Spring Security Oauth2 自定义 OAuth2 Exception

最新推荐文章于 2025-04-03 16:32:45 发布
最新推荐文章于 2025-04-03 16:32:45 发布
阅读量2.8w 收藏 20
点赞数 6
分类专栏: JAVAweb
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dandandeshangni/article/details/80472147
版权
本文介绍了如何在Spring Security Oauth2中自定义登录失败和Token异常的返回信息,包括新增CustomOauthException和CustomOauthExceptionSerializer,修改配置以指定自定义异常处理,以及实现AuthExceptionEntryPoint和CustomAccessDeniedHandler。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

付出就要得到回报,这种想法是错的。

https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/spring-security-OAuth208.png

前言

在使用Spring Security Oauth2登录和鉴权失败时,默认返回的异常信息如下

{
  "error": "unauthorized",
  "error_description": "Full authentication is required to access this resource"
}

。它与我们自定义返回信息不一致,并且描述信息较少。那么如何自定义Spring Security Oauth2异常信息呢,下面我们简单实现以下。格式如下:


{
"error": "400",
"message": "坏的凭证",
"path": "/oauth/token",
"timestamp": "1527432468717"
}

自定义登录失败异常信息

新增CustomOauthException
  • 添加自定义异常类,指定json序列化方式
@JsonSerialize(using = CustomOauthExceptionSerializer.class)
public class CustomOauthException extends OAuth2Exception {
    public CustomOauthException(String msg) {
        super(msg);
    }
}
新增CustomOauthExceptionSerializer
  • 添加CustomOauthException的序列化实现
public class CustomOauthExceptionSerializer extends StdSerializer<CustomOauthException> {
    public CustomOauthExceptionSerializer() {
        super(CustomOauthException.class);
    }

    @Override
    public void serialize(CustomOauthException value, JsonGenerator gen, SerializerProvider provider) throws IOException {
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();

        gen.writeStartObject();
        gen.writeStringField("error", String.valueOf(value.getHttpErrorCode()));
        gen.writeStringField("message", value.getMessage());
//        gen.writeStringField("message", "用户名或密码错误");
        gen.writeStringField("path", request.getServletPath());
        gen.writeStringField("timestamp", String.valueOf(new Date().getTime()));
        if (value.getAdditionalInformation()!=null) {
            for (Map.Entry<String, String> entry : value.getAdditionalInformation().entrySet()) {
                String key = entry.getKey();
                String add = entry.getValue();
                gen.writeStringField(key, add);
            }
        }
        gen.writeEndObject();
    }
}
添加CustomWebResponseExceptionTranslator
  • 添加CustomWebResponseExceptionTranslator,登录发生异常时指定exceptionTranslator
public class CustomOauthExceptionSerializer extends StdSerializer<CustomOauthException> {
    public CustomOauthExceptionSerializer() {
        super(CustomOauthException.class);
    }

    @Override
    public void serialize(CustomOauthException value, JsonGenerator gen, SerializerProvider provider) throws IOException {
        HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();

        gen.writeStartObject();
        gen.writeStringField("error", String.valueOf(value.getHttpErrorCode()));
        gen.writeStringField("message", value.getMessage());
//        gen.writeStringField("message", "用户名或密码错误");
        gen.writeStringField("path", request.getServletPath());
        gen.writeStringField("timestamp", String.valueOf(new Date().getTime()));
        if (value.getAdditionalInformation()!=null) {
            for (Map.Entry<String, String> entry : value.getAdditionalInformation().entrySet()) {
                String key = entry.getKey();
                String add = entry.getValue();
                gen.writeStringField(key, add);
            }
        }
        gen.writeEndObject();
    }
}
修改MerryyouAuthorizationServerConfig
  • 指定自定义customWebResponseExceptionTranslator
@Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        endpoints.tokenStore(tokenStore)
                .authenticationManager(authenticationManager)
                .userDetailsService(userDetailsService);
        //扩展token返回结果
        if (jwtAccessTokenConverter != null && jwtTokenEnhancer != null) {
            TokenEnhancerChain tokenEnhancerChain = new TokenEnhancerChain();
            List<TokenEnhancer> enhancerList = new ArrayList();
            enhancerList.add(jwtTokenEnhancer);
            enhancerList.add(jwtAccessTokenConverter);
            tokenEnhancerChain.setTokenEnhancers(enhancerList);
            //jwt
            endpoints.tokenEnhancer(tokenEnhancerChain)
                    .accessTokenConverter(jwtAccessTokenConverter);
        }
        endpoints.exceptionTranslator(customWebResponseExceptionTranslator);
    }

