那些遇到过的问题

Spring Boot REST API/Spring Security:在身份验证失败时返回自定义消息

clo*_*ker 2 rest spring jersey spring-security spring-boot

我有一个使用Jersey作为JAX-RS实现的Spring Boot应用程序.这是我的安全配置:

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
@EnableWebSecurity
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Autowired TokenAuthenticationProvider tokenAuthenticationProvider;

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.authenticationProvider(tokenAuthenticationProvider);
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.addFilterBefore(new AuthenticationTokenFilter(), BasicAuthenticationFilter.class)
                .csrf().disable()
                .authorizeRequests()
                .antMatchers("/dataHub/**")
                .authenticated();
    }
}
Run Code Online (Sandbox Code Playgroud)

我想要做的是有一种方法来捕获我的TokenAuthenticationProvider抛出的异常,并将它们转换为我们已经同意的标准化JSON格式.有没有办法做到这一点?我试着添加一个自定义的AuthenticationFailureHandler,但是无法让它工作.

Dan*_*ski 13

WebSecurityConfigurerAdapter appraoch

HttpSecurity类有一个叫做方法exceptionHandling可用于覆盖默认行为.以下示例介绍了如何自定义响应消息.

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        // your custom configuration goes here
        .exceptionHandling()
        .authenticationEntryPoint((request, response, e) -> {
            String json = String.format("{\"message\": \"%s\"}", e.getMessage());
            response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
            response.setContentType("application/json");
            response.setCharacterEncoding("UTF-8");
            response.getWriter().write(json);                
        });
}
Run Code Online (Sandbox Code Playgroud)

@ControllerAdvice appraoch - 为什么它在这种情况下不起作用

起初我考虑过@ControllerAdvice捕获整个应用程序的身份验证异常.

import org.springframework.http.HttpStatus;
import org.springframework.security.core.AuthenticationException;

@ControllerAdvice
public class AuthExceptionHandler {

    @ResponseStatus(HttpStatus.UNAUTHORIZED)
    @ExceptionHandler(AuthenticationException.class)
    @ResponseBody
    public String handleAuthenticationException(AuthenticationException e) {
        return String.format("{\"message\": \"%s\"}", e.getMessage());
    }

}
Run Code Online (Sandbox Code Playgroud)

在上面的示例中,JSON是手动构建的,但您可以简单地返回一个POJO,它将映射到JSON,就像从常规REST控制器一样.既然Spring 4.3,你也可以使用@RestControllerAdvice,这是一个组合@ControllerAdvice@ResponseBody.

但是,此方法不起作用,因为异常是AbstractSecurityInterceptorExceptionTranslationFilter抛出并在到达任何控制器之前处理的.

归档时间:

查看次数:

3328 次

最近记录:

9 年,2 月 前
相关归档
Flask RESTful API多个复杂端点 30
何时使用Servlet或@Controller 26
为什么Spring数据存储库上的getOne(...)不会抛出EntityNotFoundException? 23
如何使用modelAttribute在ajax(jquery)中提交spring表单 14
如何在类中动态创建Jpa存储库? 12
使用OAuth2客户端凭据流保护用PHP编写的REST API 11
Spring OAUTH - 针对web e REST的不同登录 11
bean验证默认参数的顺序? 8
从MaximumUriTagsReachedMeterFilter获得最大数量的URI标记 7
在基于 RestEasy 的服务中为 ThreadLocal 存储使用服务器请求和响应过滤器 5
难疑归档
JavaScript闭包如何工作? 7644
如何确定最初克隆本地Git存储库的URL? 3782
grep一个文件,但显示几个周围的行? 3277
将字符串转换为datetime 2035
动态创建元素的事件绑定? 1677
从Git提交中删除文件 1484
表命名困境:奇异与多个名称 1404
使用*args和**kwargs 1367
如何从我的应用程序中在Android的Web浏览器中打开URL? 1282
如何在PHP中进行重定向? 1201