【spring boot】spring securityのエラーメッセージを複数出し分けたい

解決済

回答 1

投稿 編集

  • 評価
  • クリップ 0
  • VIEW 3,076

k499778

score 521

現在spring bootでwebアプリの開発を行っています。spring securityによる認証チェックを実装しています。
ログインIDとパスワードを指定するため次のサイトを参考にしてログイン画面を独自実装しています。
Spring Bootで、ユーザ名とパスワードを指定した認証処理の実装方法

質問があるのですが、
結論から言うと
session['SPRING_SECURITY_LAST_EXCEPTION']を使って2ヶ所(ID・PW)にメッセージを表示するにはどうしたらいいでしょうか?

ログインボタン押下後、MyUserDetailsAuthenticationProviderクラスのretrieveUserメソッドが呼び出され、次のTopControllerクラス(仮)にUserオブジェクトが渡されるので、retrieveUserメソッド内でバリデーション処理もしています。

Set<ConstraintViolation<LoginForm>> result = validator.validate(loginForm); 


このようにBean Validationを使って@NotNullや@Size(min = 3, max = 20)のバリデーションチェックをしています。

エラーメッセージを検知する仕組みとしては,retrieveUserメソッド内のためExceptionをスローしてthymeleaf内で以下のように判定しメッセージを表示します。

<div th:if="${session['SPRING_SECURITY_LAST_EXCEPTION']} != null">ログインIDは必須です</div> 


しかしIDとPWの2ヶ所にメッセージを表示したいので、1つしかセッションにメッセージを格納できないsession['SPRING_SECURITY_LAST_EXCEPTION']の仕組みでは、1ヶ所にしかメッセージを表示できません。
以下のようにエラーメッセージをカスタマイズする方法は知っていますが、今回の要件は2ヶ所のエラーを検知しなけらばいけないので違います。
ログインエラーのメッセージをカスタマイズする

2ヶ所に異なるメッセージを表示するにはどうすればいいでしょうか?
もし分かる方がいれば教えていただきたいです。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • asahina1979

    2018/02/04 00:22

    ・w・) ID・パスワードのパターンを類されないためにもログインフォームじゃ入力チェックしちゃあかんよ

    キャンセル

  • k499778

    2018/02/04 00:41

    そうかもしれませんが、その設計で作るようにいわれているので実装することになります。

    キャンセル

回答 1

checkベストアンサー

+1

そんなセキュリティもへったくれも考えてない仕様に対応するには

  1. バリデーション用 POST URL を挟む。
  2. ハンドラで失敗後にバリデーションを行う。
// ログイン
http.formLogin()
  .loginPage("/login")
  .successHandler(/* ログイン成功時に何かしらの処理をする */ null)
  .failureHandler(/* ログイン失敗時に何かしらの処理をする */ null)
  .permitAll();

そして

ValidatorFactory validatorFactory =
                      Validation.buildDefaultValidatorFactory();
Validator validator = validatorFactory.getValidator();

で取得すれば自力で実行可能

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/02/04 22:48

    返答ありがとうございます。
    failureHandlerなのですね。
    こちらとしてはretrieveUser()が呼び出される前にfailureHandler()を呼び出したいのですが、そのような動きになりますでしょうか?

    キャンセル

  • 2018/02/04 23:01

    認証成功時にはバリデーションが絶対に通るものとして
    認証失敗時に処理されるので処理後にバリデーションを行って

    1. セッション情報等にバリデーションエラーを設定しリダイレクトを行う
    2. ログイン画面用Controllerでその情報を取得+削除を行う。
    3. モデル(リクエスト情報)に上記の値を設定する。
    4. templateで表示を行う。

    キャンセル

  • 2018/02/05 00:25 編集

    回答ありがとうございます。
    なるほど!sessionに詰め込めばretrieveUser()でのバリデーションエラーもコントローラ側で取得できますね!

    申し訳ありませんが2点質問させてください。
    1. failureHandlerとはfailureUrlと同じでしょうか?以下のリンク先のSecurityConfig内で記述されているような
    http://shinsuke789.hatenablog.jp/entry/2015/08/11/123000

    2. セッションに詰め込むのではなく、BindingResultクラスのhasErrors()でバリデーションの結果を再度取得し、それをビューに渡すやり方でもいいでしょうか?そうするとSessionのDTOや削除処理を追加で書く必要がなく、failureHandlerで指定したメソッドの引数にBindingResultとLoginForm,あとはhasErrors()の処理を書くだけで済むので。retrieveUser()内でもバリデーションのチェックをし、ExeptionをスローすることでretrieveUser()内の後続処理は行わないようにします。

    @RequestMapping(value = "/loginError")
    public String loginError(@Valid LoginForm form, BindingResult result, Model model) {

    if (result.hasErrors()) {
    return "login/login";
    }

    return "redirect:/menu";
    }
    参考:http://shinsuke789.hatenablog.jp/entry/2015/08/11/123000

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.22%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる