Prompts-MCP 686 skills · ai / design / design-pattern / framework / fundamentals / habit / lang / tech-selection /mcp/sse
framework framework/spring-security/index.md medium

framework-spring-security-index

Spring Security 安全约定 — 过滤器链/无状态 JWT/授权/密码加密/OAuth2 资源服务器·授权服务器·授权模式选型七个独立决策点。Use when 配链 / 接 JWT / 加授权 / 选密码加密 / 验签或签发 token 时。

子项索引

子项 一句话
spring-security-filter-chain skill Spring Security 安全配置 — 用 SecurityFilterChain Bean + HttpSecurity 链式配置,替代已废弃的 WebSecurityConfigurerAdapter
spring-security-jwt-stateless skill Spring Security 无状态 JWT 鉴权 — STATELESS 禁 session,OncePerRequestFilter 解析 token 写入 SecurityContext
spring-security-authorization skill Spring Security 授权 — 方法级 @PreAuthorize 表达式 + URL 级 requestMatchers,按角色/权限控制访问
spring-security-password-encoding skill Spring Security 密码加密 — BCryptPasswordEncoder 自带盐的单向哈希存储与校验,禁明文/MD5/SHA
spring-security-oauth2-resource-server skill Spring Security OAuth2 资源服务器 — 用 starter 配 issuer/jwk-set 自动校验外部签发 JWT 的签名,不手写解析
spring-security-oauth2-authorization-server skill Spring Authorization Server 授权服务器 — 注册 client、走授权码 + PKCE、签发 token,与资源服务器分工(签发 vs 验签)
spring-security-oauth2-grant-types skill OAuth2 授权模式选型 — 授权码 + PKCE(用户登录,推荐)/客户端凭证(服务间)/刷新令牌(续期)/密码模式(已废弃)

Spring Security · 安全约定索引

七个独立决策点,按你正在做的事下钻:

你在做什么 进哪个
写安全配置类、定过滤器链(旧 WebSecurityConfigurerAdapter 报废了) filter-chain
做无状态 JWT 鉴权、禁 session、自己解析 token jwt-stateless
控制谁能访问哪个接口(方法级 / URL 级) authorization
存用户密码、选密码编码器 password-encoding
接 OAuth2 / OIDC,让框架校验外部签发的 JWT 签名(验签侧) oauth2-resource-server
搭授权服务器:注册 client、走授权码 + PKCE、签发 token(签发侧) oauth2-authorization-server
选授权模式:授权码 PKCE / 客户端凭证 / 刷新令牌 / 密码模式 oauth2-grant-types

链接