OAuth2.0实战!玩转认证、资源服务异常自定义这些骚操作!

简介: OAuth2.0实战!玩转认证、资源服务异常自定义这些骚操作!

文章都是成体系的,陈某默认看到这篇文章的读者都已经看了前期的文章,之前的知识点就不再详细介绍了。

今天这篇文章主要介绍一下实际工作中使用Spring Security需要定制的一些异常信息。

文章目录如下:

案例服务搭建

此篇文章沿用上篇文章的认证、资源服务,如下:

1、认证服务oauth2-auth-server-jwt

2、资源服务oauth2-auth-resource-jwt

案例源码已经上传GitHub,关注公众号:码猿技术专栏,回复关键词:9529 获取!

认证服务的异常

先来看一下正确的获取令牌的请求,以密码模式为例,如下图:

密码模式需要传递5个参数,分别是用户名密码客户端id客户端秘钥授权类型

那么问题来了:如果任意一个参数传错了,返回什么?

1、用户名、密码错误

故意输错用户名或者密码,返回信息如下:

2、授权类型错误

输入一个不存在的授权类型,返回信息如下:

3、客户端ID,秘钥错误

输入错误的客户端id或者秘钥,返回信息如下:

感觉如何?是不是很酸爽?很显然这返回的信息不适合前后端交互,别着急,下面介绍解决方案

认证服务自定义异常信息

上面列举了三种常见的异常,解决方案实际可以分为两种:

  • 用户名,密码错误异常、授权类型异常
  • 客户端ID、秘钥异常

陈某这里针对这两种异常先上解决方案,后面再从源码解释为什么这么做?

1、用户名,密码错误异常、授权类型异常

针对用户名、密码、授权类型错误的异常解决方式比较复杂,需要定制的比较多。

1、定制提示信息、响应码

这部分根据自己业务需要定制,陈某这里只是给出个例子,代码如下:

2、自定义WebResponseExceptionTranslator

需要自定义一个异常翻译器,默认的是DefaultWebResponseExceptionTranslator,此处必须重写,其中有一个需要实现的方法,如下:

ResponseEntity<T> translate(Exception e) throws Exception;

这个方法就是根据传递过来的Exception判断不同的异常返回特定的信息,这里需要判断的异常的如下:

  • UnsupportedGrantTypeException:不支持的授权类型异常
  • InvalidGrantException:用户名或者密码错误的异常

创建一个OAuthServerWebResponseExceptionTranslator实现WebResponseExceptionTranslator,代码如下:

3、认证服务配置文件中配置

需要将自定义的异常翻译器OAuthServerWebResponseExceptionTranslator在配置文件中配置,很简单,一行代码的事。

AuthorizationServerConfig配置文件指定,代码如下:

案例源码已经上传GitHub,关注公众号:码猿技术专栏,回复关键词:9529 获取!

4、测试

按照上述的配置完成后,测试下用户名、密码错误、授权类型错误是否能够正确返回定制的提示信息,如下:

用户名、密码错误授权类型不支持

5、源码追踪

实践有了,总该理解一下为什么这么做吧?下面从源码的角度告诉你为什么要这么做?

我们知道获取令牌的接口为 /oauth/token,这个接口定义在TokenEndpoint#postAccessToken()(POST请求)方法中,如下图:

我们先不看其中的逻辑,平时我们写接口的异常怎么处理?

一般都是通过 @ExceptionHandler 特定的异常,然后统一的进行异常处理,是不是这样?

然后看一下上述的两种异常属于什么类型的,如下:

UnsupportedGrantTypeExceptionInvalidGrantException

是不是都继承了OAuth2Exception,那么尝试在TokenEndpoint这个类中找找有没有处理OAuth2Exception这个异常的处理器,果然找到了一个 handleException() 方法,如下:

可以看到,这里的异常翻译器已经使用了我们自定义的OAuthServerWebResponseExceptionTranslator。可以看下默认的异常翻译器是啥,代码如下:

看到没,就是这个DefaultWebResponseExceptionTranslator

问题又来了:为什么在配置文件中设置了OAuthServerWebResponseExceptionTranslator就会生效呢?