自定义Token异常信息

添加AuthExceptionEntryPoint
  • 自定义AuthExceptionEntryPoint用于tokan校验失败返回信息
public class AuthExceptionEntryPoint implements AuthenticationEntryPoint {


    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException)
            throws  ServletException {

        Map map = new HashMap();
        map.put("error", "401");
        map.put("message", authException.getMessage());
        map.put("path", request.getServletPath());
        map.put("timestamp", String.valueOf(new Date().getTime()));
        response.setContentType("application/json");
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        try {
            ObjectMapper mapper = new ObjectMapper();
            mapper.writeValue(response.getOutputStream(), map);
        } catch (Exception e) {
            throw new ServletException();
        }
    }
}
添加CustomAccessDeniedHandler
  • 授权失败(forbidden)时返回信息
@Slf4j
@Component("customAccessDeniedHandler")
public class CustomAccessDeniedHandler implements AccessDeniedHandler {

    @Autowired
    private ObjectMapper objectMapper;

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setContentType("application/json;charset=UTF-8");
            Map map = new HashMap();
            map.put("error", "400");
            map.put("message", accessDeniedException.getMessage());
            map.put("path", request.getServletPath());
            map.put("timestamp", String.valueOf(new Date().getTime()));
            response.setContentType("application/json");
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            response.getWriter().write(objectMapper.writeValueAsString(map));
    }
}
修改MerryyouResourceServerConfig
    @Override
    public void configure(ResourceServerSecurityConfigurer resources) throws Exception {
        resources.authenticationEntryPoint(new AuthExceptionEntryPoint())
        .accessDeniedHandler(CustomAccessDeniedHandler);
    }

效果如下

登录异常

https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/security/spring-security-oauth209.gif

token异常

https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/security/spring-security-oauth210.gif

禁止访问

https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/security/spring-security-oauth211.gif

token失效

https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/security/spring-security-oauth212.gif

代码下载

推荐文章

  1. Java创建区块链系列
  2. Spring Security源码分析系列
  3. Spring Data Jpa 系列
  4. 【译】数据结构中关于树的一切(java版)
  5. SpringBoot+Docker+Git+Jenkins实现简易的持续集成和持续部署

https://raw.githubusercontent.com/longfeizheng/longfeizheng.github.io/master/images/wechat/xiaochengxu.png

������关注微信小程序java架构师历程
上下班的路上无聊吗?还在看小说、新闻吗?不知道怎样提高自己的技术吗?来吧这里有你需要的java架构文章,1.5w+的java工程师都在看,你还在等什么?

