framework
framework/spring-security/index.md
medium
framework-spring-security-index
Spring Security 安全约定 — 过滤器链/无状态 JWT/授权/密码加密/OAuth2 资源服务器·授权服务器·授权模式选型七个独立决策点。Use when 配链 / 接 JWT / 加授权 / 选密码加密 / 验签或签发 token 时。
子项索引
| 子项 | 一句话 |
|---|---|
| spring-security-filter-chain skill | Spring Security 安全配置 — 用 SecurityFilterChain Bean + HttpSecurity 链式配置,替代已废弃的 WebSecurityConfigurerAdapter |
| spring-security-jwt-stateless skill | Spring Security 无状态 JWT 鉴权 — STATELESS 禁 session,OncePerRequestFilter 解析 token 写入 SecurityContext |
| spring-security-authorization skill | Spring Security 授权 — 方法级 @PreAuthorize 表达式 + URL 级 requestMatchers,按角色/权限控制访问 |
| spring-security-password-encoding skill | Spring Security 密码加密 — BCryptPasswordEncoder 自带盐的单向哈希存储与校验,禁明文/MD5/SHA |
| spring-security-oauth2-resource-server skill | Spring Security OAuth2 资源服务器 — 用 starter 配 issuer/jwk-set 自动校验外部签发 JWT 的签名,不手写解析 |
| spring-security-oauth2-authorization-server skill | Spring Authorization Server 授权服务器 — 注册 client、走授权码 + PKCE、签发 token,与资源服务器分工(签发 vs 验签) |
| spring-security-oauth2-grant-types skill | OAuth2 授权模式选型 — 授权码 + PKCE(用户登录,推荐)/客户端凭证(服务间)/刷新令牌(续期)/密码模式(已废弃) |
Spring Security · 安全约定索引
七个独立决策点,按你正在做的事下钻:
| 你在做什么 | 进哪个 |
|---|---|
| 写安全配置类、定过滤器链(旧 WebSecurityConfigurerAdapter 报废了) | filter-chain |
| 做无状态 JWT 鉴权、禁 session、自己解析 token | jwt-stateless |
| 控制谁能访问哪个接口(方法级 / URL 级) | authorization |
| 存用户密码、选密码编码器 | password-encoding |
| 接 OAuth2 / OIDC,让框架校验外部签发的 JWT 签名(验签侧) | oauth2-resource-server |
| 搭授权服务器:注册 client、走授权码 + PKCE、签发 token(签发侧) | oauth2-authorization-server |
| 选授权模式:授权码 PKCE / 客户端凭证 / 刷新令牌 / 密码模式 | oauth2-grant-types |
链接
- 上层:
../index.md - 平行:
../spring-boot/index.md·../spring-cloud/index.md - 相关:
../redis/index.md(token 黑名单 / 会话缓存)