如何在Spring Security中正确跳过特定过滤器？

一、引言：Spring Security 中跳过特定 URL 过滤器处理的必要性

在构建现代 Web 应用程序时，我们通常会使用 Spring Security 来保障系统的安全性。但在某些场景下，例如开放接口（如登录接口、注册页面、健康检查等），我们并不希望这些路径被安全过滤器链拦截，从而强制用户进行身份验证或授权。

本文将深入探讨如何正确配置 Spring Security，以跳过对特定 URL 路径的过滤器处理，避免不必要的身份验证或授权检查。

二、基础概念：Spring Security 的过滤器链机制

Spring Security 是基于 Servlet 过滤器链（Filter Chain）来实现安全控制的。每一个请求都会经过多个过滤器（Filter），例如：

• CsrfFilter
• UsernamePasswordAuthenticationFilter
• BasicAuthenticationFilter
• ExceptionTranslationFilter
• FilterSecurityInterceptor

默认情况下，所有请求都会经过这些过滤器，除非我们明确配置某些路径“放行”。

三、常见方法：配置 skip-url 的几种方式

以下是几种常见的配置方式，用于跳过特定 URL 的过滤器处理：

四、实战示例：不同版本 Spring Security 的配置方式

4.1 使用 WebSecurityConfigurerAdapter（Spring Security 5.x）

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/public/**", "/login", "/register");
    }
}

4.2 使用 SecurityFilterChain（Spring Security 6.x）

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http.authorizeHttpRequests(auth -> auth
            .requestMatchers("/public/**", "/health").permitAll()
            .anyRequest().authenticated())
        .formLogin(withDefaults());
    return http.build();
}

4.3 完全跳过安全过滤器链（Spring Security 6.0+）

@Bean
public WebSecurityCustomizer webSecurityCustomizer() {
    return (web) -> web.ignoring().requestMatchers("/api/public/**");
}

五、流程分析：Spring Security 请求处理流程图

以下是一个简化版的 Spring Security 请求处理流程图，展示了忽略 URL 的关键节点：

六、注意事项与最佳实践

尽管我们可以轻松地配置忽略某些 URL，但在实际开发中仍需注意以下几点：

1. 确保被忽略的路径不会暴露敏感信息或业务逻辑。
2. 合理使用 permitAll 和 ignore 方法的区别。
3. 在生产环境中关闭调试端点（如 /actuator/health）的公开访问。
4. 对于 RESTful API，建议使用 JWT 或 OAuth2 控制访问权限，而非完全放开路径。
5. 定期审查安全配置，防止因误配导致安全漏洞。