如何包装 OAuth2 异常？

我们有一个 REST API 使用Spring OAuth2。用户通过身份验证后，所有 JSON 响应均采用以下格式：

{"code" : 12345, "data" : "..." }

但是身份验证失败的 JSON 响应与上述格式不相符，因为这是由 Spring 处理的。

例如，如果凭据不正确，客户端会得到 HTTP 状态代码 400 和 JSON 响应如下：

{"error": "invalid_grant", "error_description": "Bad credentials" }

如果用户帐户被锁定，客户端会收到 HTTP 状态代码 400 和 JSON 响应，如下所示

{"error":"invalid_grant","error_description":"User account is locked"}

所有这一切都是因为 Spring TokenEndpoint.handleException() 正在处理与 /oauth/token 相关的异常

我想更改 OAuth2 失败的 JSON 响应以遵循第一种格式。

这是我到目前为止所尝试过的但没有成功：

1. 使用具有最高优先顺序的 ControllerAdvice 并按所述使用 @ExceptionHandlerhere https://stackoverflow.com/questions/19498378/setting-precedence-of-multiple-controlleradvice-exceptionhandlers/20473464#20473464
2. 按照描述实现 OAuth2ExceptionRendererhere https://stackoverflow.com/questions/15110734/customize-springsecurity-oauth-2-error-output-unauthorized/15882640#15882640
3. 实现异常映射器
4. 添加了一个新的 ObjectMapper 并扩展了 StdSerializer。尽管我的对象映射器已初始化，但它并未用于序列化异常。也许是因为 Spring 直接调用 MappingJackson2HttpMessageConverter 并且我的应用程序中似乎有该类的多个实例。

对上述任何一种方法或新方法的任何帮助将不胜感激。

我没试过this https://stackoverflow.com/questions/31154557/customise-oath2-token-request-to-accept-extra-data/31183131#31183131方法，因为我无法更改现有客户端的上下文路径。

如果您想处理身份验证过程，您可以设置自己的自定义身份验证管理器

<oauth:authorization-server
    client-details-service-ref="clientDetails" token-services-ref="tokenServices"
    user-approval-handler-ref="userApprovalHandler">
    <oauth:authorization-code />
    <oauth:implicit />
    <oauth:refresh-token />
    <oauth:client-credentials />
    <oauth:password authentication-manager-ref="customAuthenticationManager" />
</oauth:authorization-server>

<authentication-manager id="customAuthenticationManager"
    xmlns="http://www.springframework.org/schema/security">
    <authentication-provider ref="customAuthenticationProvider" />
</authentication-manager>

<bean id="customAuthenticationProvider"
    class="com.any.CustomAuthenticationProvider">
</bean>

创建实现的自定义身份验证提供程序AuthenticationProvider

public class UserAuthenticationProvider implements AuthenticationProvider {

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {

        UsernamePasswordAuthenticationToken auth = (UsernamePasswordAuthenticationToken) authentication;
        String username = auth.getName();
        String password = token.getCredentials().toString();
        User user = userService.loadByUsername(username);
        if(user.isLocked){
            throw new UserLockedException("User is locked");
        }
        if(another.something.bad.happened){
            throw new AnotherSomethingBadHappenedException("Error");
        }

        // setup authorities
        //...

        return new UsernamePasswordAuthenticationToken(user, password, authorities);
    }


}

现在您有了自己的异常，通过使用 ExceptionMapper，您可以将身份验证过程中引发的异常转换为自定义响应消息。

您可以创建的另一个自定义是在授权过程中，通过创建扩展的自定义类ApprovalStoreUserApprovalHandler

public class CustomUserApprovalHandler extends ApprovalStoreUserApprovalHandler {

    // stripped

    @Override
    public AuthorizationRequest checkForPreApproval(AuthorizationRequest authorizationRequest,
            Authentication userAuthentication) {

        ClientDetails client = clientDetailsService
                            .loadClientByClientId(authorizationRequest.getClientId());
        // here, you have the client and the user
        // you can do any checking here and throw any exception
        authorizationRequest.setApproved(approved);
        return authorizationRequest;
    }
}

为该类创建 bean 定义

<bean id="userApprovalHandler"
    class="com.any.CustomUserApprovalHandler">
        <property name="approvalStore" ref="approvalStore" />
        <property name="requestFactory" ref="oAuth2RequestFactory" />
        <property name="clientDetailsService" ref="clientDetails" />
        <property name="useApprovalStore" value="true" />
    </bean>