15. 若依框架的Security Config

在framework/SecurityConfig.java中，filterChain定义应用程序的安全规则（认证和授权），配置如下：

protected SecurityFilterChain filterChain(HttpSecurity httpSecurity) throws Exception{return httpSecurity// CSRF禁用，因为不使用session.csrf(csrf -> csrf.disable())// 禁用HTTP响应标头.headers((headersCustomizer) -> {headersCustomizer.cacheControl(cache -> cache.disable()).frameOptions(options -> options.sameOrigin());})// 认证失败处理类.exceptionHandling(exception -> exception.authenticationEntryPoint(unauthorizedHandler))// 基于token，所以不需要session.sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))// 注解标记允许匿名访问的url.authorizeHttpRequests((requests) -> {permitAllUrl.getUrls().forEach(url -> requests.antMatchers(url).permitAll());// 对于登录login 注册register 验证码captchaImage 允许匿名访问requests.antMatchers("/login", "/register", "/captchaImage").permitAll()// 静态资源，可匿名访问.antMatchers(HttpMethod.GET, "/", "/*.html", "/**/*.html", "/**/*.css", "/**/*.js", "/profile/**").permitAll().antMatchers("/swagger-ui.html", "/swagger-resources/**", "/webjars/**", "/*/api-docs", "/druid/**").permitAll()// 除上面外的所有请求全部需要鉴权认证.anyRequest().authenticated();})// 添加Logout filter.logout(logout -> logout.logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler))// 添加JWT filter.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class)// 添加CORS filter.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class).addFilterBefore(corsFilter, LogoutFilter.class).build();}

1. pring Security 提供的构建器，用于配置 HTTP 请求的安全性
2. csrf(csrf -> csrf.disable()) ，禁用 CSRF（适用于 REST API + JWT）
3. .防止浏览器缓存敏感数据（cacheControl） 防止点击劫持（frameOptions）

headers((headersCustomizer) -> {headersCustomizer.cacheControl(cache -> cache.disable())  // 禁用缓存控制.frameOptions(options -> options.sameOrigin());  // 允许同源 iframe 嵌入
})

4. exceptionHandling(exception -> exception.authenticationEntryPoint(unauthorizedHandler))

当未认证用户访问受保护资源时，会调用 unauthorizedHandler（通常是返回 401 错误）。

5. sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))

STATELESS 表示不创建 HttpSession，适用于 JWT / OAuth2 等无状态认证方式。

6. url访问权限定义
   permitAll()：允许匿名访问（无需登录）。
   authenticated()：必须认证后才能访问。
   一会还要专门说匿名访问

.authorizeHttpRequests((requests) -> {permitAllUrl.getUrls().forEach(url -> requests.antMatchers(url).permitAll());requests.antMatchers("/login", "/register", "/captchaImage").permitAll()  // 允许匿名访问.antMatchers(HttpMethod.GET, "/", "/**/*.html", "/**/*.css", "/**/*.js").permitAll()  // 静态资源放行.antMatchers("/swagger-ui.html", "/swagger-resources/**").permitAll()  // Swagger 放行.anyRequest().authenticated();  // 其他所有请求需要认证
})

7. 自定义过滤器

// 添加JWT filter
.addFilterBefore(authenticationTokenFilter, UsernamePasswordAuthenticationFilter.class)
// 添加CORS filter
.addFilterBefore(corsFilter, JwtAuthenticationTokenFilter.class)
.addFilterBefore(corsFilter, LogoutFilter.class)

匿名访问

允许匿名访问的URL路径，通过下面方法进行定义，afterPropertiesSet方法在Spring Bean 初始化完成后执行

1. 获取所有controller请求方法@RequestMapping
2. 从请求的所有方法中获取注解为@Anonymous的方法
3. 请求参数替换

获取该方法的 URL 路径（info.getPatternsCondition().getPatterns()）。 使用
RegExUtils.replaceAll(url, PATTERN, ASTERISK) 将路径变量（如 {id}）替换为 （如
/user/）。 将处理后的 URL 加入 urls 集合。

也就是当我们的Controller层的方法，被Anonymous修饰后可以跳过认证

4. 如果注解是整个类上@Anonymous，则下面的方法都是白名单

过滤器在后面介绍