Spring Boot + Spring Security Oauth2 捕获UsernameNotFoundException 并处理

最新推荐文章于 2025-04-21 06:30:00 发布
最新推荐文章于 2025-04-21 06:30:00 发布
阅读量1.7k 收藏
点赞数
文章标签: spring java oauth
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Return_Code/article/details/106261535
版权
本文介绍如何在Spring Security中处理UsernameNotFoundException,避免控制台打印大量异常信息。通过设置provider.setHideUserNotFoundExceptions(false),并利用ResourceOwnerPasswordTokenGranter类中对UsernameNotFoundException的处理,将异常转换为InvalidGrantException,从而只在控制台显示警告信息。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在网上找了不少关于UsernameNotFoundException捕获的帖子,捕获成功后每次用户名错误会在控制台打印大段的异常信息,用统一异常处理也无法处理。

配置捕获UsernameNotFoundException,在 WebSecurityConfigurer 配置 provider.setHideUserNotFoundExceptions(false) 

    @Bean
    public DaoAuthenticationProvider authenticationProvider() {
        DaoAuthenticationProvider provider = new DaoAuthenticationProvider();
        provider.setHideUserNotFoundExceptions(false);
        provider.setUserDetailsService(userDetailsService);
        provider.setPasswordEncoder(passwordEncoder);
        return provider;
    }

然后在 configure(AuthenticationManagerBuilder auth) 方法中 auth.authenticationProvider(authenticationProvider())

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(authenticationProvider());
    }

这样就可以捕获到UsernameNotFoundException了,网上有很多大神解析的博文,这里就不复述了。下面主要讲UsernameNotFoundException在控制台打印大段异常信息如何处理的问题。

查看源码发现 TokenEndpoit 中处理了 Exception 的代码,会通过logger.error打印异常信息。

    @ExceptionHandler({HttpRequestMethodNotSupportedException.class})
    public ResponseEntity<OAuth2Exception> handleHttpRequestMethodNotSupportedException(HttpRequestMethodNotSupportedException e) throws Exception {
        if (this.logger.isInfoEnabled()) {
            this.logger.info("Handling error: " + e.getClass().getSimpleName() + ", " + e.getMessage());
        }

        return this.getExceptionTranslator().translate(e);
    }

    @ExceptionHandler({Exception.class})
    public ResponseEntity<OAuth2Exception> handleException(Exception e) throws Exception {
        if (this.logger.isErrorEnabled()) {
            this.logger.error("Handling error: " + e.getClass().getSimpleName() + ", " + e.getMessage(), e);
        }

        return this.getExceptionTranslator().translate(e);
    }

    @ExceptionHandler({ClientRegistrationException.class})
    public ResponseEntity<OAuth2Exception> handleClientRegistrationException(Exception e) throws Exception {
        if (this.logger.isWarnEnabled()) {
            this.logger.warn("Handling error: " + e.getClass().getSimpleName() + ", " + e.getMessage());
        }

        return this.getExceptionTranslator().translate(new BadClientCredentialsException());
    }

    @ExceptionHandler({OAuth2Exception.class})
    public ResponseEntity<OAuth2Exception> handleException(OAuth2Exception e) throws Exception {
        if (this.logger.isWarnEnabled()) {
            this.logger.warn("Handling error: " + e.getClass().getSimpleName() + ", " + e.getMessage());
        }

        return this.getExceptionTranslator().translate(e);
    }

UsernameNotFoundException 的父类是 AuthenticationException 在 TokenEndpoit 中没有单独处理,会被集中使用  handleException(Exception e) 方式处理,该方法使用logger.error(String,Exception) 把异常打印出来。

大段的异常信息对日志文件处理很不友好,需要在异常打印前把异常处理了。查看源码没有暴露方法处理这块,最后想到一个方案:下载源码在TokenEndpoit 中添加对AuthenticationException的处理重新编译jar包替换现有官方jar包。

spring-security-oauth的开源代码在:https://github.com/spring-projects/spring-security-oauth,我当前使用的版本是2.3.8.RELEASE 版 clone 2.3.x分支,编译的时候发现官方还build一个2.3.9的SNAPSHOT版本没有发布,在这个版本中官方在ResourceOwnerPasswordTokenGranter 类中加入了对UsernameNotFoundException异常的处理。

    @Override
    protected OAuth2Authentication getOAuth2Authentication(ClientDetails client, TokenRequest tokenRequest) {

        Map<String, String> parameters = new LinkedHashMap<String, String>(tokenRequest.getRequestParameters());
        String username = parameters.get("username");
        String password = parameters.get("password");
        // Protect from downstream leaks of password
        parameters.remove("password");

