spring security对于用户身份的判断是通过一系列的过滤器来完成的,如果你采用的是自定义过滤器链的方式来实现自己的需求,那么需要特别注意过滤器链的顺序问题。
但是除了过滤器的顺序,还有一个特别需要注意的,就是providers顺序
一个较为典型的问题是:为什么我的用户是密码错误,但是却抛出用户不存在的异常呢?(而不是抛出身份检查失败异常)
这就是因为配置的org.springframework.security.providers.ProviderManager中的providers顺序不合适导致的了,过滤器的检查,是一个链表的形式,如果当前的过滤器能匹配成功,那么则会停止并进入成功逻辑。如果失败,则进入下一个过滤器链,如果是最后一个过滤器链,那么就抛出检查失败的异常。而对于其中某一个过滤器而言,我们会制定相关的authenticationManager,用户向上提供数据来源等。于是必然的,我们在系统中会配置多个UserDetailsService,用于向spring security提供我们自己的数据源DAO相关操作,过滤器在使用的时候是以按照配置的顺序来执行的。
而这可能使得当前用户的信息被其中的一个Provider所识别,但是如果是密码错误等,那个存有当前用户信息数据的Provider没有能够匹配成功,而导致进入了下一个Provider,而下一个Provider并没有当前用户的数据,所以会抛出当前用户不存在。
这样的话,就应该调整Provider的顺序,将最重要的最希望提示的那个放到最后面去。
比如现在有三个:
<beans:property name="providers">
<beans:list>
<beans:ref local="rememberMeAuthenticationProvider" />
<beans:ref local="memoryAuthenticationProvider" />
<beans:ref local="dbAuthenticationProvider" />
</beans:list>
</beans:property>
数据库中的用户是最重要最普遍的,而内存中的通常是一些隐藏用户,这样的话就可以将最大范围的用户的信息准确展示
最近整理了学习材料,有需要的请下载,我放微信里面了,方便下载,还能交流,扫描我的二维码头像即可。