溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊(cè)×
其他方式登錄
點(diǎn)擊 登錄注冊(cè) 即表示同意《億速云用戶服務(wù)條款》

自定義SpringSecurity的身份驗(yàn)證失敗怎么辦

發(fā)布時(shí)間:2021-09-27 14:43:15 來源:億速云 閱讀:144 作者:小新 欄目:編程語言

這篇文章給大家分享的是有關(guān)自定義SpringSecurity的身份驗(yàn)證失敗怎么辦的內(nèi)容。小編覺得挺實(shí)用的,因此分享給大家做個(gè)參考,一起跟隨小編過來看看吧。

1.概述

在本快速教程中,我們將演示如何在Spring Boot應(yīng)用程序中自定義Spring Security的身份驗(yàn)證失敗處理。目標(biāo)是使用表單登錄方法對(duì)用戶進(jìn)行身份驗(yàn)證。

2.認(rèn)證和授權(quán)(Authentication and Authorization)

身份驗(yàn)證和授權(quán)通常結(jié)合使用,因?yàn)樗鼈冊(cè)谑谟柘到y(tǒng)訪問權(quán)限時(shí)起著重要且同樣重要的作用。

但是,它們具有不同的含義,并在驗(yàn)證請(qǐng)求時(shí)應(yīng)用不同的約束:

身份驗(yàn)證 - 在授權(quán)之前;它是關(guān)于驗(yàn)證收到的憑證;我們驗(yàn)證用戶名和密碼是否與我們的應(yīng)用程序識(shí)別的用戶名和密碼相匹配授權(quán) - 用于驗(yàn)證成功通過身份驗(yàn)證的用戶是否有權(quán)訪問應(yīng)用程序的某個(gè)功能

我們可以自定義身份驗(yàn)證和授權(quán)失敗處理,但是,在此應(yīng)用程序中,我們將專注于身份驗(yàn)證失敗。

3. Spring Security的AuthenticationFailureHandler

Spring Security提供了一個(gè)默認(rèn)處理身份驗(yàn)證失敗的組件。

但是,我們發(fā)現(xiàn)于默認(rèn)行為不足以滿足實(shí)際要求的情況是很常見的。

如果是這種情況,我們可以創(chuàng)建自己的組件并通過實(shí)現(xiàn)AuthenticationFailureHandler接口提供我們想要的自定義行為:

public class CustomAuthenticationFailureHandler  implements AuthenticationFailureHandler {   private ObjectMapper objectMapper = new ObjectMapper();   @Override  public void onAuthenticationFailure(   HttpServletRequest request,   HttpServletResponse response,   AuthenticationException exception)    throws IOException, ServletException {     response.setStatus(HttpStatus.UNAUTHORIZED.value());    Map<String, Object> data = new HashMap<>();    data.put(     "timestamp",      Calendar.getInstance().getTime());    data.put(     "exception",      exception.getMessage());     response.getOutputStream()     .println(objectMapper.writeValueAsString(data));  }}

默認(rèn)情況下,Spring使用包含錯(cuò)誤信息的請(qǐng)求參數(shù)將用戶重定向回登錄頁面。

在此應(yīng)用程序中,我們將返回401響應(yīng),其中包含有關(guān)錯(cuò)誤的信息以及錯(cuò)誤發(fā)生的時(shí)間戳。

DelegatingAuthenticationFailureHandler將AuthenticationException子類委托給不同的AuthenticationFailureHandler,這意味著我們可以為AuthenticationException的不同實(shí)例創(chuàng)建不同的行為  ExceptionMappingAuthenticationFailureHandler根據(jù)AuthenticationException的完整類名將用戶重定向到特定的URL  無論AuthenticationException的類型如何,F(xiàn)orwardAuthenticationFailureHandler都會(huì)將用戶轉(zhuǎn)發(fā)到指定的URL  SimpleUrlAuthenticationFailureHandler是默認(rèn)使用的組件,如果指定,它會(huì)將用戶重定向到failureUrl;否則,它只會(huì)返回401響應(yīng)

現(xiàn)在我們已經(jīng)創(chuàng)建了自定義AuthenticationFailureHandler,讓我們配置我們的應(yīng)用程序并覆蓋Spring的默認(rèn)處理程序:

@Configuration@EnableWebSecuritypublic class SecurityConfiguration  extends WebSecurityConfigurerAdapter {   @Override  protected void configure(AuthenticationManagerBuilder auth)    throws Exception {    auth     .inMemoryAuthentication()     .withUser("baeldung")     .password("baeldung")     .roles("USER");  }   @Override  protected void configure(HttpSecurity http)    throws Exception {    http     .authorizeRequests()     .anyRequest()     .authenticated()     .and()     .formLogin()     .failureHandler(customAuthenticationFailureHandler());  }   @Bean  public AuthenticationFailureHandler customAuthenticationFailureHandler() {    return new CustomAuthenticationFailureHandler();  }}

注意failureHandler()調(diào)用,我們可以告訴Spring使用我們的自定義組件而不是使用默認(rèn)組件。

感謝各位的閱讀!關(guān)于“自定義SpringSecurity的身份驗(yàn)證失敗怎么辦”這篇文章就分享到這里了,希望以上內(nèi)容可以對(duì)大家有一定的幫助,讓大家可以學(xué)到更多知識(shí),如果覺得文章不錯(cuò),可以把它分享出去讓更多的人看到吧!

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI