关于异常处理以及针对spring security oauth 2的401错误进行页面跳转

SpringBoot错误集中处理与OAuth2认证问题
最新推荐文章于 2025-10-11 19:53:15 发布
原创 最新推荐文章于 2025-10-11 19:53:15 发布 · 1w 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍如何在SpringBoot项目中配置错误集中处理,包括404、500等HTTP状态码的自定义页面显示,以及解决OAuth2认证中invalid_token问题的方法。通过实现ErrorPageConfig和AuthExceptionEntryPoint,实现对特定错误的统一处理。

由于最近遇到了新问题,还折磨了我两天,所以这里就简单的记录一下⑧

错误集中处理

由于系统需要,所以为项目添加了一个错误集中处理配置
前情提要

spring boot : 2.0.3.RELEASE

参考文章

首先根据spring boot版本的不同,以1.4.0为界是有不同的配置方式的,这里由于用的是2.0.3.RELEASE,所以配置如下。

package com.yubotao.springsecurityoauth2.config;

import org.springframework.boot.web.server.ErrorPage;
import org.springframework.boot.web.server.ErrorPageRegistrar;
import org.springframework.boot.web.server.ErrorPageRegistry;
import org.springframework.http.HttpStatus;
import org.springframework.stereotype.Component;



/**
 * @Auther: yubt
 * @Description:
 * @Date: Created in 17:23 2018/10/10
 * @Modified By:
 */
@Component
public class ErrorPageConfig implements ErrorPageRegistrar {

    @Override
    public void registerErrorPages(ErrorPageRegistry registry){
        ErrorPage[] errorPages = new ErrorPage[]{
                new ErrorPage(HttpStatus.NOT_FOUND, "/error/404"),
                new ErrorPage(HttpStatus.INTERNAL_SERVER_ERROR, "/error/500"),
                new ErrorPage(Throwable.class, "/error/500")
        };
        registry.addErrorPages(errorPages);

    }

}

接着加一个进行跳转的Controller

package com.yubotao.springsecurityoauth2.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestMethod;

/**
 * @Auther: yubt
 * @Description:
 * @Date: Created in 17:17 2018/10/10
 * @Modified By:
 */
@Controller
@RequestMapping("/error")
public class ErrorController {

    @RequestMapping(value = "/401", method = RequestMethod.GET)
    public String error_401(){
        return "error_401";
    }

    @RequestMapping(value = "/404", method = RequestMethod.GET)
    public String error_404(){
        return "error_404";
    }

    @RequestMapping(value = "/500", method = RequestMethod.GET)
    public String error_500(){
        return "error_500";
    }

}

然后放一个页面吧,其他的都一样
error_404.html

<!DOCTYPE html>
<html>
<head>

</head>

<body>
<h1>404</h1>
<h3>抱歉,无法找到网页</h3>
</body>
</html>

spring security oauth 2 的401处理(invalid_token)

开始我们使用了上面的那种异常集中处理,我开始以为可以把401错误也纳入其中,但是经过尝试之后发现这种方式是行不通的,因为当出现401报错的时候,返回的是一个xml形式的,总之就很烦,然后这个地方我用了1天的时间才找到比较好的解决办法。
在这里插入图片描述

最开始的想法是用过滤器,应该是可以做的,但是我没做,一个是网上相关资料较少,再就是想看看有没有其他的方式解决。

后来用尝试了使用对oauth 2的资源服务器进行配置登陆页面的方式,就是如下这种方式

 @Override
        public void configure(HttpSecurity http) throws Exception {
            // @formatter:off
            http
                    .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
                    .and()
                    .requestMatchers().anyRequest()
                    .and()
                    .anonymous()
                    .and()
                    .formLogin().loginPage("/login")
                    .and()
                    .authorizeRequests()
                    // or可以通过access_token访问,但是and不行;经过测试,应该是hasRole()方法出了问题,这里无法通过
//                    .antMatchers("/product/**").access("#oauth2.hasScope('select') and  hasRole('ROLE_ADMIN')")
                    .antMatchers("/order/**").authenticated();  // 配置order访问控制,必须认证过后才可以访问
            // @formatter:on
        }

