【spring boot】spring securityのエラーメッセージを複数出し分けたい

現在spring bootでwebアプリの開発を行っています。spring securityによる認証チェックを実装しています。
ログインIDとパスワードを指定するため次のサイトを参考にしてログイン画面を独自実装しています。
Spring Bootで、ユーザ名とパスワードを指定した認証処理の実装方法

質問があるのですが、
結論から言うと
session['SPRING_SECURITY_LAST_EXCEPTION']を使って２ヶ所（ID・PW）にメッセージを表示するにはどうしたらいいでしょうか？

ログインボタン押下後、MyUserDetailsAuthenticationProviderクラスのretrieveUserメソッドが呼び出され、次のTopControllerクラス(仮)にUserオブジェクトが渡されるので、retrieveUserメソッド内でバリデーション処理もしています。

Java
1Set<ConstraintViolation<LoginForm>> result = validator.validate(loginForm);

このようにBean Validationを使って@NotNullや@Size(min = 3, max = 20)のバリデーションチェックをしています。

エラーメッセージを検知する仕組みとしては,retrieveUserメソッド内のためExceptionをスローしてthymeleaf内で以下のように判定しメッセージを表示します。

html
1<div th:if="${session['SPRING_SECURITY_LAST_EXCEPTION']} != null">ログインIDは必須です</div>

しかしIDとPWの2ヶ所にメッセージを表示したいので、１つしかセッションにメッセージを格納できないsession['SPRING_SECURITY_LAST_EXCEPTION']の仕組みでは、１ヶ所にしかメッセージを表示できません。
以下のようにエラーメッセージをカスタマイズする方法は知っていますが、今回の要件は２ヶ所のエラーを検知しなけらばいけないので違います。
ログインエラーのメッセージをカスタマイズする

２ヶ所に異なるメッセージを表示するにはどうすればいいでしょうか？
もし分かる方がいれば教えていただきたいです。

退会済みユーザー

2018/02/03 15:22

・ｗ・）　ID・パスワードのパターンを類されないためにもログインフォームじゃ入力チェックしちゃあかんよ

k499778

2018/02/03 15:41

そうかもしれませんが、その設計で作るようにいわれているので実装することになります。

行動規範の内容に同意します

回答1件

ベストアンサー

そんなセキュリティもへったくれも考えてない仕様に対応するには

バリデーション用 POST URL を挟む。
ハンドラで失敗後にバリデーションを行う。

// ログイン
http.formLogin()
  .loginPage("/login")
  .successHandler(/* ログイン成功時に何かしらの処理をする */ null)
  .failureHandler(/* ログイン失敗時に何かしらの処理をする */ null)
  .permitAll();

そして

ValidatorFactory validatorFactory =
                      Validation.buildDefaultValidatorFactory();
Validator validator = validatorFactory.getValidator();

で取得すれば自力で実行可能

投稿2018/02/03 16:33

退会済みユーザー

総合スコア0

k499778

2018/02/04 13:34

回答ありがとうございます。今自分の方でsuccessHandlerについて調べています。 successHandlerメソッド内でバリデーションチェックを行い、その後retrieveUserメソッドを呼ぶことができるのでしょうか？

退会済みユーザー

2018/02/04 13:42

successHandler　ではなく failureHandler ですな successHandler　は認証成功時なのでエラーが出す必要はないはず

k499778

2018/02/04 13:48

返答ありがとうございます。 failureHandlerなのですね。こちらとしてはretrieveUser()が呼び出される前にfailureHandler()を呼び出したいのですが、そのような動きになりますでしょうか？

退会済みユーザー

2018/02/04 14:01

認証成功時にはバリデーションが絶対に通るものとして認証失敗時に処理されるので処理後にバリデーションを行って 1. セッション情報等にバリデーションエラーを設定しリダイレクトを行う 2. ログイン画面用Controllerでその情報を取得＋削除を行う。 3. モデル（リクエスト情報）に上記の値を設定する。 4. templateで表示を行う。

k499778

2018/02/04 15:26 編集

回答ありがとうございます。なるほど！sessionに詰め込めばretrieveUser()でのバリデーションエラーもコントローラ側で取得できますね！申し訳ありませんが２点質問させてください。１. failureHandlerとはfailureUrlと同じでしょうか？以下のリンク先のSecurityConfig内で記述されているような http://shinsuke789.hatenablog.jp/entry/2015/08/11/123000 ２. セッションに詰め込むのではなく、BindingResultクラスのhasErrors()でバリデーションの結果を再度取得し、それをビューに渡すやり方でもいいでしょうか？そうするとSessionのDTOや削除処理を追加で書く必要がなく、failureHandlerで指定したメソッドの引数にBindingResultとLoginForm,あとはhasErrors()の処理を書くだけで済むので。retrieveUser()内でもバリデーションのチェックをし、ExeptionをスローすることでretrieveUser()内の後続処理は行わないようにします。 @RequestMapping(value = "/loginError") public String loginError(@Valid LoginForm form, BindingResult result, Model model) { if (result.hasErrors()) { return "login/login"; } return "redirect:/menu"; } 参考：http://shinsuke789.hatenablog.jp/entry/2015/08/11/123000

行動規範の内容に同意します