Shiro getAuthenticationInfo()中抛出异常, 全局异常处理却收不到自己抛出的异常

最新推荐文章于 2024-08-18 18:07:46 发布
原创 最新推荐文章于 2024-08-18 18:07:46 发布 · 1.6k 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#shiro #spring boot

当Shiro在getAuthenticationInfo()中抛出异常时,全局异常处理无法捕获。原因是默认的AuthenticationStrategy导致。解决方案是实现自定义AuthenticationStrategy并正确配置。尝试通过Spring Boot YAML配置、shiro.ini配置、创建Bean方式失败。最终,通过获取SecurityManager的Authenticator并设置自定义Strategy成功解决问题。

该解决思路来自StackOverflow: Apache Shiro: Exception-Handling with Multiple Realms

首先下结论: 这是因为使用了默认的AuthenticationStrategy所致, 只需要为自己的shiro实现自定义的AuthenticationStrategy, 并将其正确配置即可.

public class MyAtLeastOneSuccessfulStrategy extends AtLeastOneSuccessfulStrategy {
   
   
    @Override
    public AuthenticationInfo afterAttempt(Realm realm, AuthenticationToken token, AuthenticationInfo singleRealmInfo, AuthenticationInfo aggregateInfo, Throwable t) throws AuthenticationException {
   
   
        if (t != null && t instanceof AuthenticationException){
   
   
            throw (AuthenticationException) t;
        }
        return super.afterAttempt(realm, token, singleRealmInfo, aggregateInfo, t);
    }
}

配置AuthenticationStrategy的方法如下:

MyAtLeastOneSuccessfulStrategy strategy = new MyAtLeastOneSuccessfulStrategy();
((ModularRealmAuthenticator)(securityManager.getAuthenticator()))
														.setAuthenticationStrategy(strategy);

如果希望知道为何收到的是AuthenticationException, 以及为何要按照上面这么配置. 请看源码分析(我的经历):

为何总是收不到自己throw的异常

doGetAuthenticationInfo方法中

if (user == null)
            throw new UnknownAccountException("账户不存在!");

在调用一堆构造函数后, 进入ModularRealmAuthenticator的doMultiRealmAuthentication方法

protected AuthenticationInfo doMultiRealmAuthentication(Collection<Realm> realms, 
                        AuthenticationToken token) {
   
   
				
				// 获取验证策略
        AuthenticationStrategy strategy = getAuthenticationStrategy();

        AuthenticationInfo aggregate = strategy.beforeAllAttempts(realms, token);
				// 日志
        if (log.isTraceEnabled()) {
   
   
            log.trace("Iterating through {} realms for PAM authentication", realms.size());
        }
				
				// 循环遍历realm
        for (Realm realm : realms) {
   
   
						// 
            try {
   
   
                aggregate = strategy.beforeAttempt(realm, token, aggregate);
            } catch (ShortCircuitIterationException shortCircuitSignal) {
   
   
                // Break from continuing with subsequnet realms on receiving 
                // short circuit signal from strategy
                break;
            }

            if (realm.supports(token)) {
   
   

                log.trace("Attempting to authenticate token [{}] using realm [{}]", token, realm);

                AuthenticationInfo info = null;
                Throwable t = null;
                try {
   
   
										**// 这里调用了自定义Realm的getAuthenticationInfo方法**
                    **info = realm.getAuthenticationInfo(token);**
                } catch (Throwable throwable) {
   
   
										**// 这里采用catch将Realm中抛出的异常直接捕获, 
										// 并且在后续的处理中并没有将该异常重新抛出**
                    t = throwable;
                    if (log.isDebugEnabled()) {
   
