Spring Security Oauth - OAuth2Exceptions 的自定义格式-6ren

Spring Security Oauth - OAuth2Exceptions 的自定义格式

转载作者：行者123 更新时间：2023-12-04 23:14:55

spring security oauth 的错误格式符合 OAuth 规范，看起来像这样。

{
  "error":"insufficient_scope",
  "error_description":"Insufficient scope for this resource",
  "scope":"do.something"
}

特别是在资源服务器上，我发现为身份验证问题获取不同的错误格式有点奇怪。所以我想改变这个异常的呈现方式。

documentation说

Error handling in an Authorization Server uses standard Spring MVC features, namely @ExceptionHandler methods

所以我尝试了这样的事情来自定义错误的格式:

@ControllerAdvice
@Order(Ordered.HIGHEST_PRECEDENCE)
public class MyErrorHandler {

    @ExceptionHandler(value = {InsufficientScopeException.class})
    ResponseEntity<MyErrorRepresentation> handle(RuntimeException ex, HttpServletRequest request) {
        return errorResponse(HttpStatus.FORBIDDEN,
                MyErrorRepresentation.builder()
                        .errorId("insufficient.scope")
                        .build(),
                request);
    }
}

但这不起作用。

看代码，所有的错误渲染似乎都是在 DefaultWebResponseExceptionTranslator#handleOAuth2Exception中完成的.但是实现自定义 WebResponseExceptionTranslator不允许更改格式。

任何提示？

最佳答案

首先，了解一些 Spring Security OAuth2 的知识。

OAuth2 有两个主要部分

AuthorizationServer : /oauth/token, get token

ResourceServer : url resource priviledge management

Spring Security 将过滤器添加到服务器容器的过滤器链中，因此 Spring Security 的异常不会到达@ControllerAdvice

然后，自定义 OAuth2Exceptions 应该考虑 AuthorizationServer 和 ResourceServer。
这是配置

@Configuration
@EnableAuthorizationServer
public class OAuthSecurityConfig extends AuthorizationServerConfigurerAdapter {
    @Override
    public void configure(AuthorizationServerEndpointsConfigurer endpoints) throws Exception {
        //for custom
        endpoints.exceptionTranslator(new MyWebResponseExceptionTranslator());
    }
}

@Configuration
@EnableResourceServer
public  class ResourceServerConfiguration extends ResourceServerConfigurerAdapter {
        @Override
        public void configure(ResourceServerSecurityConfigurer resources) {
            // format message
            resources.authenticationEntryPoint(new MyAuthenticationEntryPoint());
            resources.accessDeniedHandler(new MyAccessDeniedHandler());
        }
}

MyWebResponseExceptionTranslator 将异常转换为 ourOAuthException，我们通过 jackson 自定义 ourOAuthException 序列化程序，默认情况下 OAuth2 使用的方式相同。

@JsonSerialize(using = OAuth2ExceptionJackson1Serializer.class)
public class OAuth2Exception extends RuntimeException {

其他自定义句柄类的东西

import org.springframework.http.HttpStatus;
import org.springframework.http.ResponseEntity;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.oauth2.common.exceptions.OAuth2Exception;
import org.springframework.security.oauth2.provider.error.WebResponseExceptionTranslator;

/**
 * @author qianggetaba
 * @date 2019/6/21
 */
public class MyWebResponseExceptionTranslator implements WebResponseExceptionTranslator {
    @Override
    public ResponseEntity<OAuth2Exception> translate(Exception exception) throws Exception {
        if (exception instanceof OAuth2Exception) {
            OAuth2Exception oAuth2Exception = (OAuth2Exception) exception;
            return ResponseEntity
                    .status(oAuth2Exception.getHttpErrorCode())
                    .body(new CustomOauthException(oAuth2Exception.getMessage()));
        }else if(exception instanceof AuthenticationException){
            AuthenticationException authenticationException = (AuthenticationException) exception;
            return ResponseEntity
                    .status(HttpStatus.UNAUTHORIZED)
                    .body(new CustomOauthException(authenticationException.getMessage()));
        }
        return ResponseEntity
                .status(HttpStatus.OK)
                .body(new CustomOauthException(exception.getMessage()));
    }
}

import com.fasterxml.jackson.databind.annotation.JsonSerialize;
import org.springframework.security.oauth2.common.exceptions.OAuth2Exception;

