SpringBoot+SpringSecurity+Thymeleaf认证失败返回错误信息踩坑记录
spring boot +spring security + thymeleaf认证失败返回错误信息踩坑记录
步入8102年,现在企业开发追求快速,springboot以多种优秀特性引领潮流,在众多使用springboot的企业中,因为springsecurity安全框架由于其与spring框架无缝衔接等优秀特性被使用,这里记录一下使用这两个框架以及thymeleaf模板过程中遇到的一些坑
记录时间:2018.11.30
本人环境:
os:windows 10
jdk:1.8
ide:intellij idea
springboot:1.5.16
springsecurity:4.2.8
thymeleaf:3.0.9
初学阶段,我们大都使用表单提交来进行登录,这里我们也采用这种方式
表单设计大都大同小异,这里就不过多赘述,接下来我们看下后台springsecurity的配置
我这里只配置了一个必要项,相信都看得懂,这样一来登录成功并且跳转到后台主界面是没有问题的,那如果登录失败我想在登录页上显示错误信息呢?
我们知道,spring security对于请求是经过一系列filter进行拦截的,其中用户登录验证这类的处理都是在usernamepasswordauthenticationfilter中,它继承自abstractauthenticationprocessingfilter。
在abstractauthenticationprocessingfilter里面对于登录失败这类异常的处理都在dofilter方法中
从这段代码我们看到它将捕获的异常都交给unsuccessfulauthentication来处理,接下来我们看看unsuccessfulauthentication方法
这里看到,最终处理这些异常的是failurehandler的onauthenticationfailure()方法
这里我们来看看failurehandler是什么
我们来看simpleurlauthenticationfailurehandler这个类
其中这个onauthenticationfailure()就是错误信息的处理
这里主要的处理操作是在saveexception()方法中
这段代码我们可以看出,异常就是保存在session中!最后看下是以什么名称保存的
到这里我们就知道了,页面上可以通过session获取spring_security_last_exception来获取异常信息
因为这里session中保存的是authenticationexception对象,我们再来看下保存的异常对象
其继承了runtimeexception,相信大家都很熟悉,所以就不过多赘述,这里基本就清楚了,我们从session中获取到该对象后再获取当前对象的message即可
因为对thymeleaf不够熟悉,这里怎么取session呢?
百度之后的结果:${session.spring_security_last_exception.message} 和 ${sessionscope.spring_security_last_exception.message}
结果发现都获取不到值
这里在*上找到了解决方法
https://*.com/questions/14042106/spring-security-sessionscope-appears-to-be-null-when-using-thymeleaf
在该问题下找到了答案
当然这里需要注意的一个小地方,应该是
(一个单双引号的问题需要注意下,不要直接拷贝过来用了.)
至此,尝试运行项目,页面已经可以显示异常信息了
补充一下,在springsecurity中,关于登录的异常有以下几个:
usernamenotfoundexception 用户找不到
badcredentialsexception 坏的凭据
accountstatusexception 用户状态异常它包含如下子类
accountexpiredexception 账户过期
lockedexception 账户锁定
disabledexception 账户不可用
credentialsexpiredexception 证书过期
这里的话这些提示信息是可以定制的
后面我们将来定制一下这些异常信息,坏的凭证这样的提示太不友好了
第一次写博客,希望对别人有所帮助,也记录一下自己的踩坑过程。