SpringCloud Alibaba实战之 Oauth2认证服务器自定义异常

前言

今天内容主要是解决一位粉丝提的问题：在使用 Spring Security OAuth2 时如何自定义认证服务器返回异常。

那么首先我们先以 Password模式为例看看在认证时会出现哪些异常情况。

授权模式错误

这里我们故意将授权模式 password 修改成 password1，认证服务器返回如下所示的异常

{

"error":"unsupported_grant_type",

"error_description":"Unsupportedgranttype:password1"

}

密码错误

在认证时故意输错 username 或 password 会出现如下异常错误：

{

"error":"invalid_grant",

"error_description":"Badcredentials"

}

客户端错误

在认证时故意输错 client_id 或 client

{

"error":"invalid_client",

"error_description":"Badclientcredentials"

}

上面的返回结

上面的返回结果很不友好，而且前端代码也很难判断是什么错误，所以我们需要对返回的错误进行统一的异常处理，让其返回统一的异常格式。

问题剖析

如果只关注解决方案，可以直接跳转到解决方案模块!

OAuth2Exception异常处理

在Oauth2认证服务器中认证逻辑最终调用的是 TokenEndpoint#postAccessToken()方法，而一旦认证出现 OAuth2Exception异常则会被 handleException()捕获到异常。如下图展示的是当出现用户密码异常时debug截图：

认证服务器在捕获到 OAuth2Exception后会调用 WebResponseExceptionTranslator#translate()方法对异常进行翻译处理。

默认的翻译处理实现类是 DefaultWebResponseExceptionTranslator，处理完成后会调用 handleOAuth2Exception()方法将处理后的异常返回给前端，这就是我们之前看到的异常效果。

处理方法熟悉Oauth2套路的同学应该知道了如何处理此类异常，就是「自定义一个异常翻译类让其返回我们需要的自定义格式，然后将其注入到认证服务器中。」

但是这种处理逻辑只能解决 OAuth2Exception异常，即前言部分中的「授权模式异常」和「账号密码类的异常」，并不能解决我们客户端的异常。

客户端异常处理

客户端认证的异常是发生在过滤器 ClientCredentialsTokenEndpointFilter上，其中有后置添加失败处理方法，最后把异常交给 OAuth2AuthenticationEntryPoint这个所谓认证入口处理。执行顺序如下所示：

然后跳转到父类的 AbstractOAuth2SecurityExceptionHandler#doHandle()进行处理：

最终由 DefaultOAuth2ExceptionRenderer#handleHttpEntityResponse()方法将异常输出给客户端

处理方法

通过上面的分析我们得知客户端的认证失败异常是过滤器 ClientCredentialsTokenEndpointFilter转交给 OAuth2AuthenticationEntryPoint得到响应结果的，既然这样我们就可以重写 ClientCredentialsTokenEndpointFilter然后使用自定义的 AuthenticationEntryPoint替换原生的 OAuth2AuthenticationEntryPoint，在自定义 AuthenticationEntryPoint处理得到我们想要的异常数据。

解决方案

为了解决上面这些异常，我们首先需要编写不同异常的错误代码：ReturnCode.java

CLIENT_AUTHENTICATION_FAILED(1001,"客户端认证失败"),
USERNAME_OR_PASSWORD_ERROR(1002,"用户名或密码错误"),
UNSUPPORTED_GRANT_TYPE(1003,"不支持的认证模式");

OAuth2Exception异常

@Slf4j

publicclassCustomWebResponseExceptionTranslatorimplementsWebResponseExceptionTranslator{

@Override

publicResponseEntity<ResultData<String>>translate(Exceptione)throwsException{

log.error("认证服务器异常",e);

ResultData<String>response=resolveException(e);

returnnewResponseEntity<>(response,HttpStatus.valueOf(response.getHttpStatus()));

}

/**

*构建返回异常

*@parameexception

*@return

*/

privateResultData<String>resolveException(Exceptione){

//初始值500

ReturnCodereturnCode=ReturnCode.RC500;

inthttpStatus=HttpStatus.UNAUTHORIZED.value();

//不支持的认证方式

if(einstanceofUnsupportedGrantTypeException){

returnCode=ReturnCode.UNSUPPORTED_GRANT_TYPE;

//用户名或密码异常

}elseif(einstanceofInvalidGrantException){

returnCode=ReturnCode.USERNAME_OR_PASSWORD_ERROR;

}

ResultData<String>failResponse=ResultData.fail(returnCode.getCode(),returnCode.getMessage());

failResponse.setHttpStatus(httpStatus);

returnfailResponse;

}

}

然后在认证服务器配置类中注入自定义异常翻译类

@Override

publicvoidconfigure(AuthorizationServerEndpointsConfigurerendpoints)throwsException{

//如果需要使用refresh_token模式则需要注入userDetailService

endpoints

.authenticationManager(this.authenticationManager)

.userDetailsService(userDetailService)

//注入tokenGranter

.tokenGranter(tokenGranter);

//注入自定义的tokenservice，如果不使用自定义的tokenService那么就需要将tokenServce里的配置移到这里

//.tokenServices(tokenServices());

//自定义异常转换类

endpoints.exceptionTranslator(newCustomWebResponseExceptionTranslator());

}

客户端异常

重写客户端认证过滤器，不使用默认的 OAuth2AuthenticationEntryPoint处理异常

publicclassCustomClientCredentialsTokenEndpointFilterextendsClientCredentialsTokenEndpointFilter{

privatefinalAuthorizationServerSecurityConfigurerconfigurer;

privateAuthenticationEntryPointauthenticationEntryPoint;

publicCustomClientCredentialsTokenEndpointFilter(AuthorizationServerSecurityConfigurerconfigurer){

this.configurer=configurer;

}

@Override

publicvoidsetAuthenticationEntryPoint(AuthenticationEntryPointauthenticationEntryPoint){

super.setAuthenticationEntryPoint(null);

this.authenticationEntryPoint=authenticationEntryPoint;

}

@Override

protectedAuthenticationManagergetAuthenticationManager(){

returnconfigurer.and().getSharedObject(AuthenticationManager.class);

}

@Override

publicvoidafterPropertiesSet(){

setAuthenticationFailureHandler((request,response,e)->authenticationEntryPoint.commence(request,response,e));

setAuthenticationSuccessHandler((request,response,authentication)->{

});

}

}

在认证服务器注入异常处理逻辑，自定义异常返回结果。(代码位于 AuthorizationServerConfig)

@Bean

publicAuthenticationEntryPointauthenticationEntryPoint(){

return(request,response,e)->{

response.setStatus(HttpStatus.UNAUTHORIZED.value());

ResultData<String>resultData=ResultData.fail(ReturnCode.CLIENT_AUTHENTICATION_FAILED.getCode(),ReturnCode.CLIENT_AUTHENTICATION_FAILED.getMessage());

WebUtils.writeJson(response,resultData);

};

}

修改认证服务器配置，注入自定义过滤器

@Override

publicvoidconfigure(AuthorizationServerSecurityConfigurersecurity)throwsException{

CustomClientCredentialsTokenEndpointFilterendpointFilter=newCustomClientCredentialsTokenEndpointFilter(security);

endpointFilter.afterPropertiesSet();

endpointFilter.setAuthenticationEntryPoint(authenticationEntryPoint());

security.addTokenEndpointAuthenticationFilter(endpointFilter);

security

.authenticationEntryPoint(authenticationEntryPoint())

/*.allowFormAuthenticationForClients()*///如果使用表单认证则需要加上

.tokenKeyAccess("permitAll()")

.checkTokenAccess("isAuthenticated()");

}