/**
 * @author qianggetaba
 * @date 2019/6/21
 */
@JsonSerialize(using = CustomOauthExceptionSerializer.class)
public class CustomOauthException extends OAuth2Exception {
    public CustomOauthException(String msg) {
        super(msg);
    }
}

import com.fasterxml.jackson.core.JsonGenerator;
import com.fasterxml.jackson.databind.SerializerProvider;
import com.fasterxml.jackson.databind.ser.std.StdSerializer;

import java.io.IOException;
import java.util.Arrays;
import java.util.Map;

/**
 * @author qianggetaba
 * @date 2019/6/21
 */
public class CustomOauthExceptionSerializer extends StdSerializer<CustomOauthException> {

    public CustomOauthExceptionSerializer() {
        super(CustomOauthException.class);
    }

    @Override
    public void serialize(CustomOauthException value, JsonGenerator jsonGenerator, SerializerProvider serializerProvider) throws IOException {
        jsonGenerator.writeStartObject();
        jsonGenerator.writeNumberField("code4444", value.getHttpErrorCode());
        jsonGenerator.writeBooleanField("status", false);
        jsonGenerator.writeObjectField("data", null);
        jsonGenerator.writeObjectField("errors", Arrays.asList(value.getOAuth2ErrorCode(),value.getMessage()));
        if (value.getAdditionalInformation()!=null) {
            for (Map.Entry<String, String> entry : value.getAdditionalInformation().entrySet()) {
                String key = entry.getKey();
                String add = entry.getValue();
                jsonGenerator.writeStringField(key, add);
            }
        }
        jsonGenerator.writeEndObject();
    }
}

用于自定义 ResourceServer 异常

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * @author qianggetaba
 * @date 2019/6/21
 */
public class MyAuthenticationEntryPoint implements AuthenticationEntryPoint {
    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException)
            throws ServletException {

        Map map = new HashMap();
        map.put("errorentry", "401");
        map.put("message", authException.getMessage());
        map.put("path", request.getServletPath());
        map.put("timestamp", String.valueOf(new Date().getTime()));
        response.setContentType("application/json");
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        try {
            ObjectMapper mapper = new ObjectMapper();
            mapper.writeValue(response.getOutputStream(), map);
        } catch (Exception e) {
            throw new ServletException();
        }
    }

}

import com.fasterxml.jackson.databind.ObjectMapper;
import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import java.util.Date;
import java.util.HashMap;
import java.util.Map;

/**
 * @author qianggetaba
 * @date 2019/6/21
 */
public class MyAccessDeniedHandler implements AccessDeniedHandler{
    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {
        response.setContentType("application/json;charset=UTF-8");
        Map map = new HashMap();
        map.put("errorauth", "400");
        map.put("message", accessDeniedException.getMessage());
        map.put("path", request.getServletPath());
        map.put("timestamp", String.valueOf(new Date().getTime()));
        response.setContentType("application/json");
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        try {
            ObjectMapper mapper = new ObjectMapper();
            mapper.writeValue(response.getOutputStream(), map);
        } catch (Exception e) {
            throw new ServletException();
        }
    }
}

关于Spring Security Oauth - OAuth2Exceptions 的自定义格式，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/45006285/

