在 spring security 中使用自定义的错误消息

最新推荐文章于 2023-11-09 14:46:17 发布
最新推荐文章于 2023-11-09 14:46:17 发布
阅读量4.3k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: spring Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Ethan_Fu/article/details/44803147
本文详细介绍了在使用SpringSecurity过程中遇到认证失败显示Badcredentials错误时,如何将其修改为更友好的错误的用户名或密码信息。通过直接替换messageproperties或者自定义properties文件的方式实现个性化错误提示。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在使用 spring security 的过程中, 当认证失败的时候,会提示这样的错误: "Bad credentials", 但实际上我们需要显示这样的消息:"错误的用户名或密码", 有什么办法解决呢, 我知道的至少有两种方法.

第一种方法, 直接替换 spring security 自身的message properties.
spirng security 会将默认的消息存在 spring-security-core.jar 包中。如下图所示:


到这里,应该知道怎么解决了吧,这种方式比较暴力,就是找到错误消息的key, 用自己需要显示的消息重新定义它。

第二种方法, 自定义properties 方式 覆盖 spring security 的 key 和消息
在classpath 下 创建一个新的properties 文件,用自己需要显示的消息,重写 spirng security的key. 比如: 
AbstractUserDetailsAuthenticationProvider.badCredentials=Invalid username or password


定义的properties文件之后,  当然需要注册到spring 容器之中, 所以还需要配置: 
    
        
        mymessages
        
    
  


