航信A6登录时提示“用户不存在或密码错误”怎么办？

一、表层现象：登录界面错误提示的语义解析

“用户不存在或密码错误”是航信A6系统最典型的认证失败响应码（HTTP 401 + 自定义业务提示），其本质是AuthenticationProvider在doAuthenticate()流程中抛出BadCredentialsException或UsernameNotFoundException。该提示刻意模糊具体失败环节，属安全设计规范——避免暴露账户是否存在，防止用户名枚举攻击。对5年+IT从业者而言，需立即摒弃“单纯重试密码”的惯性思维，转向结构化诊断。

二、中层归因：四类高频根因的拓扑映射

三、深层机制：LDAP/AD域集成场景下的隐性故障点

当A6启用LDAP/AD集成（通过spring.ldap.urls=ldaps://dc1.corp:636配置），错误提示可能掩盖三重异步依赖：

• 域控侧：AD用户userAccountControl & 2 == 2（账户禁用）或pwdLastSet == 0（密码永不过期但未设置）
• 同步侧：A6内置的LdapSyncJob任务失败（查看quartz_job_log表中job_name='ldap_sync'的status=FAILED记录）
• 映射侧：ldap.userDnPattern=uid={0},ou=People,dc=corp与实际AD OU结构不匹配，导致DN解析为空

四、标准化排查流程（Mermaid流程图）

flowchart TD
    A[收到“用户不存在或密码错误”] --> B{管理员后台核查}
    B --> B1[用户状态=启用？]
    B1 -->|否| C1[启用用户并重置密码]
    B1 -->|是| B2[登录名无空格/全角字符？]
    B2 -->|否| C2[清理登录名前后空格]
    B2 -->|是| B3[密码策略是否过期？]
    B3 -->|是| C3[执行密码策略重置]
    B3 -->|否| D[检查组织机构有效性]
    D --> D1[org.status=1？]
    D1 -->|否| C4[启用组织或迁移用户]
    D1 -->|是| E[验证LDAP同步日志]
    E --> E1[最近1小时sync_job成功？]
    E1 -->|否| C5[手动触发sync并检查AD连接]

五、高阶防御实践：面向SRE的预防性治理

针对资深IT工程师，建议构建以下防御体系：

1. 在application-prod.yml中启用审计开关：security.audit.enabled=true，捕获AUTHENTICATION_FAILURE事件到ELK
2. 为用户管理模块添加数据库触发器：CREATE TRIGGER user_status_audit AFTER UPDATE ON sys_user FOR EACH ROW IF OLD.status != NEW.status THEN INSERT INTO user_audit_log...;
3. 使用Prometheus+Grafana监控LDAP同步延迟：rate(ldap_sync_duration_seconds_sum[1h]) / rate(ldap_sync_duration_seconds_count[1h])
4. 前端强制密码粘贴校验：监听input[type=password]的paste事件，调用navigator.clipboard.readText()检测全角字符
5. 实施登录失败熔断：基于Spring Cloud Gateway的RequestRateLimiter，对同一IP 5分钟内5次失败即返回429 Too Many Requests