spring security抛出AuthenticationException异常的原因

最新推荐文章于 2025-06-20 15:36:39 发布
原创 最新推荐文章于 2025-06-20 15:36:39 发布 · 7k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入探讨了使用MD5或其他加密算法保护密码时的密码验证机制,并强调了在UsernamePasswordAuthenticationFilter的子类中如何正确处理认证逻辑,确保用户名和密码验证的责任归属UserDetailsService。同时介绍了如何在attemptAuthentication方法中进行验证码检测、用户名提取、处理不同入口类型并最终通过UserDetailsService进行用户认证的过程。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

可能是因为密码不正确,特别是密码使用md5或者其它的加密算法加密之后,更是如此。

还有一点:

在UsernamePasswordAuthenticationFilter的子类中的attemptAuthentication方法中,只要去验证你自己的逻辑就可以了,不要在这里验证用户名,密码是否正确,因为这是UserDetailsService要干的事情。

比如我的attemptAuthentication方法中就是这样:

    @Override
    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {
           if (!request.getMethod().equals("POST")) {  
                throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());  
            }  
            //检测验证码  
            checkValidateCode(request); 
            String username = obtainUsername(request);  
            String password = obtainPassword(request);  
            
            //为了辨别从前台进入的,还是从后台进入的
            String type=request.getParameter(ENTRY);
            request.getSession().setAttribute(USER_ENTRY, type);
            if("bg".equals(type))
            {
                username="bg_"+username;
            }else if("fg".equals(type))
            {
                username="fg_"+username;
            }
            
              
            //这里的username会传给UserDetailsService的loadUserByUsername方法,作为loadUserByUsername的参数。
            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);  
              
            // 允许子类设置详细属性  
            setDetails(request, authRequest);  
              
            // 运行UserDetailsService的loadUserByUsername 再次封装Authentication  
            AuthenticationManager authenticationManager = this.getAuthenticationManager();
            Authentication authentication=authenticationManager.authenticate(authRequest);
            return authentication;  
    }

 

