Spring Security自定义认证入口点：实现JSON格式未授权响应

spring security默认的认证失败响应是html页面。本教程将指导如何通过实现自定义的authenticationentrypoint来拦截401未授权错误，并将其转换为统一的json格式响应，从而提供更友好的api错误处理机制。内容涵盖配置securityconfiguration、编写customauthenticationentrypoint以及相应的单元测试，确保api客户端能正确解析错误信息。

1. Spring Security默认的认证失败处理与API需求

在构建RESTful API时，客户端通常期望接收结构化的错误响应，例如JSON格式，而不是Web服务器生成的HTML错误页面。然而，Spring Security在处理用户未认证（HTTP 401 Unauthorized）的请求时，其默认行为是返回一个包含HTML内容的错误页面。这对于Web应用可能尚可接受，但对于API客户端来说，解析HTML以获取错误详情既不高效也不方便。

例如，当未认证用户访问受保护资源时，Spring Security可能返回类似以下内容的HTML响应：

<!doctype html>
<html lang="en">
<head>
    <title>HTTP Status 401 – Unauthorized</title>
    <!-- ... 省略样式 ... -->
</head>
<body>
    <h1>HTTP Status 401 – Unauthorized</h1>
</body>
</html>

而API客户端通常期望得到的是类似以下JSON格式的错误响应：

{
    "errors": [
        {
            "status": "401",
            "title": "UNAUTHORIZED",
            "detail": "认证失败，请提供有效的凭据。"
        }
    ]
}

为了满足这一需求，我们需要定制Spring Security的认证入口点（AuthenticationEntryPoint）。

2. 理解AuthenticationEntryPoint

AuthenticationEntryPoint是Spring Security提供的一个核心接口，用于处理未经认证的请求。当用户尝试访问受保护资源但未提供有效凭据时，或者提供的凭据无法通过认证时，Spring Security会调用配置的AuthenticationEntryPoint的commence方法。

commence方法签名如下：

void commence(HttpServletRequest request, HttpServletResponse response,
              AuthenticationException authException) throws IOException, ServletException;

在该方法中，我们可以对HttpServletResponse进行操作，例如设置HTTP状态码、添加响应头，以及最重要的——写入自定义的响应体。

阿里云AI平台

阿里云AI平台

下载

3. 实现自定义的JSON格式认证入口点

要实现JSON格式的未授权响应，关键在于在CustomAuthenticationEntryPoint中直接向HttpServletResponse的输出流写入JSON数据，而不是使用response.sendError()。response.sendError()方法通常会委托给Servlet容器来生成错误页面，这会导致返回HTML。

以下是一个实现自定义AuthenticationEntryPoint的示例：

import com.fasterxml.jackson.databind.ObjectMapper; // 推荐使用Jackson进行JSON序列化
import jakarta.servlet.ServletException;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.http.HttpStatus;
import org.springframework.http.MediaType;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.AuthenticationEntryPoint;
import org.springframework.stereotype.Component;

import java.io.IOException;
import java.util.Collections;
import java.util.Map;

@Component
public class CustomAuthenticationEntryPoint implements AuthenticationEntryPoint {

    private final ObjectMapper objectMapper = new ObjectMapper(); // 用于JSON序列化

    @Override
    public void commence(HttpServletRequest request, HttpServletResponse response,
                         AuthenticationException authException) throws IOException, ServletException {

        // 设置响应内容类型为JSON
        response.setContentType(MediaType.APPLICATION_JSON_VALUE);
        // 设置HTTP状态码为401 Unauthorized
        response.setStatus(HttpStatus.UNAUTHORIZED.value());

        // 对于Basic认证，通常需要添加WWW-Authenticate头
        response.addHeader("WWW-Authenticate", "Basic realm=\"Realm\"");

