控制器具有捕获异常并返回“未授权”消息的代码,但这早已发生。还有其他人看到过这个吗,您有解决方法吗?

@Service
public class UserService implements UserDetailsService {
    public UserDetails loadUserByUsername(String dn) {
        ApprovedUser details = auService.getOne(dn);
        if (details ==  null){
            String message = "User not authorized: " + dn;
            throw new UsernameNotFoundException(message);
        }

        List<GrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
        if (details.isAdminUser()){
            authorities.add(new SimpleGrantedAuthority("ROLE_ADMIN_USER"));
        }
        return new AppUser(dn, "", authorities);
    }

1 个答案:

答案 0 :(得分:1)

通常,您将使用AuthenticationFailureHandler来封装由AuthenticationException触发的逻辑。 X509AuthenticationFilter通常会调用PreAuthenticatedAuthenticationProvider进行身份验证,这反过来又会从loadUserByUsername(...)调用UserDetailsService方法。 AuthenticationException引发的任何UserDetailsService都将被过滤器捕获,并将控制权传递给已注册的AuthenticationFailureHandler。其中包括UsernameNotFoundException

但是,如果您使用的是X509Configurerhttp.x509()),则无法直接在过滤器上设置处理程序。因此,一旦引发异常,X509AuthenticationFilter就会捕获该异常,发现没有默认处理程序,然后将请求传递到过滤器链中的下一个过滤器。

一种解决方法是提供自定义X509AuthenticationFilter

WebSecurityConfigurerAdapter中:

@Autowired
private AuthenticationFailureHandler customFailureHandler;

@Autowired
private UserService customUserService;

@Bean(name = BeanIds.AUTHENTICATION_MANAGER)
@Override
public AuthenticationManager authenticationManagerBean() throws Exception {
    return super.authenticationManagerBean();
} 

protected void configure(HttpSecurity http) throws Exception {
    ...
    http.x509().x509AuthenticationFilter(myX509Filter())
    .userDetailsService(customUserService)
    ...
}

private X509AuthenticationFilter myX509Filter() {
    X509AuthenticationFilter myCustomFilter = new X509AuthenticationFilter();
    myCustomFilter.setAuthenticationManager(authenticationManagerBean());
    ...
    myCustomFilter.setContinueFilterChainOnUnsuccessfulAuthentication(false);
    myCustomFilter.setAuthenticationFailureHandler(customFailureHandler);
    return myCustomFilter;
}

然后,您可以编写自己的AuthenticationFailureHandler实现并将其公开为bean。