从0到1掌握 Spring Security（第二篇）：把“原理链”讲明白，认识过滤器链，并实现自定义登录页

欢迎来到我的博客，代码的世界里，每一行都是一个故事

🎏：你只管努力，剩下的交给时间

🏠 ：小破站

从0到1掌握 Spring Security（第二篇）：把“原理链”讲明白，认识过滤器链，并实现自定义登录页 🔗🧠

• • • 摘要
  • 1. 全局图景：Spring Security 在应用里扮演什么角色？🗺️
  • 2. 过滤器链长什么样？🔍
  • 3. 表单登录的完整链路 🧾
  • 4. 谁来“装配”过滤器链？⚙️
  • 5. 从默认到自定义：我们要改哪些点？🧭
  • 6. 最小可行配置（自定义登录页）🧩
  • 7. 表单页面要点（与 Security 对齐）📝
  • 8. 原理补全：认证是如何“落袋为安”的？📦
  • 9. 授权规则写在哪、怎么算？🧮
  • 10. 验证步骤（从默认到自定义）✅
  • 11. 延伸与最佳实践 📘
  • 12. 小结 🧾
  • 13. 核心参与者深挖：ProviderManager、DaoAuthenticationProvider、UserDetailsService、PasswordEncoder 🧩
  • 14. SecurityContextHolder 策略与存储 🎒
  • 15. CSRF 深入：为什么、怎么用、何时关？🛡️
  • 16. ExceptionTranslationFilter 详解：异常如何“被翻译”成跳转与状态码 🚧
  • 17. DefaultLoginPageGeneratingFilter：默认登录页从哪来，怎么“挤走”它？🧾
  • 18. 会话管理与 Remember-Me、并发控制、匿名用户 👥
  • 19. 过滤器顺序与可视化：如何“看见”链路 🧯
  • 20. 常见误区与排查清单 🧨
  • 21. 自定义登录流程的进一步定制（成功/失败处理器、参数名、URL）🧪
  • 22. 练习题与实践建议 🏋️
  • 感谢

摘要

• 本文承接第1篇，深入拆解 Spring Security 的“原理链”：认证模型、授权模型、安全上下文与会话，以及最核心的 过滤器链。
• 你将弄清请求是如何穿过一串安全过滤器完成“拦截→认证→放行”的，从现象到原理建立清晰心智模型。
• 最后我们以最小代码实现 自定义登录页（保留最小用户来源），一步步完成“默认表单登录”到“自定义表单登录”的迁移。