SpringCloud Alibaba实战二十七 - Oauth2认证服务器自定义异常
飘渺Jam的博客
02-04 4288
前言今天内容主要是解决一位粉丝提的问题:在使用 Spring Security OAuth2 时如何自定义认证服务器返回异常。那么首先我们先以 Password模式为例看看在认证时会出现哪...
SpringSecurity OAuth2异常处理OAuth2Exception
程序员劝退师的博客
10-02 4205
前言 在我们使用SpringSecurity OAuth2做认证授权时,默认返回都是SpringSecurity OAuth2提供好的,返回不是很友好,本章就是针对这些异常做统一返回处理,主要解决返回格式问题,和返回提示信息重写!我们先来看看SpringSecurity OAuth2默认返回格式,如下! 本文将默认返回改造为如下格式 { code:xxx, msg:xxxx, data:xxx } SpringSecurity OAuth2异常处理呢,又分为两部分,一部分为授权服授权时异常,通常包
oauth2自定义返回值_自定义Spring security oauth2 响应/异常信息
weixin_34779096的博客
01-12 2133
最近使用spring security oauth2 做开放平台,想要返回统一的返回值格式,做的过程中发现相当麻烦,好在效果总算达到了,在这里总结一下,希望能帮助到遇到相同问题的同学。实现方式并不完美,如果你有更好的方式或发现文内有问题,希望不吝赐教。Oauth2 协议有4种认证方式,项目里用到了客户端模式和密码模式,都是依托于spring security oauth2。开发过程中发现框架原生响...
Spring Cloud:Security OAuth2 自定义异常响应
weixin_34129696的博客
01-16 1281
对于客户端开发或者网站开发而言,调用接口返回有统一的响应体,可以针对性的设计界面,代码结构更加清晰,层次也更加分明。 默认异常响应 在使用Spring Security Oauth2登录和鉴权失败时,默认返回的异常信息如下: { "error": "unauthorized", "error_description": "Full authentication is re...
SpringSecurityOAuth2入门到实战
最新发布
qq_40823822的博客
04-03 785
实际开发的过程中,我们需要应用程序更加灵活,可以在SpringSecurity中创建自定义配置文件Java自定义配置用来管理用户信息,是UserDetailsService的一个实现,用来管理基于内存的用户信息。创建一个WebSecurityConfig文件:定义一个@Bean,类型是UserDetailsService,实现是InMemoryUserDetailsManager@EnableWebSecurity//Spring项目总需要添加此注解,SpringBoot项目中不需要@Bean。
Spring Security OAuth2】- spring security - 个性化用户认证流程1
smart_an的专栏
10-10 1063
标准登录页面
Spring Security OAuth2认证授权示例详解
08-25
Spring Security OAuth2是一个强大的安全框架,它为Web应用程序提供了安全认证和授权的功能。OAuth2则是一种开放标准,允许用户授权第三方应用访问他们存储在另一服务提供商的数据,而无需分享他们的用户名和密码。...
Spring Security Oauth2关于自定义登录的几种解决方案(一)
小丑竟是我自己
12-23 9315
Spring Security Oauth2关于自定义登录的几种解决方案第一种:实现AuthenticationProvider完成校验 目前大部分公众号很少有直观的去写如何集成多种登录的解决方案,例如:短信登录,微信扫码登录,双用户表登录等,图形验证码相对简单,可以通过多种方案进行解决,本文讲述都为REST请求。去除使用security默认的表单登录方式。 第一种:实现AuthenticationProvider完成校验 AuthenticationProvider接口主要有两个方法, package
Spring Security Oauth2关于自定义登录的几种解决方案(二)
小丑竟是我自己
12-31 3822
Spring Security Oauth2关于自定义登录的几种解决方案(二) 上一篇文章,通过简单的方式进行自定义用户登录授权的动作,投机取巧使用了他的内部循环处理机制,完成了我们所需要的功能,本篇将介绍一下自定义模式的登录方式(例如:原始oauth2自带的密码模式,授权码模式,简单模式,客户端模式)。最终其实我们还是采用了密码模式的思路。 ...
Spring security oauth2 ExceptionTranslationFilter所抛异常处理
点滴记录
03-16 1257
Spring security核心就是一组过滤器链。项目启动自动配置上的。 最核心的就是 Basic Authentication Filter 用来认证用户的身份; 一个过滤器处理一种认证方式; 对于username password认证过滤器来说, 会检查是否是一个登录请求, 是否包含username 和 password (也就是该过滤器需要的一些认证信息) 如果不满足则放行给下...
Oauth2.0 token多线程并行超发问题OAuth2Exception: Incorrect result size: expected 1, actual
it佳佳的博客
05-12 1232
OAuth2Exception: Incorrect result size: expected 1, actual 6 问题描述: 多线程并发创建access_token 或者刷新token时,导致oauth_access_token表中,同一个authentication_id出现了多条记录,导致登录时报错OAuth2Exception: Incorrect result size: expected 1, actual 6 maven依赖如下 <dependency>
新浪OAuth2.0自动登录报异常: 403 Forbidden
cibaoqb025084的博客
11-03 3705
转载声明:Ryan的博客文章欢迎您的转载,但在转载的同时,请注明文章的来源出处,不胜感激! :-) http://my.oschina.net/ryanhoo/blog/86891 自动登录代码 Weibo weibo = Weibo.getInstanc...
我扒了半天源码,终于找到了Oauth2自定义处理结果的最佳方案!
竹林幽深
08-03 1004
原创梦想de星空macrozheng今天 来自专辑 Spring Cloud学习教程 在《微服务权限终极解决方案,Spring Cloud Gateway + Oauth2 实现统一认证和鉴权!》一文中我们介绍了Oauth2在微服务中的使用,但是我们没有自定义Oauth2默认的处理结果。有时候我们真的很希望Oauth2中的认证授权能返回我们指定格式的结果,比如登录认证的结果、网关鉴权不通过的结果等等。本文将详细介绍Oauth2自定义处理结果的方案,希望对大家有所帮助! 解决什么问题 ...
