问题：

在自定义身份验证筛选器上处理spring boot错误

左丘繁

2023-03-14

我在后端的一个spring引导应用程序中工作，我想使用firebase来进行身份验证过程。我在我的spring启动项目中正确地设置了firebase，并在以下开源存储库中添加了安全层：https://github.com/savicprvoslav/spring-boot-starter

因为Firebase令牌的生存期为1小时，所以当Firebase SDK抛出FireBaseAuthException时，我需要处理一个错误。问题是我无法在我的FirebaseFilter中处理异常。后端始终返回带有时间戳、错误、消息和状态500的默认错误页面。我想将它更改为只返回HTTP状态代码401。

当URL路径不存在时，我还想更改默认错误页面，使其只返回404，就像一个好的REST API应该返回的那样。

我尝试使用@exceptionhandler和@controlleradvice（在本文https://www.baeldung.com/exceptionhanding-for-rest-with-之后），但没有奏效。我是一个非常新的spring框架开发人员，所以我想我错过了一些东西...

我的.Gradle文件：

implementation('org.springframework.boot:spring-boot-starter-data-jpa')
implementation('org.springframework.boot:spring-boot-starter-web')
implementation('org.springframework.boot:spring-boot-starter-security')
implementation('org.flywaydb:flyway-core:5.2.1')
implementation('com.fasterxml.jackson.module:jackson-module-kotlin')
implementation("org.jetbrains.kotlin:kotlin-stdlib-jdk8")
implementation("org.jetbrains.kotlin:kotlin-reflect")
implementation('com.google.firebase:firebase-admin:6.5.0')
implementation('io.springfox:springfox-swagger2:2.9.2')
implementation('io.springfox:springfox-swagger-ui:2.9.2')
runtimeOnly('org.postgresql:postgresql')
testImplementation('org.springframework.boot:spring-boot-starter-test')

我的WebSecurityConfigurerAdapter：

@Configuration
inner class ApplicationSecurity : WebSecurityConfigurerAdapter(false) {
    @Autowired(required = false)
    lateinit var firebaseService: FirebaseServiceContract

    override fun configure(web: WebSecurity) {
        web.ignoring().antMatchers(
            "/api/users",
            "/v2/api-docs",
            "/configuration/ui",
            "/swagger-resources",
            "/configuration/security", "/swagger-ui.html",
            "/webjars/**", "/swagger-resources/configuration/ui",
            "/swagge‌r-ui.html", "/docs/**",
            "/swagger-resources/configuration/security"
        )
    }

    override fun configure(http: HttpSecurity) {
        http.addFilterBefore(tokenAuthorizationFilter(), BasicAuthenticationFilter::class.java)
            .authorizeRequests()
            .antMatchers("/api/**").hasAnyRole(Roles.USER)
            .and().csrf().disable().anonymous().authorities(Roles.ROLE_ANONYMOUS)
    }

    private fun tokenAuthorizationFilter(): FirebaseFilter? {
        return FirebaseFilter(firebaseService)
    }
}

我的FirebaseFilter：

class FirebaseFilter(private val firebaseService: FirebaseServiceContract) : OncePerRequestFilter() {
override fun doFilterInternal(request: HttpServletRequest, response: HttpServletResponse, chain: FilterChain) {
    val xAuth = request.getHeader(HEADER_NAME)?.removePrefix("Bearer ")
    if (xAuth.isNullOrBlank()) {
        chain.doFilter(request, response)
        return
    } else {
        try {
            // Fire FirebaseAuth.getInstance().verifyIdToken
            val holder = firebaseService.parseToken(xAuth)

            val userName = holder.getUid()

            val auth = FirebaseAuthenticationToken(userName, holder)
            SecurityContextHolder.getContext().authentication = auth

            chain.doFilter(request, response)
        } catch (e: FirebaseTokenInvalidException) {
            throw SecurityException(e)
        }
    }
}

我的Firebase解析器：

class FirebaseParser {

fun parseToken(idToken: String): FirebaseTokenHolder {
    if (idToken.isBlank()) {
        throw IllegalArgumentException("Blank Token")
    }

    try {
        val authTask = FirebaseAuth.getInstance().verifyIdToken(idToken)
        FirebaseAuth.getInstance().getUser(authTask.uid)

        return FirebaseTokenHolder(authTask)
    } catch (e: FirebaseAuthException) {
        throw FirebaseTokenInvalidException(e.message)
    }
  }
}

共有1个答案

马承

2023-03-14

基本上，答案就在这里:https://stackoverflow.com/A/34633687/496038

如上述答案所示实现ExceptionHandlerFilter类（类似于），并在WebSecurityConfigurerAdapter的扩展中添加如下内容：

java prettyprint-override">      @Override
      protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable().cors().and().authorizeRequests().anyRequest().authenticated().and()
            .addFilterBefore(
                new ExceptionHandlerFilter(), CorsFilter.class);
      }

这个应该能起作用。

类似资料：

JWT自定义筛选器中的身份验证管理器

我正在编写一个程序，它使用了带有Spring Security的JWT身份验证。我已经实现了自定义授权和身份验证过滤器。另外，我需要持久化我的令牌，它是由这些过滤器形成的。为此，我创建了令牌DAO服务，它自动连接到过滤器，并用注释标记我的过滤器以自动连接该服务。但我无法正确自动执行身份验证管理器。我尝试在安全配置类中公开身份验证管理器bean，但没有结果。这个错误是我在尝试构建项目时遇到的。
Spring靴。HMAC身份验证。如何添加自定义AuthenticationProvider和身份验证筛选器？
Spring安全。自定义身份验证管理器

我有Springmvc应用程序。我添加了带有CustomAuthentiationManager的Spring Security。这是appC中包含的application-security.xmlontex.xml.login.jsp我使用带有2个输入的标准登录页面：name='j_username'
如何从JWT身份验证筛选器中抛出自定义异常

我在Project中使用了Spring Boot和JWT以及Spring security。Spring Boot:2.3.5.发布JJWT Verison:0.11.2 我想要以下异常响应，这是我的自定义响应类：
在身份验证筛选器中添加自定义声明。在筛选器中获取用户id。Spring靴

我想添加用户的ID作为自定义声明到我的令牌。但我无法在过滤器中获取用户id，因为依赖注入在过滤器中不起作用。我尝试使用UserService的构造函数，但在这个服务中，我有一个存储库，它是im@Autowiring，所以在调试模式下，我看到userRepository字段为空。我的问题是我将如何添加这个自定义声明？也许这是添加这个的另一种方式。我正在学习本教程（没有“旁白”章节）https:
Keycloak-6.0.1自定义身份验证器SPI

我正在尝试实现一个自定义密钥克拉克身份验证器SPI，用于针对外部数据源/REST服务进行身份验证。计划是将它们迁移到Keycloak。成功后，在keycloak数据源上创建用户。创建自定义映射器以在令牌上添加额外的用户属性。我正在遵循官方指南https://www.keycloak.org/docs/latest/server_development/index.html#_auth_spi

在自定义身份验证筛选器上处理spring boot错误

共有1个答案

相关问答

相关文章

相关阅读

相关工具

相关文档