        Authentication userAuth = new UsernamePasswordAuthenticationToken(username, password);
        ((AbstractAuthenticationToken) userAuth).setDetails(parameters);
        try {
            userAuth = authenticationManager.authenticate(userAuth);
        } catch (AccountStatusException ase) {
            //covers expired, locked, disabled cases (mentioned in section 5.2, draft 31)
            throw new InvalidGrantException(ase.getMessage());
        } catch (BadCredentialsException e) {
            // If the username/password are wrong the spec says we should send 400/invalid grant
            throw new InvalidGrantException(e.getMessage());
        } catch (UsernameNotFoundException e) {
            // If the user is not found, report a generic error message
            throw new InvalidGrantException(e.getMessage());
        }
        if (userAuth == null || !userAuth.isAuthenticated()) {
            throw new InvalidGrantException("Could not authenticate user: " + username);
        }

        OAuth2Request storedOAuth2Request = getRequestFactory().createOAuth2Request(client, tokenRequest);
        return new OAuth2Authentication(storedOAuth2Request, userAuth);
    }

在 try catch 中 catch UsernameNotFoundException 然后 throw 了另一个 InvalidGrantException异常这个异常继承与 OAuth2Exception 在 TokenEndpoit 对 OAuth2Exception 处理是打印一条警告信息,不打印异常日志。

这样就不用我前面想的那个方案了,直接编译官方源码 用2.3.9-SNAPSHOT 版本替换现有jar包就可以了!

