外部无法捕捉Realm的doGetAuthenticationInfo方法抛出的异常

shiro权限框架,用户登录方法的subject.login(token)会进入自定义的UserNamePasswordRealm类的doGetAuthenticationInfo身份验证方法

通常情况,doGetAuthenticationInfo写法如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
@Override
protected AuthenticationInfo doGetAuthenticationInfo(AuthenticationToken authcToken) throws AuthenticationException {
UsernamePasswordToken token = (UsernamePasswordToken) authcToken;
User loginUser = userService.getUserByName(token.getUsername());
if (ObjectUtils.isEmpty(loginUser)) {
throw new UnknownAccountException();
}
if(!loginUser.getPassWord().equals(MD5Util.md5s(String.valueOf(token.getPassword())))){
throw new IncorrectCredentialsException();
}
//其他各种验证
。。。
}

login登录方法:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
@ResponseBody
@RequestMapping(value = "/login", method = RequestMethod.POST)
public String doUserLogin(User user, HttpServletRequest request, Model model) {
...
Subject subject = SecurityUtils.getSubject();
UsernamePasswordToken token = new UsernamePasswordToken(user.getUserName(), user.getPassWord());
try {
subject.login(token);
} catch (UnknownAccountException uae) {

} catch (IncorrectCredentialsException ice) {

} catch (LockedAccountException lae) {

} catch (ExcessiveAttemptsException eae) {

} catch (AuthenticationException ae) {

}
...
}


可是最近一次项目,发现通用的方法行不通了,doGetAuthenticationInfo方法抛出的各种异常如UnknownAccountException(包括自定义的异常),外部都无法准确捕捉。



外部login捕捉的异常统一被改写为 AuthenticationException异常(IncorrectCredentialsException等异常的父类),且异常的msg内容也被改写。内容如下:

图1

原因在subject.login(token)的源码里,源码有这么一段:

图2

我们进入doSingleRealmAuthentication方法,可以看见方法里面外抛了UnknownAccountException等异常。
所以如果项目中只定义了一个realm,比如用来进行登录的身份验证,外部是可以正常捕捉的。

图3

但是此次项目我定义了两个realm,一个用来进行登录的身份验证,另一个用来登录后,验证各种请求携带的的token。
我们进入doMultiRealmAuthentication方法,内容如下

图4

再进入afterAllAttempts的实现类,如图5。
发现抛出的异常都被统一改为AuthenticationException异常,且msg也被改写,正如图1所示。

图5

结论

外部无法捕捉doGetAuthenticationInfo方法抛出的异常,原因在于源码,而不是自己的代码有问题。
如果没有改写源码的本事,那么外部想要捕捉各种异常,并在前端显示各种提示语,怎么办?

我的临时解决方法是,doGetAuthenticationInfo只用来验证用户名和密码,
外部直接捕捉AuthenticationException异常,其他的各种验证从doGetAuthenticationInfo方法移至login。