这种情况貌似是失败了,无奈之下,只能继续寻找解决方法,果然让我找到了,可以看到这个文章,虽然效果不是我想要的,但是是可以借鉴的。

所以其实我们只需要定义一个AuthExceptionEntryPoint

package com.yubotao.springsecurityoauth2.config;

import org.springframework.beans.factory.annotation.Value;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

/**
 * @Auther: yubt
 * @Description:
 * @Date: Created in 11:36 2018/10/11
 * @Modified By:
 */
public class AuthExceptionEntryPoint implements AuthenticationEntryPoint {

    @Value("${server.url}")
    private  String serverUrl;

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException)
            throws ServletException {

//        Map map = new HashMap();
//        map.put("error", "401");
//        map.put("message", "token过期,请重新登陆");
//        map.put("path", request.getServletPath());
//        map.put("timestamp", String.valueOf(new Date().getTime()));
//        response.setContentType("application/json");
//        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);

        try {
//            ObjectMapper mapper = new ObjectMapper();
//            mapper.writeValue(response.getOutputStream(), map);
            System.out.println("进入Entry方法");
            response.sendRedirect(serverUrl + "/error/401");
        } catch (Exception e) {
            throw new ServletException();
        }
    }

}

开始的时候我以为这种方式也不行,因为我没有注掉那些代码,就进行了重定向,结果还是报错了,并且发现这个方法进入了两次,然后同事说了依据可能是response.setContentType("application/json");这句的问题,然后我就把上面的代码注掉,果然就可以正确重定向了。

这样,我们就把这个invalid_token的问题给解决了。
效果如下
当我请求http://localhost:8080/order/1时,由于需要权限,但是我并没有登陆,所以就会重定向到这个页面
在这里插入图片描述

而关于AuthenticationEntryPoint的相关文章,我只能找到这样一篇文章,稍微提到了一下,也没去官方文档去查,不过大概了解它的功能了,就是一个认证系统,不过还是存疑,以后有机会可以再去官方文档搜搜。