通过这种方式,就能用自定义的消息取代 spring security 默认的消息了,其实还是非常方便的。
原文地址: 在 spring security 中使用自定义的错误消息, 感谢原作者分享。
SpringSecurity6 | 自定义登录页面
分享思想,留下痕迹。
12-09 2004
大家好,我是Leo哥🫣🫣🫣,接到上一节,我们学习通过SpringSecurity的一些自定义配置来完成我们自定义认证规则的一些需求。这篇文章我们主要来介绍一下如何自定义我的登录页面。好了,话不多说让我们开始吧😎😎😎。在我们的pom.xml文件中导入ThymeLeaf依赖。
SpringSecurity6 | 自定义认证规则
分享思想,留下痕迹。
12-09 1353
大家好,我是Leo哥🫣🫣🫣,接到上一节,我们学习了如何修改SpringSecurity默认用户,使用我们自己的自定义的用户名和密码来进行认证登录。但是有时候我们的开发者可能并不是所有的接口都需要进行拦截,就比如,登录,注册接口等这些是不是要进行拦截的,那么如何修改并自定义这些规则。没错这就是我们本节的重点。好了,话不多说让我们开始吧😎😎😎。在SpringSecurity6中,我们原本在原来SpringSecurity实现的方法已经被抛弃,已经完全不能用了。
4.SpringSecurity自定义失败提示信息
weixin_47687315的博客
03-06 611
SpringSecurity中,如果在认证或授权的过程中出现了异常,则会被ExceptionTranslationFilter捕获到,ExceptionTranslationFilter会判断是认证失败还是授权失败。*如果是认证过程中出现的异常,会被封装成AuthenticationException,然后调用AuthenticationEntryPoint对象的方法去进行异常处理。第一步:创建AuthenticationEntryPoint的实现类和AccessDeniedHandler的实现类。
关于Spring Security自定义认证时,异常处理的问题,如何使用自定义异常进行消息提示
无限进步的博客
02-10 4124
我们在利用springSecurity进行认证时,如果没有配置认证失败处理器,想要在自己实现UserDetailsService中抛出异常来进行提示用户用户名错误时,再利用全局异常处理器中是无法捕获到自己抛出的异常。
SpringSecurity自定义响应异常信息
qq_29860591的博客
08-23 1402
SpringSecurity自定义响应异常信息 此处的异常信息设置的话,其中还是有坑的,比如你想自定义token过期信息,无效token这些,如果按照SpringSecurity的设置是不会生效的,需要加到资源的配置中。 如果只是SpringSecurity的话,只需要实现AccessDeniedHandler和AuthenticationEntryPoint这2个接口就可以了。他们都是在Exc...
spring security自定义异常入口
远方的少年
04-04 2382
   spring security中有一个过滤器,称为ExceptionTranslationFilter,简言之,就是用来做异常翻译,提供更好的用户体验。  配置很简单 <http auto-config="true" entry-point-ref="loginEntryPoint/> <beans:bean id="loginEntryPoint" class="com....
Spring Security 自定义异常处理类
zongzhibin117的博客
09-15 637
http.exceptionHandling().authenticationEntryPoint( new AuthenticationEntryPoint() ).
使用Spring Security和创建自定义登录对话框
04-05
在这个主题中,我们将深入探讨如何使用 Spring Security 创建自定义登录对话框。 首先,Spring Security 提供了默认的登录页面和处理流程,但为了满足特定的设计需求或品牌一致性,开发者往往需要自定义这些元素。...
Spring security 自定义密码加密方式的使用范例。
09-15
Spring Security中,默认使用的是BCryptPasswordEncoder或者PBEWithMD5AndDES等加密算法。但为了满足特定需求,我们可以自定义密码编码器。下面是如何实现的步骤: 1. **创建自定义PasswordEncoder**:你需要创建...
spring security自定义登录页面
08-29
Spring Security自定义登录页面 在 Spring Security 框架中,默认的登录页面并不是很友好,特别是在实际项目中,我们通常需要使用自己的登录页面来满足业务需求。今天,我们将讨论如何自定义 Spring Security 的...
Spring Security+OAuth2自定义异常处理
Charge8的博客
02-24 5486
Spring Security+OAuth2自定义异常处理
SpringSecurity根据自定义异常返回登录错误提示信息
梦里花落知多少的博客
08-15 1780
SpringSecurity登录失败处理
SpringSecurity
wql56789的博客
11-09 457
Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方案。用户认证(Authentication):系统判断用户是否能登录用户授权(Authorization):系统判断用户是否有权限去做某些事情SpringSecurity 特点:Spring 技术栈的组成部分,与Spring 无缝整合。
springboot 整合 security(三) 自定义异常返回
TT_QY的博客
10-12 2027
使用security的过程中,我们会遇到未登录,用户名密码错误等等被拦截的情况。 这时系统的返回的都是跳转到登录页面,在实际使用中,我们更多的会是自定义登录页面,遇到异常情况,会根据返回结果进行“您的登录已过期”,“用户名或密码不正确”等提示。 这次我们来自定义返回信息。 首先第一个是登录成功的handle package com.mu.security3.security.handle; import com.alibaba.fastjson.JSON; import org.springf
Spring Security 自定义异常处理403
qq_43904196的博客
07-18 2633
通过以上原因进行分析我们得知了具体403在Http403ForbiddenEntryPoint对response进行一个设置的,而Http403ForbiddenEntryPoint实现了AuthenticationEntryPoint接口,所以我们也可以自己定义一个实现AuthenticationEntryPoint接口的一个实现类如下图所示:重写接口中的commence方法即可。
springboot~security自定义forbidden和unauthorized返回值
Gefangenes的博客
05-19 594
对于spring-security来说,当你访问一个受保护资源时,需要检查你的token,当没有传递,或者传递的token有错误时,将出现401unauthorized异常;当你传递的token是有效的,但解析后并没有访问这个资源的权限时,将返回403forbidden的异常,而你通过拦截器是不能重写这两个异常消息的,我们下面介绍重写这两种消息的方法。
springboot security 自定义返回结果(三)