Return_Code
关注
SpringSecurity-4】Springboot + SpringSecurity + Oauth2授权码模式
dabing9的博客
11-01 134
根据上篇最后讲到的两种方式的实现及比较,我们对security的认证流程可能会有更清晰的认识。这篇我们主要说一下security的认证流程。
Springboot整合Spring security+Oauth2+JWT搭建认证服务器,网关,微服务之间权限认证及授权
csweldn520的专栏
03-24 8666
一、 单点登录 1、单点登录技术方案 二、 第三方认证 1、 Oauth2认证 2Oauth2的应用场景 三、 Spring security Oauth2认证 1、 JWT (一) 、令牌结构 (二) 、生成私钥和公钥 (1)、生成密钥证书 (2)、查询证书信息 (3)、删除别名 (4)、导出公钥 2、 搭建Spring security认证服务器 (一)、导入Spring Security...
Spring Boot + Spring Security解决UsernameNotFoundException无法被捕获的问题
qq_42182065的博客
04-27 2326
以下配置基于spring boot版本1.4.2.RELEASE,默认引入的spring security版本为4.1.3.RELEASE,页面模板采用thymeleaf。 在MyUserDetailsService实现了UserDetailsService接口以后,在重写的loadUserByUsername方法里验证用户名存在时,我们会抛出一个UsernameNotFoundExceptio...
spring security oauth2UsernameNotFoundException无法在认证失败后被捕获的问题
咘噜biu的博客
11-24 3765
1.问题描述: 在认证失败后UsernameNotFoundException异常会被默认转换成BadCredentialsException异常,导致捕获UsernameNotFoundException, 一般来说UsernameNotFoundException是用户名错误导致的登录失败,BadCredentialsException是用户名或者密码错误导致的登录失败。如果我们能捕获UsernameNotFoundException就能很好的区分登录失败是哪种具体的原因,以便在某些时候做一些
SpringSecurity认证服务器:OAuth2授权服务器实现
最新发布
程序媛学姐的博客
04-21 1232
OAuth2授权服务器默认使用JWT作为访问令牌格式。@Component@Override// 添加用户角色// 添加其他自定义声明@BeanSpring Authorization Server为构建OAuth2授权服务器提供了强大而灵活的支持。通过适当的配置,可以快速实现一个功能完备的认证授权中心,支持多种授权类型和客户端认证方法。本文介绍了Spring Authorization Server的基础配置、客户端注册、用户认证、令牌定制以及授权确认页面的定制方法。
springSecurity能抛出异常UserNameNotFoundException 解析
weixin_34365635的博客
01-19 1775
通过查看源码可得知: 1. 前言 抽象类中AbstractUserDetailsAuthenticationProvider 接口抛出异常AuthenticationException 下面源码注释这么描述 * * @throws AuthenticationException if the credentials c...
Spring Security教程(7)---- 解决UsernameNotFoundException无法被捕获的问题
z69183787的专栏
03-13 1万+
这个教程是我在往项目中一点一点添加 Spring Security的过程的一个笔记,也是我学习 Spring Security的一个过程。 在解决这个问题之前要先说一点authentication-provider默认加载的是DaoAuthenticationProvider类。 完成了上一章的内容后在测试的时候发现在UserDetailsService中抛出的UsernameNotF
jdk11,springboot2.6.7环境下的UsernameNotFoundException和i18n配置
u012362485的博客
05-11 1156
一、事情是这样的 有一天,看到这个代码的时候: @Service public class UserDetailsServiceImpl implements UserDetailsService { private final UserService userService; @Autowired public UserDetailsServiceImpl(UserService userService) { this.userService = userS
Spring_Security+JWT+oauth2.0
柊泓迅的博客
07-05 1170
引入sercurity依赖之后,当访问后台资源,security都会判断你是否登录,没有登录就跳到登陆页面。(除了你放行的请求) 账户密码是security默认给的,user , 密码是随机生成的。SpringSecurity 本质是一个过滤器链: 从启动是可以获取到过滤器链:遇到相关请求就会执行相关拦截判断 代码底层流程:重点看三个过滤器: FilterSecurityInterceptor:是一个方法级的权限过滤器, 基本位于过滤链的最底部。 super.beforeInvocation(fi) 表示
使用 Spring Boot 和 Keycloak 的 OAuth2 快速指南
02-27
开发者将学习如何在Spring Boot项目中集成Keycloak,配置OAuth2.0认证流程,实现用户登录、访问控制等核心功能。 首先,要集成Keycloak到Spring Boot应用中,开发者需要在项目中添加Keycloak依赖,配置Keycloak...
Spring Boot + Spring Security + JWT + 微信小程序登录
codecat_yi的博客
06-28 4477
Spring Boot + Spring Security + JWT + 微信小程序登录整合教程 参考文章 文章目录整合思想整合步骤1. AuthenticationToken2. AuthenticationProcessingFilter3. AuthenticationManager4. JWTFilter5. AuthenticationEntryPoint6. AuthenticationSuccessHandler7. 全局异常捕获8. WebSecurityConfig9. 开启全局方法.
springSecurity UsernameNotFoundException无法抛出
小马的博客
08-10 2955
目录项目环境问题描述百度的解决方案方案1 --------(配置了无效)修改WebSecurityConfig配置,添加AuthenticationProvider Bean配置AuthenticationProvider Bean方案2 --------(没看懂)解决方法 项目环境 SpringBoot 2.3.1 spring-boot-starter-security 2.3.0 问题描述 使用SpringBoot + SpringSecurity做权限拦截,实现UserDetailsService进
SpringSecurity hideUserNotFoundExceptions
Cheung
03-10 4880
项目中,使用SpringSecurity用户登录验证时,密码错误能够正常抛出异常, 但是用户存在的情况却依然抛出密码错误的异常。。异常:总是抛出UsernameNotFoundException异常,打印出Badcredentials。原因:hideUserNotFoundExceptions属性默认为ture,会隐藏用户存在的异常查看AbstractUserDetailsAuthentica
解决Spring Security Oauth资源服务器发情况下获取用户信息错乱问题
qq_38226693的博客
07-31 2323
解决Spring Security Oauth资源服务器发情况下获取用户信息错乱问题问题描述项目工程源码分析解决方案1,修改源码2,添加新的子类实现,作为新bean注入总结 问题描述 当用户A与用户B分别持有一个合法的令牌token 访问同一个资源服务器时,会间接性的出现,用户A拿着A的合法token 却获取到了用户B的用户信息,B用户相反而之。 项目工程 代码使用了redis 作为token 存储,资源服务器通过配置 security: oauth2: resource: us
如何解决security中异常UsernameNotFoundException总是抛出密码错误问题
程序员一博
05-15 5707
使用spring security进行授权登录的时候,发现登录接口无法正常捕捉UsernameNotFoundException异常,捕捉到的一直是BadCredentialsException异常。我们的预期是: UsernameNotFoundException -> 用户名错误 BadCredentialsException -> 密码错误 贴几个比较重要的代码: 经过步进法跟踪代码,发现问题所在,位于 AbstractUserDetailsAuthenticationProvi
SpringBoot集成Spring Security(3)——异常处理
Jitwxs
05-09 2万+
Step1 常见异常 Step2 源码分析 Step3 处理异常 知道你有没有注意到,当我们登陆失败时候,spring security帮我们跳转到了/login?error,奇怪的是管是控制台还是网页上都没有打印错误信息。 这是因为首先/login?error是spring security默认的失败url,其次如果你手动处理这个异常,这个异常是会被处理...
随笔【oauth2】获取token认证/oauth/token返回{“error“: “invalid_grant“, “error_description“: “用户名存在或者密码错误“}
亦碎流年的博客
04-28 7174
现要将feign调用改成restTemplate远程调用 请求如下地址: http://127.0.0.1:8083/user-service/oauth/token?client_id=abc&client_secret=abc&grant_type=password&username=test&password=test123&scope=server postman报错: { "error": "invalid_grant", ...
解决 Spring Security 抛出 UsernameNotFoundException 异常后,始终都是 Bad credentials 的问题。
热门推荐
shijialeya
02-10 3万+
遇到的问题 先说下我的需求:当用户输入存在的用户名进行登录时,返回账户存在的提示。 在做项目的时候使用 Spring Security 作用户登录和授权,定义了 UserDetailsService 的实现类,在这个实现类的 loadUserByUsername(String username) 方法下,我是先判断 username 账户是否存在,如果存在就直接抛出异常,告诉用户账户存在的信息。抛出异常代码如下: if (user == null) { throw new UsernameNotF
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值