Spring Security 注册过滤器注意事项

问题概述

文章讨论了在使用Spring Security和JWT实现无状态登录时出现的一个问题。问题是，尽管使用WebSecurityCustomizer放行了Swagger相关请求，但这些请求仍被JwtFilter拦截。

问题原因

问题的根源在于Spring容器自动将所有Filter类型的Bean添加到过滤器链中，并不局限于Spring Security的过滤器链。由于JwtFilter使用了@Component注解，它被自动添加到了过滤器链中并默认拦截所有请求。

解决方案

解决方案是避免将JwtFilter注册为Spring容器的Bean，也就是说去除@Component注解，直接在配置中new一个JwtFilter实例并将其添加到SecurityFilter链中。

Spring Security 与 OAuth2 更新

作者还介绍了基于Spring Security 6的新视频教程，该版本在API层面进行了大量更新，引入了Lambda表达式简化配置，并放弃了一些旧版写法。视频还涵盖了OAuth2的最新变化，包括PKCE模式和OIDC的使用。

安全框架的重要性

文章强调了理解Spring Security的重要性，并提到它提供了对多种安全威胁的解决方案，包括计时攻击、XSS攻击、点击劫持等，这些都是自行编写过滤器时可能忽略的问题。

教程信息和作者介绍

最后，作者提到新教程的购买信息和自己的背景，包括作为技术书作者，华为云MVP和技术社区贡献者等。