这个不得不看下 @EnableAuthorizationServer 这个注解了,源码如下:

注入了这个AuthorizationServerEndpointsConfiguration配置类,其中注入了AuthorizationEndpoint这个bean,如下:

将自定义的异常翻译器设置进入了AbstractEndpoint这个抽象类中,而TokenEndpoint正是继承了这个抽象类,复用了其中的异常翻译器,代码如下:

哦了,问题解决了,学东西一定要知其所以然...............

2、客户端ID、秘钥异常

这部分比较复杂,想要理解还是需要些基础的,解决这个异常的方案很多,陈某只是介绍其中一种,下面详细介绍。

1、定制提示信息、响应码

这部分根据自己业务需要定制,陈某这里只是给出个例子,代码如下:

2、自定义AuthenticationEntryPoint

这个AuthenticationEntryPoint是不是很熟悉,前面的文章已经介绍过了,此处需要自定义来返回定制的提示信息。

创建OAuthServerAuthenticationEntryPoint,实现AuthenticationEntryPoint,重写其中的方法,代码如下:

3、改造ClientCredentialsTokenEndpointFilter

ClientCredentialsTokenEndpointFilter这个过滤器的主要作用就是校验客户端的ID、秘钥,代码如下:

有几个重要的部分需要讲一下,如下:

  • 构造方法中需要传入第2步自定义的 OAuthServerAuthenticationEntryPoint
  • 重写 getAuthenticationManager() 方法返回IOC中的AuthenticationManager
  • 重写afterPropertiesSet() 方法,用于自定义认证失败、成功处理器,失败处理器中调用OAuthServerAuthenticationEntryPoint进行异常提示信息返回

4、OAuth配置文件中指定过滤器

只需要将自定义的过滤器添加到AuthorizationServerSecurityConfigurer中,代码如下:

部分是添加过滤器,其中authenticationEntryPoint使用的是第2步自定义的OAuthServerAuthenticationEntryPoint

部分一定要注意:一定要去掉这行代码,具体原因源码解释。

案例源码已经上传GitHub,关注公众号:码猿技术专栏,回复关键词:9529 获取!

5、测试

直接输入错误的秘钥,结果如下:

6、源码追踪

1、OAuthServerAuthenticationEntryPoint在何时调用?

OAuthServerAuthenticationEntryPoint这个过滤器继承了 AbstractAuthenticationProcessingFilter 这个抽象类,一切的逻辑都在 doFilter() 中,陈某简化了其中的关键代码如下:

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain)
   throws IOException, ServletException {
    try {
         //调用子类的attemptAuthentication方法,获取参数并且认证
   authResult = attemptAuthentication(request, response);
  }
  catch (InternalAuthenticationServiceException failed) {
            //一旦认证异常,则调用unsuccessfulAuthentication方法,通过failureHandler处理
   unsuccessfulAuthentication(request, response, failed);
   return;
  }
  catch (AuthenticationException failed) {
            //一旦认证异常,则调用unsuccessfulAuthentication方法,通过failureHandler处理
   unsuccessfulAuthentication(request, response, failed);
   return;
  }
  //认证成功,则调用successHandler处理
  successfulAuthentication(request, response, chain, authResult);
}

关键代码在 unsuccessfulAuthentication() 这个方法中,代码如下:

2、自定义的过滤器如何生效的?

这个就要看 AuthorizationServerSecurityConfigurer#configure() 这个方法了,其中有一段代码如下:

这段代码就是遍历添加的过滤器将其添加到过滤器链中,在BasicAuthenticationFilter这个过滤器之前。

添加到security的过滤器链中,这个过滤器自然会生效了。

3、为什么不能加.allowFormAuthenticationForClients()?

还是在 AuthorizationServerSecurityConfigurer#configure() 这个方法中,一旦设置了 allowFormAuthenticationForClients 为true,则会创建 ClientCredentialsTokenEndpointFilter,此时自定义的自然失效了。

资源服务器的异常

从认证服务获取到令牌之后去请求资源服务的资源,这里涉及到的异常主要有两个,如下:

1、令牌失效

比如令牌不正确、过期,此时返回的异常提示如下:

2、权限不足

令牌的权限不足,比如 /admin 接口只允许 admin 角色访问,此时返回的异常信息如下:

