Skip to content

Spring Security 6 + Boot 3

8 篇文章
2026/06/121 分钟阅读

认证与授权机制

认证和授权不能混着看。认证决定 `Authentication` 怎么产生,授权决定这个对象有没有访问资格。 - `Authentication` - `AuthenticationManager` - `AuthenticationProvider` - `UserDetail

2026/06/121 分钟阅读

企业级实战案例

com.example.demo ├── auth │ ├── AuthController.java │ ├── LoginRequest.java │ ├── LoginResponse.java │ └── RegisterRequest.java ├──

2026/06/121 分钟阅读

过滤器链与执行顺序

过滤器顺序本身就是机制的一部分。Spring Security 大量问题都不是“配置错”,而是过滤器插错位置。 Servlet 场景下常见主链路可以概括为: 1. `SecurityContextHolderFilter` 2. `HeaderWriterFilter` 3. `

2026/06/121 分钟阅读

Spring Security 6 总览

Spring Security 在 Spring Boot 3 里默认走 Servlet 安全链路,核心是把认证、授权、上下文保存、异常处理、登录态恢复拆成一组可组合的过滤器和策略对象。 - `SecurityContextHolder`:线程内安全上下文入口。 - `Authe

2026/06/121 分钟阅读

SecurityFilterChain 配置方式

Spring Security 6+ 的配置核心就是显式声明 `SecurityFilterChain` Bean。旧时代继承 `WebSecurityConfigurerAdapter` 的思路已经退出主线。 @Configuration @EnableWebSecurity

2026/06/121 分钟阅读

Session、JWT、OAuth2

Session 模式的重点不是登录接口,而是认证成功后服务端如何保存状态。 @Bean SecurityFilterChain webChain(HttpSecurity http) throws Exception { return http .sessionManagemen

2026/06/121 分钟阅读

Spring Security 源码级原理解析

运行时入口是 Servlet `Filter`,不是配置类。真正处理请求的是 `FilterChainProxy`。 SecurityContext context = SecurityContextHolder.getContext(); Authentication auth