   
                        String msg = "Realm [" + realm + "] threw an exception during a multi-realm authentication attempt:";
                        log.debug(msg, t);
                    }
                }
最低0.47元/天 解锁文章
新!Shiro自定义异常无法捕获总是抛出AuthenticationException解决方案
qq_34168515的博客
01-09 5974
文章目录一、出现原因二、当我们创建全局拦截失败三、最终方案 一、出现原因 在 AuthorizingRealm doGetAuthenticationInfo抛出异常 案例: @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authenticationToken){ String token = (String) authenticationToken.g
Shiro身份验证抛出AuthenticationException异常,解决方案
weixin_34033624的博客
02-01 1万+
问题 在学习Shiro的时候,遇到Shiro抛出org.apache.shiro.authc.AuthenticationException异常,完整异常如下: org.apache.shiro.authc.AuthenticationException: Authentication failed for token submission [org.apache.shiro.authc.Use...
基于SpringSecurity OAuth2实现单点登录——未认证的请求是如何重定向到登录地址的?(SpringSecurity的认证流程)
向心行者
06-12 3491
1、前言   在上一篇《入门示例和流程分析》的流程分析过程中,当第一次(未认证的情况下)访问应用A(http://localhost:8082/index)时,会重定向到应用A的登录http://localhost:8082/login地址(Get请求),从浏览器这个视角我们看到的是这样的情况,那么在应用A的服务端又经历了什么呢?我们通过代码进行分析。 2、SpringSecurity过滤器链   这节分析的问题,其实就是SpringSecurity关于认证过程的逻辑。SpringSecurity实现认证逻
外部无法捕捉Realm的doGetAuthenticationInfo方法抛出异常
Stone.鱼儿的博客
10-16 1957
shiro权限框架,用户登录方法的subject.login(token)会进入自定义的UserNamePasswordRealm类的doGetAuthenticationInfo身份验证方法,通常情况,doGetAuthenticationInfo写法如下: /** * 登录认证 subject.login()登录时调用 * @param authenticationToken * @return * @throws AuthenticationExc
python错误-python错误处理详解
weixin_37988176的博客
11-01 966
在程序运行的过程中,如果发生了错误,可以事先约定返回一个错误代码,这样,就可以知道是否有错,以及出错的原因。在操作系统提供的调用中,返回错误码非常常见。比如打开文件的函数open(),成功时返回文件描述符(就是一个整数),出错时返回-1。用错误码来表示是否出错十分不便,因为函数本身应该返回的正常结果和错误码混在一起,造成调用者必须用大量的代码来判断是否出错:def foo():r = some_f...
shiro学习——整合jwt时全局异常处理无法处理JWTFilter中抛出异常
weixin_43344930的博客
08-09 5516
springboot+shiro+jwt全局异常处理无法处理JWTFilter中抛出异常一、shiro中会出现的异常1、 AuthencationException2、 AuthorizationException二、为什么无法全局异常处理处理三、解决方案1、把统一返回的信息写入response中2、使用重定向到处理该错误的controller中 一、shiro中会出现的异常 1、 AuthencationException AuthenticationException 异常Shiro在登录认
shiro 自定义realm类 抛出自定义异常
DeepSea_JIE的博客
06-16 1060
在自定义realm抛出自定义异常时,会被Authenticationexception打包, 出现zheyi Authentication failed for token submission
后端——jwt+时间戳+责任链模式实现对外接口 统一返回格式|全局异常处理器|shiro自定义过滤器中抛出异常进行全局处理
qq_61570366的博客
08-18 513
方案:使用shiro+jwt,用户通过用户名和密码访问我们的登录接口/login获取token,访问其他api时携带token和timestamp(防止重放攻击)(注:对接口安全性要求高的可以另选其他方案)接口继承Order,然后责任链的结点实现以下接口后,spring容器注入bean时通过Order对责任链结点进行排序,这样很好的生成了责任链。结语:这个方案实现了简单的token+timestamp+责任链设计的对外接口设计,比较简陋,大家可以尝试更好的解决方案。
Shiro自定义异常无法捕获总是抛出AuthenticationException解决方案
段占彪的博客
12-01 2381
问题描述 配置Realm之后,发现在Realm中抛出异常无法捕获,最后抛出AuthenticationException异常 解决办法 针对上面问题 直接在全局异常捕获AuthenticationException异常,简单粗暴 /** * 拦截认证失败异常 * * @author dduan * @date 2021/12/1 10:00 */ @ExceptionHandler(AuthenticationException.cla
springboot项目中使用使用aop处理shiro自定义异常抛出
m0_49470242的博客
02-22 1440
springboot项目中使用使用aop处理shiro自定义异常抛出 问题描述: 在 springboot 项目中做全局异常捕捉时,使用的是 spring 中的 @RestControllerAdvice 和 @ExceptionHandler ,但是在 shiro 框架中 doGetAuthenticationInfo抛出异常并不能够被捕捉到。
dogetauthenticationinfo抛出的错误无法捕获_OOM不可捕获
weixin_39640414的博客
12-30 382
一、前言相信了解过java异常机制的就知道,异常都是继承自Throwable,主要分为Error和Exception。Error一般代表虚拟机错误,即用户无法处理异常,而Exception分为受检异常和非受检异常,这里就不详细描述了。Exception的继承关系Error的继承关系二、场景领导喊我写完一个图片处理的工具,领导觉得可能性能堪忧,然后让我进行压测,我在压测过程中发现有些请求报了OOM...
Shiro——Bug篇——AuthenticationException 异常无法自定义返回值结果集
WoodYangOY的博客
03-29 2938
项目场景: 刚接触到公司的项目时候,项目内没有权限框架这一块,后面项目成型之后引进权限框架shiro。 问题描述: 引进shiro后续发现一些问题,抛出AuthenticationException异常后,未能统一自定义返回结果集,前端未能接收到之前约定的状态码,导致token过期之后,结果集是shiro内部抛出的,后面导致前端访问后台所有的接口抛出异常。 后续在全局自定义捕获器内增加此异常捕获,发现根本捕获不了;在网上找了很久,都没有发现很好的解决方案,我都准备把shiro换成security(在
解决 Shiro 重复调用 doGetAuthenticationInfo 导致异常处理错误的问题