qq_27081015的博客
12-26 4360
1. 用户未登录时返回给前端的数据 package com.hanhuide.core.handler; import com.alibaba.fastjson.JSON; import com.hanhuide.core.enums.ResultEnum; import com.hanhuide.core.model.AjaxResponseBody; import org.springf...
关于Spring Security 报Bad credentials错误
木子一个Lee的博客
10-12 2363
1.密码或用户名错误
Spring-Security自定义登陆错误提示信息
热门推荐
doinbb的博客
08-07 1万+
实现效果如图所示: 首先公布实现代码: 一. 自定义实现 import.org.springframework.security.core.userdetails.UserDetailsService类。 并且抛出BadCredentialsException异常,否则页面无法获取到错误信息。 @Slf4j @Service public class MyUserDetailsS...
如何在Spring Security自定义权限验证逻辑?
最新发布
08-05
<think>首先,用户的问题是关于Spring Security框架中实现自定义的权限验证逻辑。用户意图是了解如何实现自定义权限验证逻辑。 回顾系统级指令: - 所有行内数学表达式必须使用$...$格式。 - 独立公式必须使用$$...$$格式并单独成段。 - LaTeX语法正确。 - 使用中文回答。 - 生成相关问题。 - 在回答中引用的段落末尾自然地添加引用标识,如[^1]。 用户可见层指令: - 回答结构清晰,帮助用户逐步解决问题。 - 保证回答真实可靠。 参考站内引用: - [^1]: 关于Spring Security自定义认证逻辑实现图片验证码登录。 - [^2]: SpringSecurity自定义认证逻辑,包括AuthenticationProvider接口。 - [^3]: Spring Security OAuth2自定义用户认证逻辑,涉及User类。 - [^4]: Spring Security自定义登陆界面和密码验证逻辑。 这些引用主要涉及认证(Authentication)而非权限验证(Authorization)。用户的问题是关于“权限验证逻辑”,即Authorization。在Spring Security中,认证是验证用户身份,授权是验证用户是否有权限访问资源。 所以,我需要调整焦点到授权部分。Spring Security的授权逻辑通常涉及AccessDecisionManager、AccessDecisionVoter和SecurityMetadataSource等组件。 关键组件: - **AccessDecisionManager**: 负责最终决定是否允许访问资源。 - **AccessDecisionVoter**: 投票决定是否允许访问。 - **SecurityMetadataSource**: 提供资源的安全配置,如权限要求。 实现自定义权限验证逻辑的步骤: 1. **理解授权流程**:在Spring Security中,授权发生在认证之后。当一个请求被拦截时,系统会检查用户是否有权限访问该资源。 2. **自定义AccessDecisionVoter**:创建一个实现AccessDecisionVoter接口的类,在其中实现自定义的投票逻辑。 3. **配置AccessDecisionManager**:在Spring Security配置中,设置自定义的AccessDecisionManager,使用自定义的Voter。 4. **定义权限元数据**:使用SecurityMetadataSource来定义资源的权限要求,可以在配置文件中或数据库中定义。 5. **集成到Spring Security**:在WebSecurityConfigurerAdapter的配置中,覆盖configure(HttpSecurity)方法,设置自定义的授权逻辑。 回答结构: 1. **介绍授权概念**:简要解释认证和授权的区别。 2. **核心组件**:描述AccessDecisionManager、AccessDecisionVoter和SecurityMetadataSource。 3. **实现步骤**:分步指导如何自定义权限验证逻辑。 4. **代码示例**:提供简单的Java代码示例。 5. **注意事项**:提醒常见问题和最佳实践。 6. **生成相关问题**:根据主题生成几个相关问题。 确保使用中文回答。 生成相关问题: - 1. 如何自定义Spring Security的访问决策逻辑? - 2. Spring Security中如何实现基于角色的权限控制? - 3. 如何扩展Spring Security的授权机制以支持自定义权限验证? 在回答中引用参考内容:引用[^1]到[^4]主要涉及认证,但可以适当关联。例如,引用[^2]提到AuthenticationProvider,这与认证相关,但授权依赖于认证结果。所以,在解释整体流程时,可以提到认证是前提。 最终回答大纲: - **步骤1: 理解Spring Security授权流程** - **步骤2: 创建自定义AccessDecisionVoter** - **步骤3: 配置AccessDecisionManager** - **步骤4: 定义权限元数据** - **步骤5: 集成到安全配置** - **代码示例** - **注意事项** - **相关问题** 在代码块中使用LaTeX格式,但代码块是编程代码,不需要LaTeX数学表达式。指令是针对数学表达式的,所以代码块保持原样。 添加引用标识:在相关段落末尾添加[^1]、[^2]等,但要自然。</think>### Spring Security 自定义权限验证逻辑实现方法 在 Spring Security 中,权限验证(Authorization)是认证(Authentication)后的关键步骤,用于控制用户对资源的访问权限。自定义权限验证逻辑允许您根据业务需求灵活定义权限规则(如角色、资源、操作等)。以下是基于 Spring Security 核心组件的逐步实现方法: --- #### **步骤 1: 理解授权流程** Spring Security 的授权流程分为两步: 1. **认证**:验证用户身份(如用户名/密码),生成 `Authentication` 对象[^2]。 2. **授权**:基于 `Authentication` 对象和资源权限要求,决定是否允许访问。 - 核心接口:`AccessDecisionManager`(决策管理器)、`AccessDecisionVoter`(投票器)、`SecurityMetadataSource`(权限元数据源)。 - 流程:请求到达 → 提取权限元数据 → 投票器投票 → 决策管理器裁决。 #### **步骤 2: 创建自定义 AccessDecisionVoter** `AccessDecisionVoter` 是投票器,实现自定义权限验证逻辑。