赶着下班,今天就草草写到这了。

Github项目地址

Spring Security OAuth2】- spring security - 认证流程源码级详解
smart_an的专栏
10-10 1099
作者简介:大家好,我是哥,前中兴通讯、美团架构师,现某互联网公司联系qq:184480602,加我进群,大家一起学习,一起进步,一起对抗互联网寒冬学习必须往深处挖,挖的越深,基础越扎实!
Spring Security OAuth2】- spring security - 个性化用户认证流程1
smart_an的专栏
10-10 1155
标准登录页面
SpringCloud 使用Security+Oauth2 时候再去使用fegin,发现出现401未授权
05-31
我们在使用spring cloud时如果设置了oauth2授权模式,那么应用服务A再调用服务B时使用Feign请求会出现401授权认证的问题,那么解决办法就是在feign调用请求时获取到assessToken并设置到请求header中就可以解决这个问题了,资源包中有2个文件:FeignRequestInterceptor.java(拦截器)、OAuth2RestTemplateConfiguration.java(设置header),2个JAVA类,在spring boot框架下,客户端只需要正常引入了授权的JAR包,并把这2两个类放到可以被加载到的目录就可以了,其他都不需要做,可以保证feign正常访问。
OAuth2Spring Security OAuth2 授权失败(401) 问题整理
hkk666123的博客
05-06 1万+
文章目录一、免登录接口校验token问题二、Token失效返回的是状态401错误 Spring Cloud架构中采用Spring Security OAuth2作为权限控制,关于OAuth2详细介绍可以参考阮一峰的网络日志理解OAuth 2.0 项目中采用OAuth2四种模式中的两种,Password模式和Client模式, Password模式用于控制用户的登录,Client模式用于控制后端服务相互调用。 权限架构调整后在近期发现一些问题,由于网上资料不多,只能单步调试方式看源码 (其实带着问题看源码是
OAuth2客户端认证失败处理:Ory Hydra错误响应优化
最新发布
gitblog_00459的博客
10-11 254
你是否曾遇到过OAuth2客户端认证失败却难以排查的情况?错误提示模糊、日志信息不足、调试流程复杂,这些问题往往导致开发者浪费大量时间在问题定位上。本文将深入剖析Ory Hydra的错误处理机制,通过实战案例展示如何优化错误响应,让你轻松应对各类认证失败场景。 读完本文,你将能够: - 快速识别常见的OAuth2客户端认证错误类型 - 理解Ory Hydra的错误处理流程与代码实现 - 掌握自定...
spring security+Oauth2密码模式认证时,报401,Unauthorized的问题排查
热门推荐
jll126的博客
10-22 1万+
第一种情况: 进行 /auth/token的post请求时,没有进行httpbasic认证。 什么是http Basic认证? http协议的一种认证方式,将客户端id和客户端密码按照“客户端ID:客户端密码”的格式拼接,并用base64编码,放在 header中请求服务端。例子如下: Authorization:Basic ASDLKFALDSFAJSLDFKLASD= ASDLKFALDSFAJSLDFKLASD= 就是 客户端ID:客户端密码 的64编码 springsecurity中的...
SpringBoot项目,访问任意接口提示Unauthorized,返回401,并跳转到登陆页面错误
IntialJ的博客
11-25 4304
地址栏里的login也是在我输入了自己的接口之后,自动跳转到了login 于是用Postman测试,得到401响应: 当时一脸蒙蔽,心想我代码里面没有写拦截器啊,而且拦截之后的页面也不是我写的。刚开始认为可能和端口有关,后来发现不是。于是想着很有可能是SpringBoot自己默认的拦截。网上找了各种资料,果然,发现项目的pom.xml中多了spring-boot-starter-security...
Nacos-Gateway-SpringBoot-网关返回401状态码-no-authXXX
Deadeyess的博客
06-26 2637
请求GateWay网关返回【401】? 原来是网关的拦截器没有放行这个URL!被滞留了,所以什么返回都没有!我服我自己
spring security oauth2 实现jwt sso
11-14
Spring Security OAuth2 与 JWT 实现的SSO详解 在当今的互联网应用中,单点登录(Single Sign-On,简称SSO)已经成为一种常见的身份验证机制,它允许用户在一个系统中登录后,无需再次登录就能访问其他关联系统。在...
Spring Security OAuth2】- spring security - 基本原理
smart_an的专栏
10-07 1099
这里会判定该请求是否能进行访问rest服务;判断的依据是:BrowserSecurityConfig中的配置;如果被拒绝了就会抛出不同的异常(根据具体的原因)。Exception Translation Filter 会捕获抛出的错误,然后根据不同的认证方式进行信息的返回提示注意的是:绿色的过滤器可以配置是否生效,其他的都不能控制;以上就是security最基本的一个原理,其他的衍生的功能都是基于这个架子进行扩展的。
Spring Security跳转页面失败问题解决
08-25
Spring Security 跳转页面失败问题解决 Spring Security 是一个基于 Java 的安全框架,提供了强大的身份验证、授权和加密功能。然而,在使用 Spring Security 时,可能会遇到跳转页面失败的问题。本文将详细介绍 ...
解决spring gateway网关测试路径路由转发401未授权问题
chdhdhbv的博客
05-12 744
网关测试路由转发时发现未授权。