Spring Security请求oauth/token接口报401 Unauthorized
qiujing0907的博客
01-04 9526
我出现报错的原因就是这个passwordEncoder的实例类发生了变动,因为pom中依赖版本升级,导致这个密码编码器在高版本中发生了改变,由原来的明文编码器变为了hash编码器。返回的,请求并没有到达路径对应接口就返回了,我并没有了解过spring security中过滤器具体有哪些,所以不太好打断点,这导致我浪费很多的时间。不废话,原因是走了下边过滤器的这段代码(注意,这是我的项目,走的该Filter,自己的项目还需要结合实际情况来)。密码编码器比对参数中的凭证,与抽象类中获取的凭证信息是否一样。
Oauth2.0 部分源码流程、自定义异常处理、自定义token解析、自定义返回
weixin_48838762的博客
11-30 2207
本文主要简述oauth2.0的组件、模式、流程;将着重介绍案例及扩展使用。主要是部分源码流程,自定义异常处理,自定义token,自定义结果返回
springsecurity oauth2自定义认证
02-18
### Spring Security OAuth2 中实现自定义认证流程 为了在Spring Security OAuth2中实现自定义认证流程,可以按照如下方法进行配置: #### 创建自定义 `UserDetailsService` 实现类 通过创建一个实现了 `UserDetailsService` 的服务来处理用户的认证逻辑。这允许开发者根据业务需求定制化身份验证过程。 ```java @Slf4j @Service("customUserDetailService") public class CustomUserDetailServiceImpl implements UserDetailsService { @Autowired private UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { Optional<User> userOptional = userRepository.findByUsername(username); return userOptional.map(CustomUserDetails::new).orElseThrow(() -> new UsernameNotFoundException("User not found")); } } ``` 此部分代码展示了如何构建一个名为 `CustomUserDetailServiceImpl` 的类用于替代默认的身份验证机制[^4]。 #### 配置安全设置 接着,在继承了 `WebSecurityConfigurerAdapter` 类的安全配置文件里指定新的 `UserDetailsService` 和其他必要的选项。 ```java @Configuration @EnableWebSecurity public class BrowserSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private CustomUserDetailServiceImpl customUserDetailService; @Bean public PasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); } protected void configure(HttpSecurity http) throws Exception { http.formLogin() .loginPage("/signIn.html") // 自定义登录页面路径 .defaultSuccessUrl("/") // 登录成功后的跳转地址 .failureUrl("/signInError"); // 登录失败后的错误页 http.authorizeRequests() .antMatchers("/signIn.html", "/signInError").permitAll() // 对特定URL放行访问权限 .anyRequest().authenticated(); // 所有请求都需要经过身份验证 http.csrf().disable(); // 关闭CSRF保护(仅作示例用途) http.userDetailsService(customUserDetailService); // 设置自定义的UserDetailsService } } ``` 上述代码片段说明了怎样调整HTTP安全策略以及引入前面提到的服务实例[^3][^5]。 #### 使用自定义认证提供者 (可选) 对于更复杂的场景,还可以注册自定义的 `AuthenticationProvider` 来进一步控制整个认证过程。例如,当需要支持多种不同的认证模式时,可以通过这种方式集成额外的功能模块。 ```java @Component public class CustomAuthProvider implements AuthenticationProvider { @Autowired private CustomUserDetailServiceImpl customUserDetailService; @Override public Authentication authenticate(Authentication authentication) throws AuthenticationException { String name = authentication.getName(); String password = authentication.getCredentials().toString(); UserDetails userDetails = null; try { userDetails = this.customUserDetailService.loadUserByUsername(name); } catch (UsernameNotFoundException e) { throw new BadCredentialsException("Invalid credentials"); } if (!password.equals(userDetails.getPassword())) { throw new BadCredentialsException("Invalid credentials"); } Collection<? extends GrantedAuthority> authorities = userDetails.getAuthorities(); return new UsernamePasswordAuthenticationToken(name, password, authorities); } @Override public boolean supports(Class<?> authentication) { return true; // 或者返回具体的类型判断条件 } } ``` 这段代码展示了一种可能的方法来自定义认证提供商,并将其应用于项目之中。
评论 14
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

java干货

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值