Spring Security X.509認証で障害処理が機能しないのはなぜですか？

Question

X509フィルタ（サブクラス：X509AuthenticationFilter）を使用したカスタムフィルタがあります。 X509フィルターの唯一の仕事は、要求から証明書を取り出すことです。資格情報が無効な場合は、対応するAuthenticationProviderがあり、BadCredentialsExceptionがスローされます。私の意図は、AuthenticationProviderがBadCredentialsExceptionを投げたときに、BadCredentialsExceptionが要求をmessage.jspに転送することになるということです。しかし、それはそうしない。デバッグ時に、例外がスローされ、キャッチされ、WebAttributes.AUTHENTICATION_EXCEPTIONの下に格納されていることに気づきましたが、他のSpring SecurityクラスのどれもExceptionを利用していないようで、失敗ハンドラを使用する方法が見つかりません。

<security:http auto-config="false" pattern="/role/**" access-decision-manager-ref="adm" entry-point-ref="http403EntryPoint"> 
     <security:anonymous enabled="false"/> 
     <security:access-denied-handler error-page="/message.jsp"/> 
     <security:custom-filter ref="authFilter" position="PRE_AUTH_FILTER" /> 
</security:http> 

<bean id="http403EntryPoint" class="..." /> 

<bean id="authFilter" class="..."> 
    <property name="authenticationManager" ref="authenticationManager" /> 
    <property name="continueFilterChainOnUnsuccessfulAuthentication" value="false" /> 
</bean> 

私はauthFilterためPRE_AUTHとX509の両方のフィルタオプションを試してみました。また、continueFilterChainOnUnsuccessfulAuthenticationオプションがある場合とない場合のauthFilterを試しました。何も違いはなく、エラーは春のセキュリティでは処理されません。

私は何をしたいことです：春のセキュリティフレームワークが提供するエラー処理とX509認証を行うための

方法。私はSpring Securityがフィルタを事前認証またはX509のどちらかの位置に置く必要があるかもしれないとは思うが、それが「事前認証」であるかどうかは気にしない。私はどのようにこの作業または見て何を具体的に取得するためのヒントをしたいと思います。次のように（BadCredentialsExceptionが延びる）キャッチされないAuthenticationExceptionによるページにリダイレクトスプリングセキュリティにおける通常

Answer 1

は、動作：

1. FilterSecurityInterceptorはAuthenticationExceptionをスロー。
2. AuthenticationExceptionは、ExceptionTranslationFilterによって捕捉されます。
3. ExceptionTranslationFilterは、認証を受けるentry-point-refに要求を送信します。

このサイクルのイベントは、end of the filter chainの近くで発生します。ただし、お客様のカスタムX509AuthenticationFilterとAuthenticationProviderは、チェーンの早い段階で証明書を検証しています。リダイレクトに失敗した証明書の検証を取得するには、次の操作を行います

1. はあなたAuthenticationManager/AuthenticationProviderを持っているあなたが現在行っているとして、BadCredentialsExceptionを投げます。
2. X509AuthenticationFilterには、要求に関連付けられたAuthentication（継承された動作はAbstractPreAuthenticatedProcessingFilterである必要があります）を無効にすることができます。
3. 別のFilterSecurityInterceptorをチェーン内に後でインストールして、Authenticationのないリクエストに対してAuthenticationExceptionを送信すると、要求がエントリポイントに送信されます。

次のようにこれを行うことができます。

<security:http auto-config="false" pattern="/role/**" entry-point-ref="failureMessageEntryPoint"> 
    <security:anonymous enabled="false"/> 
    <security:custom-filter ref="authFilter" position="PRE_AUTH_FILTER"/> <!-- authenticationManager will throw a BadCredentialsException, resulting in a null Authentication for the request --> 
    <security:intercept-url pattern="/role/**" access="isAuthenticated"/> <!-- will reject requests with a null Authentication by throwing an AuthenticationCredentialsNotFoundException --> 
                      <!-- AuthenticationExceptions will be caught by auto-configured ExceptionTranslationFilter, and sent to entry point --> 
</security:http> 

<bean id="failureMessageEntryPoint" class="org.springframework.security.web.authentication.LoginUrlAuthenticationEntryPoint"> <!-- not actually for login, but will work as an entry point that redirects to a page --> 
    <constructor-arg value="/message.jsp"/> 
</bean> 

<bean id="authFilter" class="..."> 
    <property name="authenticationManager" ref="authenticationManager"/> 
    <!-- let continueFilterChainOnUnsuccessfulAuthentication default to true to allow the intercept-url to reject the request --> 
</bean>