Spring Security请求oauth/token接口报401 Unauthorized
qiujing0907的博客
01-04 9771
我出现报错的原因就是这个passwordEncoder的实例类发生了变动,因为pom中依赖版本升级,导致这个密码编码器在高版本中发生了改变,由原来的明文编码器变为了hash编码器。返回的,请求并没有到达路径对应接口就返回了,我并没有了解过spring security中过滤器具体有哪些,所以不太好打断点,这导致我浪费很多的时间。不废话,原因是走了下边过滤器的这段代码(注意,这是我的项目,走的该Filter,自己的项目还需要结合实际情况来)。密码编码器比对参数中的凭证,与抽象类中获取的凭证信息是否一样。
spring securityOAuth2 整合访问 localhost:8082/oauth/token 报401的问题,或者403的问题
John_chu的博客
12-20 2636
@Bean public PasswordEncoder passwordEncoder() { /** * 采坑 * spring-boot2 之后废弃了MD5,使用BCryptPasswordEncoder()加密; * */ return new BCryptPasswordEncoder(); } 注意在security的配置内中,要使用BCryptPasswordEncoder 加密,..
BS问题:Spring boot Admin 配置 security 导致客户端连接 401 : [no body]
qq_30337573的博客
06-13 1114
【代码】BS问题:Spring boot Admin 配置 security 导致客户端连接 401 : [no body]
访问接口一直在报401问题Springboot和spring cloud gateway的跨域问题
syr1136877833的博客
11-20 1万+
最近在帮忙联调一个项目的接口,架构是别人搭建的,我只是帮忙联调业务。 打开之后发现昨天还好好的项目,现在调试起来全报401,因为是SpringCloud项目,zuul换成了gateway,因为gateway里面有个filer,过滤请求的我就直接把filer注释掉。也就是现在gateway就只是个请求转发的作用,但是还是报401,后来想着要不直接连接业务模块的接口吧,但是发现业务模块的服务接口也报4...
SpringSecurity自定义过滤器返回401导致前端Axios报错且禁止跨域的坑
qq_35359663的博客
08-29 1265
但是问题就出现在我们自定义的过滤器JwtTokenFilter上,在这个过滤器里面会进行Token的校验,会给前端响应401或者403等。AxiosError获取不到response是因为Axios会在禁止跨域的时候不允许获取response。只要解决了跨域问题就可以了。所以最终的解决方法是将自定义的JwtTokenFilter的顺序放置CorsWebFilter之后。当响应401或者403的时候,请求就在此结束了,但此时并未设置CORS相关的响应头。前端使用的是Vue3+Axios1.4。
springcloud整合oauth2后,404请求返回401
Wzy000001的博客
01-20 3216
404的请求返回401 我们系统整合springsecurity的时候,出现这么一个问题。当我们有个请求是404的时候,返回的确实401的http码,这个就很让人疑惑了,为啥啊。 猜想 o.s.b.a.s.oauth2.resource.UserInfoTokenServices - Could not fetch user details: class org.springframework.beans.factory.BeanCreationException, Error creating bean
SpringSecurity(一)两种登陆模式+自定义登陆成功与失败结果+Session管理
方木的博客
02-16 2363
SpringSecurity 一、简介: 1.1SpringSecurity 的核心功能: Authentication:认证,用户登陆的验证(解决你是谁的问题) Authorization:授权,授权系统资源的访问权限(解决你能干什么的问题) 安全防护,防止跨站请求,session 攻击等 1.2与shiro的对比: Spring Security因为它的复杂,所以从功能的丰富性的角度更胜一...
spring security+oauth2跳转回登录前页面
04-11
<think>好的,我需要帮助用户解决在使用Spring SecurityOAuth2集成后如何跳转回用户登录前页面的问题。首先,我得理解用户的需求。用户希望在完成OAuth2认证之后,能够自动重定向到他们最初尝试访问的页面,而不是默认的某个固定页面。这在单点登录(SSO)场景中很常见,比如用户点击某个需要认证的资源,被重定向到登录页面,登录后应该回到原来的页面。 接下来,我需要回忆Spring SecurityOAuth2的相关机制。通常,Spring Security在用户未认证时会将他们重定向到登录页面,并在登录成功后根据配置跳转到默认的成功页面。但用户希望的是回到之前的页面,这通常涉及到保存请求前的URL。 根据引用内容,用户提到的@EnableOAuth2Sso注解和授权码生成流程可能相关。在OAuth2的流程中,当用户尝试访问受保护的资源时,会被重定向到授权服务器进行认证。认证成功后,需要能够返回到原来的请求页面。这时候可能需要配置Spring Security来保存请求前的URL,并在认证完成后进行重定向。 查看引用[4]提到的单点登录案例,里面可能涉及到如何配置OAuth2客户端和资源服务器,以及处理认证后的重定向。通常,这需要设置一个AuthenticationSuccessHandler,在认证成功时处理重定向逻辑。例如,使用SavedRequestAwareAuthenticationSuccessHandler,这个类会记住用户之前的请求,并在登录成功后重定向到那个URL。 