文章推荐： f# - 为什么这会混淆 F# 编译器的类型推断？

文章推荐： ffmpeg - 合并后如何获得高质量的视频

文章推荐： video - 如何使用 ffmpeg 在视频上叠加多个动画图像

文章推荐： Python:为什么这里的进程之间共享多进程锁？

python - 在Python中， 'except Exception as e'和 'except Exception, e'有什么区别
这个问题在这里已经有了答案: Python try...except comma vs 'as' in except (5 个回答) 关闭7年前。在python中，有两种方法可以捕获异常 excep
java - Runtime Exception extends Exception 和 Custom Exception extends from Exception 为什么后一个是编译时异常而另一个不是？
在 Java 中，我有一个从 Exception 扩展的异常类，但是每当我抛出它时，编译器都会说它需要被捕获/必须声明方法 throws异常。当我使用从 Exception 扩展的 RuntimeE
exception - haskell "exceptions"
我有一组用户、组以及用户和组之间的映射。我有各种操作这些集合的函数，但是不能为不存在的用户添加用户组映射，也不能删除仍然有用户作为成员的组等。所以基本上我希望这些函数抛出必须由调用者明确处理的“异常
exception - 最大请求长度超出异常(exception)
我正在尝试使用上载控件上载20兆的文件，并且在Visual Studio的内置Web服务器上可以正常工作，但是一旦将其发布到生产服务器（我无权访问），我总是收到以下错误消息： Server Error
java - 当抛出 'Exception B'时如何断言 "Exception A: Exception B"？
我想断言运行某些代码时会引发特定异常(SSLHandshakeException)。 assertThatThrownBy(() -> { // some code }).is
c++ - 编译错误 - 没有匹配函数调用 'Exception::Exception(Exception)'
这个问题我暂时解决不了。我很乐意提供一些建议。当我尝试抛出异常时(我自己创建了一个 Java 风格的异常) throw Exception (); 编译器提出抗议: DataTypes/Date.c
python - 为什么 "except:"能够捕获此错误，但不能捕获 "except Exception, e:"？
我有以下文件: from fabric.api import env, execute, run env.hosts = ['1.2.3.4'] def taskA(): run('ls')
python - 在 Python 中使用 "except Exception"与 "except ... raise"
我正在阅读一些包含类似于以下功能的源代码: def dummy_function(): try: g = 1/0 except Exception as e:
exception - 值多态和 "generating an exception"
根据标准 ML 的定义(修订版): The idea is that dynamic evaluation of a non-expansive expression will neither gen
exception - 非详尽模式的更好异常(exception)，以防万一
当 GHCi 在运行时发现调用产生的值与函数的模式匹配不匹配时，有没有办法让 GHCi 产生更好的异常消息？它目前给出了产生非详尽模式匹配的函数的行号，虽然有时会有所帮助，但确实需要一轮调试，有时我
exception - 我有时沉没异常(exception)可以吗？
我有一个最佳实践问题。我意识到这是主观的，但想问问比我更聪明的人，这是否是一种常见的编程实践。如果您有一种不希望干扰应用程序重要功能的非关键方法，那么使用这样的错误接收器是否常见？ Try
exception - 术语-异常(exception)
在编程中，异常是否总是错误(被零除，访问冲突等等)？如果不是，您能否提供不是错误的异常示例？谢谢。最佳答案异常通常用于管理错误，它们使错误处理更加容易，但它们并不总是错误。任何需要单独代码路
exception - OCaml 内部结构 : Exceptions
我很想知道 OCaml 运行时如何处理异常以使它们如此轻量。他们是使用 setjmp/longjmp 还是在每个函数中返回一个特殊值并传播它？在我看来，longjmp会给系统带来一点压力，但只有在引
c# - 当我有 System.Exception 和 MyNamespace.Exception 时，为什么捕获 "Exception"没有歧义？
在我的 C# 代码中，我可以访问 MyNamespace.Exception 以及 System.Exception。当我想捕获其中一个异常时，理想情况下我会完全限定要捕获的异常或使用别名来明确说明。
c++ - std::exception::_Raise 和 std::exception::exception 上的 VC++ 链接器错误
我正在使用 Visual C++ 2005 Express Edition 并遇到以下链接器错误: 19>mylib1.lib(mylibsource1.obj) : error LNK2019: u
java - IntelliJ IDEA : How can I create an exception breakpoint that stops on all exceptions *except for* ClassNotFoundException?
这个问题在这里已经有了答案: Is there "Break on Exception" in IntelliJ? (6 个回答) 关闭7年前。我想在调试器中运行我的测试套件并中断任何意外异常，但是
java - LOGGER.error(exception.getMessage()) 和 LOGGER.error(exception.getMessage(), exception) 有什么区别
Like in this picture 我知道它们都可以正常工作，但我只是想知道它们之间有何不同？ PS:我是初学者。最佳答案 A LogEvent可以同时包含消息和异常。如果您使用第一种形式:
exception - 跳过异常(exception) Doctrine 迁移
我知道避免 Doctrine 上的异常似乎是一种奇怪的行为，但我需要这样做，因为我在一个旧项目中工作，过去有人执行了一些迁移，然后他决定删除它，所以现在复制起来很复杂本地生产环境没有崩溃，这就是为什么
exception - 蛋糕PHP 2 : new exceptions
我想创建一个名为 SecurityException 的新异常。我应该把代码放在哪里？ class SecurityException extends CakeException {}; 谢谢! 最
exception-handling - 有标准异常(exception)吗？
我一直在使用throw new Exception("...")在我的代码中，因为我找不到其他可以使用的东西。我正在寻找像 C++'s 这样的东西 out_of_range 和 logic_error

行者123

个人简介

我是一名优秀的程序员,十分优秀！

作者热门文章

滴滴打车优惠券免费领取

全站热门文章

首页

博学

6Ren·AI

商城

Spring Security Oauth - OAuth2Exceptions 的自定义格式