据我所知，最好的方法是通过添加额外的身份验证检查、抛出适当的异常，然后为这些异常编写一个处理程序来扩充身份验证提供者。
我们可以扩展daoauthenticationprovider并使用它的additionalauthenticationchecks（…）方法。
我们可以抛出任何自定义异常或由适当的令牌授予者捕获的异常。下面是一个示例：

@Override
protected void additionalAuthenticationChecks(final UserDetails userDetails, final UsernamePasswordAuthenticationToken authentication) {
    final User user = userDao.findByUsername(userDetails.getUsername())
                             .orElseThrow(() -> new BadCredentialsException("Incorrect username or password."));

    if (DISABLED == user.getStatus() || SUSPENDED == user.getStatus()) {
        throw new BadCredentialsException(String.format("User account with ID [%s] is %s.", user.getUserUuid(), user.getStatus()));
    }

    if (2FA_NOT_SET == user.getStatus()) {
        throw new BadCredentialsException("Account is disabled because two-factor authentication is not set.");
    }

在本例中，resourceownerpasswordtokengranter将捕获badcredentialsexception并抛出invalidgrantexception（oauth2exception的子级）。
然后，我们可以通过扩展responseentityexceptionhandler来编写自定义异常处理程序。在这里，我们可以记录异常并准备自定义错误响应。以下是供参考的示例代码：

@ExceptionHandler({OAuth2Exception.class})
public ResponseEntity<Object> handleOAuth2Exception(final OAuth2Exception exception, final WebRequest request) {

    return handleExceptionInternal(exception,
                                   ErrorOutputDto.create(exception.getOAuth2ErrorCode(), exception.getMessage()),
                                   new HttpHeaders(),
                                   HttpStatus.valueOf(exception.getHttpErrorCode()),
                                   request);
}