资源服务自定义异常信息

下面针对上述两种异常分别定制异常提示信息,这个比认证服务定制简单。

1、令牌失效

这个比较简单,也是需要自定义AuthenticationEntryPoint。步骤如下:

1、自定义AuthenticationEntryPoint

这个和认证服务的客户端异常类似,这里不再详细说了,直接贴代码,如下:

2、OAuth配置文件中配置

这个比较简单,直接在配置文件中配置即可,代码如下:

3、测试

此时拿着失效的令牌访问资源服务,可以看到已经正常返回定制的提示信息了,如下:

源码和认证服务的类似,自己断点试试,还是很简单的。

案例源码已经上传GitHub,关注公众号:码猿技术专栏,回复关键词:9529 获取!

2、权限不足

这个异常定制就更简单了,陈某在第一篇文章:实战!Spring Boot Security+JWT前后端分离架构登录认证!介绍过,下面简单的贴下代码。

1、自定义AccessDeniedHandler

代码如下:

2、OAuth配置文件中配置

和令牌失效的异常配置在同一个方法中,代码如下:

3、测试

访问 /admin 接口,此时的提示信息如下:

相关文章
|
Java
SpringBoot 整合JWT实现基于自定义注解的-登录请求验证拦截(保姆级教学,附:源码)2
SpringBoot 整合JWT实现基于自定义注解的-登录请求验证拦截
228 0
|
1月前
|
存储 开发工具 数据库
认证源码分析与自定义后端认证逻辑
认证源码分析与自定义后端认证逻辑
34 0
认证源码分析与自定义后端认证逻辑
|
6月前
|
消息中间件 Serverless Go
Serverless 应用引擎操作报错合集之通过自定义域名配置jwt认证,始终报错:"Code": "JWTTokenIsInvalid",是什么导致的
Serverless 应用引擎(SAE)是阿里云提供的Serverless PaaS平台,支持Spring Cloud、Dubbo、HSF等主流微服务框架,简化应用的部署、运维和弹性伸缩。在使用SAE过程中,可能会遇到各种操作报错。以下是一些常见的报错情况及其可能的原因和解决方法。
120 2
|
7月前
|
安全 Java 开发者
Spring Security自定义认证异常和授权异常
Spring Security自定义认证异常和授权异常
437 4
|
7月前
|
安全 JavaScript 前端开发
若依实现单点登录(解析请求链接中的参数做鉴权认证)
若依实现单点登录(解析请求链接中的参数做鉴权认证)
|
7月前
|
存储 缓存 前端开发
自定义OAuth2组件实现对授权码登录模式的封装
所谓OAuth2其实就是Open Authorization,即开放授权,是一种授权机制或者说是一种协议。OAuth2允许用户授权第三方应用访问其存储在开放平台(授权服务器)中的数据而不需要提供密码。授权服务器根据OAuth2协议标准制订一套授权的API,第三方网站接入开放平台之后即可通过其提供的API来实现用户授权和获取授权服务器中用户的信息的功能。
|
移动开发 小程序 安全
Spring Security OAuth2 微服务认证中心自定义授权模式扩展以及常见登录认证场景下的应用实战(二)
Spring Security OAuth2 微服务认证中心自定义授权模式扩展以及常见登录认证场景下的应用实战(二)
Spring Security OAuth2 微服务认证中心自定义授权模式扩展以及常见登录认证场景下的应用实战(二)
|
安全 前端开发 小程序
Spring Security OAuth2 微服务认证中心自定义授权模式扩展以及常见登录认证场景下的应用实战(一)
Spring Security OAuth2 微服务认证中心自定义授权模式扩展以及常见登录认证场景下的应用实战(一)
|
存储 JSON 算法
SpringBoot 整合JWT实现基于自定义注解的-登录请求验证拦截(保姆级教学,附:源码)1
SpringBoot 整合JWT实现基于自定义注解的-登录请求验证拦截
366 0
|
JSON Java 数据库连接
SpringBoot 集成cas5.3 实现自定义认证策略
如果CAS框架提供的方案还是不能满足我们的需要,比如我们不仅需要用户名和密码,还要验证其他信息,比如邮箱,手机号,但是邮箱,手机信息在另一个数据库,还有在一段时间内同一IP输入错误次数限制等。这里就需要我们自定义认证策略,自定义CAS的web认证流程。
1047 0