ATFWUS的博客
07-24 1673
遇到一个 Shiro 中反复调用 doGetAuthenticationInfo 导致异常没有被成功处理的问题,经过一些源码调试,发现了问题的所在,只需在继承 BasicHttpAuthenticationFilter 的类中重写 onAccessDenied 方法即可。
Shiro异常捕捉
fenfenguai的专栏
01-13 1919
在使用shiro的项目中,验证身份时抛出异常无法捕捉让人很苦恼 解决办法如下 集成 AtLeastOneSuccessfulStrategy import org.apache.shiro.authc.AuthenticationException; import org.apache.shiro.authc.AuthenticationInfo; import org.apache.shiro.authc.AuthenticationToken; import org.apache.shiro.authc
关于无法捕获shiro异常处理办法
weixin_56227932的博客
03-31 390
【代码】关于无法捕获shiro异常处理办法。
SpringBoot集成Shiro,认证和授权,全局异常处理
m0_49353216的博客
10-12 3622
项目版本: ** springboot2.x shiro:1.5.3 Maven配置: <dependency> <groupId>org.apache.shiro</groupId> <artifactId>shiro-spring</artifactId> <version>1.5.3</version> </depen
Shiro doGetAuthenticationInfo方法登录后获取不到正确的权限
热门推荐
wjzhang5514的博客
06-25 1万+
前提: Shiro的认证依赖AuthenticatingRealm里的getAuthenticationInfo方法,该方法会调用我们自定义的认证方法doGetAuthenticationInfo获取本次认证的结果,如下: public final AuthenticationInfo getAuthenticationInfo(AuthenticationToken ...
主要是shiro调用doGetAuthenticationInfo后,里面抛出异常无法捕获
最新发布
06-21
### Shiro框架中doGetAuthenticationInfo方法抛出异常无法捕获的解决方案 在Shiro框架中,`doGetAuthenticationInfo` 方法中的异常通常会被包装为 `AuthenticationException` 或其子类,导致自定义异常无法直接被捕获。以下是解决此问题的具体方法: #### 1. **全局异常处理捕获 AuthenticationException** 在 Spring Boot 中,可以使用 `@RestControllerAdvice` 和 `@ExceptionHandler` 来捕获 `AuthenticationException` 及其子类,并通过日志记录或返回友好的错误信息[^3]。 ```java @RestControllerAdvice public class GlobalExceptionHandler { @ExceptionHandler(AuthenticationException.class) @ResponseBody public ResponseEntity<ErrorResponseData> handleAuthenticationException(AuthenticationException e) { log.error("认证异常:{}", e.getMessage()); ErrorResponseData errorResponse = new ErrorResponseData(); errorResponse.setCode(401); errorResponse.setMessage("认证失败:" + e.getMessage()); return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body(errorResponse); } } ``` #### 2. **自定义异常包装** 如果需要捕获特定的自定义异常(如 `BusinessException` 或 `TokenException`),可以在 `Realm` 中将这些异常包装为 `AuthenticationException` 的子类,并在全局异常处理器中进行区分处理[^4]。 ```java @Override protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken token) throws AuthenticationException { String credentials = (String) token.getCredentials(); try { JwtUtil.getInstance().verifyToken(credentials); } catch (TokenExpiredException e) { log.error("Token 已过期", e); throw new ExpiredCredentialsException("Token 已过期"); } catch (SignatureVerificationException e) { log.error("Token 签名无效", e); throw new IncorrectCredentialsException("Token 签名无效"); } catch (JWTVerificationException e) { log.error("Token 无效", e); throw new AuthenticationException("Token 无效"); } // 返回认证信息 return new SimpleAuthenticationInfo(credentials, credentials, getName()); } ``` #### 3. **确保异常传递到全局处理器** Shiro 的过滤器链会拦截异常并将其重新抛出为 `AuthenticationException`,因此需要确保全局异常处理器能够正确捕获这些异常。如果自定义异常未被正确捕获,可能是由于过滤器链配置不当或异常未被正确传递[^1]。 #### 4. **检查 Shiro 过滤器链配置** 确保 Shiro 的过滤器链配置正确,所有需要认证的接口都被拦截,并且异常能够被传递到全局异常处理器[^4]。 ```java @Bean public ShiroFilterFactoryBean shiroFilter(SecurityManager securityManager) { ShiroFilterFactoryBean factoryBean = new ShiroFilterFactoryBean(); factoryBean.setSecurityManager(securityManager); Map<String, String> filterChainDefinitionMap = new LinkedHashMap<>(); filterChainDefinitionMap.put("/login", "anon"); // 登录接口无需认证 filterChainDefinitionMap.put("/**", "authc"); // 其他接口需认证 factoryBean.setFilterChainDefinitionMap(filterChainDefinitionMap); return factoryBean; } ``` #### 5. **调试与验证** - 验证 `Realm` 中抛出异常是否能被 `AuthenticationException` 捕获。 - 测试各种异常场景(如 Token 过期、签名无效等),确保全局异常处理器能够返回正确的错误信息。 --- ###
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值