SecurityConfig 是一个 Spring Security 的配置类，用于配置应用程序的安全性。它主要用于定义如何保护应用程序的各种端点、身份验证和授权策略。SecurityConfig 在应用程序启动时被加载，并在整个应用程序生命周期中提供安全保护。

SecurityConfig的作用

1. 定义安全策略：SecurityConfig 类通过扩展 WebSecurityConfigurerAdapter，允许你覆盖默认的安全配置，定义哪些请求需要认证，哪些请求可以公开访问。

2. 配置HTTP安全性：你可以在 SecurityConfig 中配置诸如跨站请求伪造（CSRF）、会话管理、访问控制、异常处理等与 HTTP 安全性相关的设置。

3. 配置认证机制：可以定义自定义的认证和授权机制，比如表单登录、Basic Auth、JWT 等。

4. 过滤器链配置：SecurityConfig 允许配置过滤器链，在请求进入控制器之前对其进行处理。比如自定义的 JWT 认证过滤器通常会在这里配置。

SecurityConfig在应用中的使用

SecurityConfig 在应用启动时由 Spring 自动加载，配置生效。下面解释它的几个关键配置的使用场景：

1. 配置公共与受保护的端点：

   @Override
   protected void configure(HttpSecurity http) throws Exception {http.csrf().disable().authorizeRequests().antMatchers("/auth/login", "/auth/validate").permitAll() // 公共端点，无需认证.anyRequest().authenticated(); // 其他请求需要认证
   }
   

   这个配置的作用是，将 /auth/login 和 /auth/validate 端点设为公开访问，其他所有请求都需要经过认证。

2. 禁用CSRF：

   http.csrf().disable()
   

   如果应用程序不需要保护免受跨站请求伪造攻击（如主要用于API应用），可以禁用 CSRF 保护。

3. 自定义认证过滤器：

   @Override
   protected void configure(HttpSecurity http) throws Exception {http.addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class);
   }
   

   你可以在 SecurityConfig 中添加自定义的 JWT 认证过滤器，用于在每个请求到达控制器之前验证 JWT 令牌。

总结

SecurityConfig 类在 Spring Boot 应用程序中是配置和管理安全性的核心部分。它定义了应用程序的安全策略，确保未认证的用户无法访问受保护的资源，同时允许你灵活地配置身份验证和授权的方式。配置一旦生效，它会在应用程序的生命周期中持续为请求提供安全保护。