一、背景与演进：从适配器模式到组件化安全配置

在Spring Security 5.7版本发布后，官方正式将WebSecurityConfigurerAdapter标记为过时（deprecated），标志着框架从基于继承的配置方式向基于组件的函数式配置模型迁移。这一变化源于Spring团队对模块解耦和配置灵活性的追求。

传统上，开发者通过继承WebSecurityConfigurerAdapter并重写其方法来定义安全规则，例如configure(HttpSecurity)或configure(AuthenticationManagerBuilder)。然而，这种设计导致了高度耦合，并限制了在响应式编程（如WebFlux）中的统一配置能力。

与此同时，OAuth2资源服务器功能常依赖于ResourceServerConfigurerAdapter，尤其是在JWT鉴权场景中。当两个适配器同时存在时，它们都会尝试注册各自的过滤器链（Filter Chain），造成如下典型问题：

• 静态资源被错误拦截，无法正常访问
• JWT令牌未被正确解析或验证
• OAuth2资源服务器配置失效，返回401未经授权错误
• 多个SecurityFilterChain实例冲突，导致预期外的安全策略生效

二、核心机制剖析：为何会发生配置冲突？

根本原因在于WebSecurityConfigurerAdapter和ResourceServerConfigurerAdapter都试图通过Spring的自动配置机制注册一个全局的SecurityFilterChain Bean。

在Spring Security的底层架构中，FilterChainProxy负责管理多个SecurityFilterChain实例，并根据请求路径匹配最合适的链路执行。若开发者未显式声明优先级或路径匹配规则，则可能出现以下情况：

三、解决方案路径：平滑迁移至新模型

要解决上述问题，关键在于弃用所有适配器类，转而使用基于@Bean的SecurityFilterChain组件配置。以下是推荐的迁移步骤：

1. 移除所有对WebSecurityConfigurerAdapter的继承
2. 删除ResourceServerConfigurerAdapter相关代码
3. 显式定义一个或多个SecurityFilterChain @Bean
4. 针对JWT资源服务器，使用http.oauth2ResourceServer() DSL进行配置
5. 分离公共静态资源路径，避免误拦截
6. 确保@EnableWebSecurity已启用（非必须但建议）
7. 注册JwtDecoder Bean以支持JWK Set URI或本地密钥解析
8. 利用AuthorizationManager实现细粒度权限控制
9. 测试不同路径下的访问行为，确认无交叉影响
10. 启用调试日志观察实际生效的过滤器链顺序

四、代码示例：现代化安全配置实现

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain apiFilterChain(HttpSecurity http) throws Exception {
        http
            .requestMatcher(new NegatedRequestMatcher(
                new AntPathRequestMatcher("/static/**")))
            .authorizeHttpRequests(authz -> authz
                .requestMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
            )
            .oauth2ResourceServer(oauth2 -> oauth2
                .jwt(jwt -> jwt.decoder(jwtDecoder()))
            );
        return http.build();
    }

    @Bean
    public SecurityFilterChain staticResourcesFilterChain(HttpSecurity http) throws Exception {
        http
            .requestMatcher(new AntPathRequestMatcher("/static/**"))
            .authorizeHttpRequests(authz -> authz.anyRequest().permitAll())
            .securityMatcher(new DefaultSecurityFilterChain(
                new AntPathRequestMatcher("/static/**")));
        return http.build();
    }

    @Bean
    public JwtDecoder jwtDecoder() {
        return NimbusJwtDecoder.withJwkSetUri("https://your-auth-server/.well-known/jwks.json").build();
    }
}
    

五、流程图：配置迁移决策逻辑

六、最佳实践与扩展思考

在大型系统中，建议采用“分层安全链”策略，即根据不同URL前缀注册多个SecurityFilterChain Bean，并通过requestMatcher()精确控制作用域。此外，可结合Spring Boot Actuator暴露的安全端点监控当前激活的过滤器链。

对于微服务架构，推荐将JWT解析逻辑下沉至API网关，资源服务器仅做轻量级校验；而在单体应用中，则需确保JwtDecoder具备缓存机制以提升性能。

值得注意的是，Spring Security 6进一步强化了函数式配置范式，引入了ServerHttpSecurity用于响应式栈，因此本次迁移也为未来升级奠定基础。

最后，建议启用logging.level.org.springframework.security=DEBUG来追踪过滤器注册过程，快速定位配置冲突源头。