passer199101
关注
Spring Security 异常处理
2012年开始工作,全栈开发老兵,目前已是一个老师,分享这么多年的心得体会
09-18 311
org.springframework.security.authentication.BadCredentialsException: 用户名或密码错误。当我们登录的时候,如果用户名找不到,则抛出:UsernameNotFoundException,可以被拦截到LoginFailureHandler。因为UsernameNotFoundException继承自:AuthenticationException
spring security原理和机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行和成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”和“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)和用户授权 (Authorization)两个部分,这两点也是 Spring
Spring Security之安全异常处理
Evan_L的博客
07-17 2194
Spring Security中,特指对于安全异常的处理。我们知道Spring Security主要是基于过滤器来实现的,因此每个安全过滤器都可能发生安全异常,所以处理逻辑会被散落在各个过滤器中。Spring自然是不能忍受这种设计,于是就有了专门的安全异常处理。注:下文我们都用异常处理来代指安全异常处理。异常处理体系包括异常定义分两类 —— 认证异常、访问拒绝异常(鉴权异常
elasticsearch报错AuthenticationException(401, ‘security_exception‘,‘unable to authenticate user
最新发布
lzcs1的博客
06-20 503
es报标题的错时,9200端口的认证页面虽然可以打开,但没法登录,也就是。.security-7没法正常生成。kibana此时会报错。
记一次使用SpringSecurity出现的异常security.authentication.BadCredentialsException: Bad credentials
小小心大大梦的博客
11-27 1万+
org.springframework.security.authentication.BadCredentialsException: Bad credentials at org.springframework.security.authentication.dao.DaoAuthenticationProvider.additionalAuthenticationChecks(DaoAu...
关于Spring Security自定义认证时,异常处理的问题,如何使用自定义异常进行消息提示
无限进步的博客
02-10 4123
我们在利用springSecurity进行认证时,如果没有配置认证失败处理器,想要在自己实现UserDetailsService中抛出异常来进行提示用户用户名错误时,再利用全局异常处理器中是无法捕获到自己抛出异常
spring-security结合jwt登录鉴权何时抛出401异常
qq_40612126的博客
01-08 3174
spring-security结合jwt登录鉴权何时抛出401异常项目场景:原因分析: 项目场景: 先看securityConfig配置 ![securityConfig配置](https://img-blog.csdnimg.cn/d7220b1ca3574a3e97e332063ea419c3.png?x-oss-process=image/watermark,type_d3F5LXplbmhlaQ,shadow_50,text_Q1NETiBAQ2Fwc2xvY2tjYw==,size_20,col
spring security 中的异常
冬阳
09-06 832
spring security 中的异常体系
@ExceptionHandler不管用 spring security oauth2 自定义异常拦截InternalAuthenticationServiceException
老专家的博客
04-26 1万+
由于spring security的认证filter,使得认证异常不能通过DispatcherServlet,所以@ExceptionHandler处理不到 需要自定义 资源服务 异常处理过程 resources.authenticationEntryPoint 与 resources.accessDeniedHandler, 可以拦截并自定义处理 //AuthenticationEn...
Spring Security 实战干货:自定义异常处理
码农小胖哥
11-07 2846
1. 前言 最近实在比较忙,很难抽出时间来继续更 Spring Security 实战干货系列。今天正好项目中 Spring Security 需要对认证授权异常的处理,就分享出来吧 。 2. Spring Security 中的异常 Spring Security 中的异常主要分为两大类:一类是认证异常,另一类是授权相关的异常。 2.1 AuthenticationException Auth...
Spring Security身份认证、权限验证、异常处理、自动登录流程整理
记录,记录,记录
04-07 2036
SpringSecurity是一系列filter,我们看功能实现,看你具体Filter就可以了。 我们需要关注的过滤器大致有4个: UsernamePasswordAuthenticationFilter:登录认证过滤器 FilterSecurityInterceptor:权限认证过滤器 ExceptionTranslationFilter:登录/权限认证失败处理器 RememberMeAuthenticationFilter:自动登录过滤器 1、UsernamePasswordAuthenticati
Trac 不能登陆:Authentication information not available. Please refer to the installation documentation
jTeam的专栏
07-08 4825
<br />Trac 不能登陆:Authentication information not available. Please refer to the installation documentation<br /> <br /> <br />启动方式<br /> <br />tracd --port 8003 --basic-auth="trac,/home/trac/.htpasswd,trac" /home/path/projects/demo>demo.log 2>&1 &<br /> <br
5.使用springsecurityauthenticationManager.authenticate报StackOverflowError错误
qq_46090071的博客
05-12 4687
使用springsecurityauthenticationManager.authenticate报StackOverflowError错误 1.在注入bean时 authenticationManager()和WebSecurityConfigurerAdapter的authenticationManagerBean()是两个不同的方法,并且 您正在调用超类的 authenticationManagerBean() 方法,据我所知,这取决于 authenticationManager(
java 拒绝访问_java – Utgard – 拒绝访问
weixin_34377186的博客
02-19 1128
我一直无法找到解决问题的解决方案,因此我正在开设一个新主题.Utgard(http://openscada.org/projects/utgard)对我来说似乎是一个非常有用的工具.在这个阶段,我只想通过Eclipse在Windows 8操作系统上本地访问TOP OPC服务器.但是,在尝试运行他们的教程时,我最终得到了“访问被拒绝”.我不认为我在用户名,密码等方面犯了任何错误.Exele OPC ...
SpringSecurity框架原理浅谈之AuthenticationManager
黄先生的博客
02-10 3576
AuthenticationManager这个接口方法非常奇特,入参和返回值的类型都是Authentication。该接口的作用是对用户的未授信凭据进行认证,认证通过则返回授信状态的凭据,否则将抛出认证异常AuthenticationException
2020-11-05
u012844574的博客
11-05 425
转载记录 Springboot+Spring-Security+JWT 实现SSO单点登录 在之前的篇章中大致提到过,使用jwt在分布式项目中进行用户信息的认证很方便,各个模块只需要知道配置的秘钥,就可以解密token中用户的基本信息,完成认证,很方便,关于使用jwt的基本内容可以查阅相关资料,或者参考我之前的一篇; 整理一下思路 1、搭建springboot工程 2、导入springSecurity跟jwt的依赖 3、用户的实体类,dao层,service层(真正开发时再写,这里就直接调用dao层操
AuthenticationManager 的 authentication 过程
余生愿你常欢笑
07-26 1万+
1. 结论 // 调用链 AuthenticationManager.authenticate() --> ProviderManager.authenticate() --> DaoAuthenticationProvider(AbstractUserDetailsAuthenticationProvider).authenticate() // 处理 在最后的 authenticate() 方法中,调用了 UserDetailsService.loadUserByUsername() 并进
springsecurity内部异常抛出401
12-28
### 处理Spring Security中导致401 Unauthorized响应的内部异常 当应用程序使用Spring Security保护资源时,未经身份验证或未经授权访问受保护资源会触发`401 Unauthorized`响应。这种情况下通常涉及的是`AuthenticationException`[^2]。 为了更友好地处理这些情况并返回定制化的错误消息给客户端,在Spring Security配置中可以实现`AuthenticationEntryPoint`接口来指定未认证请求应如何被处理[^3]: ```java import org.springframework.security.core.AuthenticationException; import org.springframework.security.web.authentication.www.BasicAuthenticationEntryPoint; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; public class CustomAuthenticationEntryPoint extends BasicAuthenticationEntryPoint { @Override public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException { response.addHeader("WWW-Authenticate", "Basic realm=" + getRealmName()); response.sendError(HttpServletResponse.SC_UNAUTHORIZED, authException.getMessage()); } @Override public void afterPropertiesSet() throws Exception { setRealmName("My Application"); super.afterPropertiesSet(); } } ``` 接着需要将这个入口点注册到安全配置里去: ```java @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { private final CustomAuthenticationEntryPoint customAuthenticationEntryPoint; @Autowired public WebSecurityConfig(CustomAuthenticationEntryPoint customAuthenticationEntryPoint){ this.customAuthenticationEntryPoint = customAuthenticationEntryPoint; } @Override protected void configure(HttpSecurity http) throws Exception { http.exceptionHandling() .authenticationEntryPoint(customAuthenticationEntryPoint); // Other configurations... } // ... } ``` 通过这种方式,每当有未经过适当的身份验证尝试访问受限资源的情况发生时,就会调用上述方法,并按照设定的方式向客户端发送带有特定信息的状态码和头部字段。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值