例如,创建一个基于用户角色的投票器: ```java import org.springframework.security.access.AccessDecisionVoter; import org.springframework.security.access.ConfigAttribute; import org.springframework.security.core.Authentication; import org.springframework.security.core.GrantedAuthority; import java.util.Collection; public class CustomRoleVoter implements AccessDecisionVoter<Object> { @Override public boolean supports(ConfigAttribute attribute) { return attribute.getAttribute() != null; } @Override public int vote(Authentication authentication, Object object, Collection<ConfigAttribute> attributes) { if (authentication == null) { return ACCESS_DENIED; // 未认证用户拒绝访问 } for (ConfigAttribute attribute : attributes) { String requiredRole = attribute.getAttribute(); for (GrantedAuthority authority : authentication.getAuthorities()) { if (authority.getAuthority().equals(requiredRole)) { return ACCESS_GRANTED; // 角色匹配则允许访问 } } } return ACCESS_DENIED; // 无匹配角色则拒绝 } } ``` #### **步骤 3: 配置 AccessDecisionManager** 在 Spring Security 配置类中,定义决策管理器并注入自定义投票器。使用 `UnanimousBased` 确保所有投票器一致同意: ```java import org.springframework.context.annotation.Bean; import org.springframework.security.access.AccessDecisionManager; import org.springframework.security.access.vote.UnanimousBased; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import java.util.Arrays; @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .accessDecisionManager(accessDecisionManager()) // 注入自定义决策管理器 .and() .formLogin(); } @Bean public AccessDecisionManager accessDecisionManager() { return new UnanimousBased(Arrays.asList(new CustomRoleVoter())); // 使用自定义投票器 } } ``` #### **步骤 4: 定义权限元数据** 通过 `SecurityMetadataSource` 提供资源的权限要求。可以在数据库或配置文件中定义: ```java import org.springframework.security.access.SecurityConfig; import org.springframework.security.web.access.intercept.DefaultFilterInvocationSecurityMetadataSource; import org.springframework.security.web.access.intercept.FilterInvocationSecurityMetadataSource; import java.util.*; @Bean public FilterInvocationSecurityMetadataSource securityMetadataSource() { Map<String, Collection<ConfigAttribute>> rules = new HashMap<>(); rules.put("/admin/**", Collections.singletonList(new SecurityConfig("ROLE_ADMIN"))); // 管理员权限 rules.put("/user/**", Collections.singletonList(new SecurityConfig("ROLE_USER"))); // 普通用户权限 return new DefaultFilterInvocationSecurityMetadataSource(rules); } ``` #### **步骤 5: 集成到安全配置** 在 `configure(HttpSecurity)` 中链接元数据源和决策管理器: ```java @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .withObjectPostProcessor(new ObjectPostProcessor<FilterSecurityInterceptor>() { @Override public <O extends FilterSecurityInterceptor> O postProcess(O fsi) { fsi.setSecurityMetadataSource(securityMetadataSource()); // 设置元数据源 fsi.setAccessDecisionManager(accessDecisionManager()); // 设置决策管理器 return fsi; } }) .and() .formLogin(); } ``` #### **注意事项** 1. **认证是授权前提**:确保自定义认证逻辑已正确实现(参考引用[^3]中的 `User` 类处理账户状态)。 2. **性能优化**:频繁访问数据库获取权限元数据可能成为瓶颈,建议使用缓存(如 Redis)。 3. **错误处理**:覆盖 `AccessDeniedHandler` 自定义权限拒绝时的响应。 4. **测试验证**:使用 `@WithMockUser` 注解模拟用户角色进行单元测试。 5. **扩展性**:对于复杂场景(如 OAuth2),可结合 `GlobalMethodSecurity` 实现方法级权限控制[^3]。 --- ### 相关问题 1. 如何在 Spring Security 中实现动态权限管理(如数据库驱动)? 2. Spring Security 的 `@PreAuthorize` 注解如何与自定义权限验证逻辑集成? 3. 如何优化自定义权限验证逻辑在高并发场景下的性能? [^1]: Spring Security 支持多种认证方式,如 `UsernamePasswordAuthenticationToken`,需通过 `AuthenticationProvider` 处理。 [^2]: `AuthenticationProvider` 接口定义了 `authenticate()` 和 `supports()` 方法,是认证逻辑的核心。 [^3]: 自定义用户认证逻辑中,`User` 类处理账户状态(如启用、锁定),影响后续授权流程。 [^4]: 密码验证逻辑需在认证阶段完成,确保用户身份有效后进入授权阶段。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值