        // 构建自定义的错误响应体
        // 实际项目中可以定义一个专门的ErrorResponse DTO
        Map<String, Object> errorDetails = Map.of(
                "status", HttpStatus.UNAUTHORIZED.value(),
                "title", HttpStatus.UNAUTHORIZED.getReasonPhrase(),
                "detail", authException.getMessage() != null ? authException.getMessage() : "认证失败，请提供有效凭据。"
        );
        Map<String, Object> errorResponse = Collections.singletonMap("errors", Collections.singletonList(errorDetails));

        // 使用ObjectMapper将Map转换为JSON字符串并写入响应
        objectMapper.writeValue(response.getWriter(), errorResponse);
    }
}

代码解析：

1. @Component：将CustomAuthenticationEntryPoint声明为一个Spring组件，以便可以被Spring容器管理。
2. response.setContentType(MediaType.APPLICATION_JSON_VALUE)：这是确保客户端将响应识别为JSON的关键步骤。
3. response.setStatus(HttpStatus.UNAUTHORIZED.value())：显式设置HTTP状态码为401。
4. response.addHeader("WWW-Authenticate", "Basic realm=\"Realm\"")：如果使用Basic认证，此头是必要的，它告知客户端需要Basic认证。
5. objectMapper.writeValue(response.getWriter(), errorResponse)：这是将JSON数据写入响应体的核心。我们推荐使用ObjectMapper（如Jackson库提供）来序列化Java对象到JSON，因为它比手动拼接字符串更健壮、更灵活，尤其是在处理复杂对象时。errorResponse是一个简单的Map结构，模拟了预期的JSON格式。

4. 配置Spring Security以使用自定义入口点

接下来，我们需要在Spring Security的配置类中注册这个自定义的AuthenticationEntryPoint。这通常在继承WebSecurityConfigurerAdapter（或使用SecurityFilterChain）的配置类中完成。

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.http.HttpMethod;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfiguration {

    private final CustomAuthenticationEntryPoint customAuthenticationEntryPoint;

    // 通过构造器注入自定义的AuthenticationEntryPoint
    public SecurityConfiguration(CustomAuthenticationEntryPoint customAuthenticationEntryPoint) {
        this.customAuthenticationEntryPoint = customAuthenticationEntryPoint;
    }

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                .csrf(csrf -> csrf.disable()) // 禁用CSRF，通常RESTful API不需要
                .authorizeHttpRequests(authorize -> authorize
                        .requestMatchers(HttpMethod.GET, "/**").permitAll() // 允许GET请求无需认证
                        .anyRequest().authenticated() // 其他所有请求需要认证
                )
                .httpBasic(httpBasic -> {}) // 启用HTTP Basic认证
                .exceptionHandling(exceptionHandling -> exceptionHandling
                        // 注册自定义的AuthenticationEntryPoint
                        .authenticationEntryPoint(customAuthenticationEntryPoint)
                );
        return httpSecurity.build();
    }
}

注意： Spring Security 5.7.0-M2及更高版本推荐使用SecurityFilterChain和Lambda DSL进行配置，而不是继承WebSecurityConfigurerAdapter。上述代码已更新为现代Spring Security的配置方式。

5. 编写单元测试验证JSON响应

为了确保自定义的认证入口点按预期工作，编写一个单元测试是必不可少的。我们可以使用Spring的MockMvc来模拟HTTP请求并验证响应。

package com.example.security.custom.entrypoint;

import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.autoconfigure.web.servlet.WebMvcTest;
import org.springframework.context.annotation.Import;
import org.springframework.test.web.servlet.MockMvc;

import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.post;
import static org.springframework.test.web.servlet.result.MockMvcResultHandlers.print;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.*;

// 指定需要测试的Web层组件，并导入SecurityConfiguration
@WebMvcTest // 仅加载Web层相关的bean
@Import({SecurityConfiguration.class, CustomAuthenticationEntryPoint.class}) // 导入安全配置和自定义入口点
class SecurityCustomEntrypointApplicationTests {

  @Autowired
  private MockMvc mvc;

  @Test
  void testUnauthorizedResponseIsJson() throws Exception {
    mvc
        .perform(post("/somewhere")) // 发送一个POST请求到任意受保护的路径，但不提供认证凭据
        .andDo(print()) // 打印请求