另外,引用[3]中提到的AuthorizationEndpoint和授权码生成流程可能涉及到如何生成回调URL,其中可能需要包含原始请求的信息。不过这可能更多是在授权服务器端的配置,而用户的问题可能是在客户端如何处理回调后的重定向。 需要检查客户端的配置,确保在OAuth2客户端配置中正确设置了redirect_uri,并且服务器端允许这个URI。同时,在Spring Security的配置中,可能需要覆盖默认的认证成功处理逻辑,使用保存请求的Handler。 可能的步骤包括: 1. 配置Spring SecurityOAuth2客户端,正确设置redirect_uri。 2. 使用SavedRequestAwareAuthenticationSuccessHandler作为认证成功处理器,这样在认证成功后会自动跳转到之前保存的请求页面。 3. 确保在安全配置中允许保存请求,例如通过http.securityContext().and().authorizeRequests()...等配置。 同时,需要注意Spring Security OAuth2的版本差异,特别是Spring Boot 2.x之后的一些变化,如引用[1]提到的需要添加spring-security-oauth2-autoconfigure依赖才能使用@EnableOAuth2Sso注解。如果用户使用的是较新版本,可能需要调整配置方式,因为Spring官方已经将OAuth2的支持迁移到Spring Security 5.x的体系中,可能不再推荐使用@EnableOAuth2Sso,而是采用更现代的配置方式。 另外,引用[2]提到了资源服务器的依赖配置,这可能和客户端配置相关,但用户的问题更关注客户端认证后的重定向,因此资源服务器的配置可能不是重点,但需要确保整体依赖正确。 总结来说,用户需要在客户端应用中配置认证成功后的处理逻辑,使用Spring Security提供的机制来保存和恢复用户原始的请求URL。这通常可以通过自定义WebSecurityConfigurerAdapter,设置successHandler为SavedRequestAwareAuthenticationSuccessHandler来实现。同时,需要确保OAuth2客户端的回调URL正确配置,以处理授权服务器返回后的重定向。 可能还需要处理一些特殊情况,例如当用户直接访问登录页面而不是通过访问受保护资源触发的登录,这时候可能需要一个默认的重定向路径。此外,需要确保Session管理正确,以便保存用户的原始请求信息。 最后,可能需要参考Spring SecurityOAuth2的官方文档,以及相关的示例代码,来验证配置的正确性,并处理可能出现的异常情况,比如无效的redirect_uri或者会话过期等。</think>要实现Spring SecurityOAuth2集成后跳转回用户登录前的页面,需通过以下步骤配置: ### 1. 配置`SavedRequestAwareAuthenticationSuccessHandler` 在Spring Security配置类中,自定义认证成功处理器`SavedRequestAwareAuthenticationSuccessHandler`,它会自动记录用户访问的原始URL并在登录后重定向到该地址。 ```java @Configuration @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .antMatchers("/", "/public/**").permitAll() .anyRequest().authenticated() .and() .oauth2Login() .successHandler(savedRequestSuccessHandler()) // 关键配置 .and() .logout().permitAll(); } private AuthenticationSuccessHandler savedRequestSuccessHandler() { SavedRequestAwareAuthenticationSuccessHandler handler = new SavedRequestAwareAuthenticationSuccessHandler(); handler.setDefaultTargetUrl("/"); // 设置默认跳转路径(可选) return handler; } } ``` ### 2. 确保OAuth2客户端回调地址正确 在`application.yml`中配置OAuth2客户端的`redirect-uri`,需与授权服务器注册的回调地址一致。例如: ```yaml spring: security: oauth2: client: registration: github: client-id: your-client-id client-secret: your-client-secret redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}" ``` ### 3. 验证会话管理 确保应用支持Session存储,Spring Security默认通过Session保存用户请求信息。若使用分布式Session(如Redis),需添加相关依赖并配置: ```xml <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> </dependency> ``` ### 原理解析 - **保存原始请求**:当未认证用户访问受保护资源时,Spring Security会通过`ExceptionTranslationFilter`将请求存入`RequestCache`(默认使用`HttpSessionRequestCache`),并触发OAuth2登录流程[^4]。 - **回调处理**:OAuth2登录成功后,`SavedRequestAwareAuthenticationSuccessHandler`会从`RequestCache`中读取原始请求地址并重定向。
评论 4
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值