spring security 升级至 6.x 后,`securityfilterchain` 配置虽更清晰,但因组件扫描遗漏(如 `@springbootapplication` 的 `scanbasepackages` 限制)导致公开端点(如 `/authentication/login`)意外被拦截并返回 401,是典型且隐蔽的配置陷阱。
在将 Spring Boot 应用从旧版本(如 2.7.x)迁移至 3.x/3.2+(对应 Spring Security 6.x)时,许多开发者会重点关注 HttpSecurity 配置语法的变更——例如从 authorizeRequests().antMatchers(...) 迁移到 authorizeHttpRequests().requestMatchers(...)。然而,真正的故障点往往不在安全配置本身,而在应用上下文的组件扫描范围。
你提供的新配置逻辑完全正确:
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http.csrf(AbstractHttpConfigurer::disable)
.cors(AbstractHttpConfigurer::disable)
.authorizeHttpRequests(auth -> auth
.requestMatchers(Endpoints.PUBLIC_ENDPOINTS).permitAll() // ✅ 正确声明公开路径
.anyRequest().authenticated()
)
.exceptionHandling()
.authenticationEntryPoint(jwtAuthenticationEntryPoint)
.and()
.sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS);
http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
return http.build();
}该配置语义清晰:所有 Endpoints.PUBLIC_ENDPOINTS(如 "/authentication/login"、"/register"、"/callback/**")应绕过认证,直接放行。若仍返回 401 Unauthorized,首要排查方向不是过滤链顺序或匹配规则,而是 @SpringBootApplication 注解是否限制了包扫描范围。
问题根源在于这一行被注释前的配置:
//@SpringBootApplication(scanBasePackages = {"de.company.app.data.user", "de.company.app.security"})
@SpringBootApplication // ✅ 移除 scanBasePackages 后恢复正常当显式指定 scanBasePackages 时,Spring Boot 仅扫描所列包及其子包下的 @Configuration、@Component、@Bean 等注解类。如果你的 Endpoints 枚举(或常量类)、JwtRequestFilter、JwtAuthenticationEntryPoint 或其他关键安全组件未位于 de.company.app.data.user 或 de.company.app.security 包下(例如定义在 de.company.app.web 或 de.company.app.config 中),它们将不会被加载——导致:
- Endpoints.PUBLIC_ENDPOINTS 可能为 null 或空数组(若静态初始化失败);
- 自定义 Filter(如 jwtRequestFilter)未注册,JWT 解析失效;
- AuthenticationEntryPoint 未生效,异常处理降级为默认 401 响应。
✅ 解决方案:
- 移除 scanBasePackages 属性,让 Spring Boot 默认扫描启动类所在包及其子包(推荐);
- 若必须限定扫描范围,请确保所有安全相关组件(常量类、Filter、EntryPoint、Config 类等)均位于指定包内,或显式添加缺失包:
@SpringBootApplication(scanBasePackages = { "de.company.app.data.user", "de.company.app.security", "de.company.app.web", // 补充端点定义包 "de.company.app.filter" // 补充 Filter 所在包 })
? 额外建议:
- 在开发阶段启用 DEBUG 日志:logging.level.org.springframework.security=DEBUG,观察 SecurityFilterChain 是否成功注册,以及请求匹配过程(如 Authorized URL: /authentication/login 是否命中 permitAll);
- 使用 @TestConfiguration 或 @Import 显式导入关键配置类,避免依赖包扫描;
- 验证 Endpoints.PUBLIC_ENDPOINTS 内容是否非空:可在配置中添加断点或日志 log.info("Public endpoints: {}", Arrays.toString(Endpoints.PUBLIC_ENDPOINTS));。
迁移不是单纯语法替换,而是对 Spring Boot 应用生命周期和组件注册机制的重新审视。一个看似无关的 @SpringBootApplication 参数,可能成为阻塞整个安全链的关键瓶颈。
