请写一篇关于【Spring Security基础：快速搭建安全认证系统】的技术文章

上周五晚上11点，我合上MacBook，揉了揉酸胀的眼睛。窗外北京初夏的夜风带着一丝燥热，屋子里只有空调嗡嗡作响。微信弹出一条消息：“今天又加班到这么晚？”——是我老婆发来的。我们在上海和北京异地，每周五晚上她都会等我视频，哪怕我常常拖到深夜。

“刚跑通一个Spring Security的demo，”我回复道，“下周面试要用。”

她回了个“加油”的表情包，然后说：“别太拼了，身体要紧。”

其实我知道，她是在担心我。毕竟半年前，我还在某大厂拿着22k的月薪，住着公司附近3500块一个月的合租房，每天挤地铁两小时。现在？裸辞Gap了整整六个月，存款从六位数掉到四位数，简历投出去石沉大海，连HR的已读都不回。

---

事情得从去年十月说起。

那天是周三，我坐在工位上改第17版需求文档，产品经理又在群里@我：“这个权限校验逻辑能不能再简化一点？用户反馈太复杂了。”我盯着屏幕上密密麻麻的@PreAuthorize("hasRole('ADMIN')")代码，心里一阵烦躁。

“简化？这已经是简化后的了！”我在心里翻了个白眼。

但真正压垮我的，不是需求，而是那种日复一日的疲惫感。每天早上睁眼就是会议，下午写代码，晚上review，周末还要on-call。最难受的是，我和老婆异地三年，见面时间加起来不到两个月。去年她生日，我因为线上事故没赶上去上海的高铁。

那天晚上回家，我对她说：“我想辞职，Gap一段时间。”

她沉默了几秒，问：“那之后呢？”

“学点新东西，把技术栈补全，尤其是安全这块——咱们之前项目里用的都是现成的方案，根本没深入理解。”

她点点头：“行，我支持你。但最多半年，别让自己太焦虑。”

于是，我在十一月初正式裸辞。

---

刚开始的日子很爽。睡到自然醒，白天看书、刷LeetCode、折腾Docker。但很快，焦虑就来了。

二月投简历，三月没回音，四月开始怀疑人生。有次看到前同事晒年终奖，我默默关掉了朋友圈。更糟的是，我发现自己的技术栈严重偏科：后端Java熟，但前端只懂jQuery，Go完全没碰过，连Javascript都停留在ES5时代。

“现在的JD都要求全栈能力了，”我翻着招聘网站喃喃自语，“还得会微服务、云原生、安全认证……”

尤其看到一条JD写着“熟悉Spring Security、OAuth2、JWT”，我愣住了——这些词我天天用，但真让我从零搭一个认证系统，我还真不一定行。

那一刻，我决定：就从Spring Security开始，重新武装自己。

---

说干就干。我给自己定了个小目标：用三天时间，从零搭建一个带登录、权限控制的基础认证系统。

第一天，我新建了一个Spring Boot项目，引入spring-boot-starter-security。启动后发现默认账号密码是user/随机串——这当然不能用在生产环境。

“得接入数据库，”我心想。

于是我建了User实体，写了UserDetailsService实现，配置PasswordEncoder。测试时发现密码加密不对，查了半天才发现Spring Security 5+默认用BCrypt，而我数据库存的是明文。

“坑啊！”我对着屏幕哀嚎。

第二天，我加上了基于角色的权限控制。用@EnableGlobalMethodSecurity(prePostEnabled = true)开启方法级注解，然后在Controller上加@PreAuthorize("hasRole('USER')")。

但前端怎么传token？我又得搞JWT。翻文档、看源码、抄Stack Overflow（别笑，谁还没抄过？），终于把登录接口搞定：用户名密码验证通过后返回JWT，后续请求带Authorization头。

第三天，我试着用Postman调通整个流程：注册 → 登录 → 获取用户信息（带权限）→ 访问管理员接口（被拒绝）。当看到403 Forbidden正常返回时，我差点跳起来。

“成了！”

虽然只是个玩具项目，但这是我裸辞以来第一次感受到“掌控感”。

---

过程中，我也顺手学了点Javascript。为什么？因为光有后端API不行，得有个前端页面让用户登录啊！

我用Vue3 + Vite搭了个极简界面，登录框、错误提示、跳转逻辑。虽然CSS丑得像90年代网页，但至少能跑。老婆视频时看到我屏幕上的界面，笑着说：“比你之前做的后台管理好看多了。”

我苦笑：“以前哪有时间管前端？都是切图仔（对不起前端朋友）帮我们搞定的。”

顺便提一句，我还抽空看了点Go。不是为了转语言，而是发现很多安全中间件（比如Auth0、Keycloak）的示例代码都是Go写的。理解基本语法后，看文档轻松多了。

---

五月下旬，我开始重新投简历。这次不一样了——简历里不再只是“参与XX系统开发”，而是明确写了：“独立设计并实现基于Spring Security + JWT的RBAC认证授权体系，支持多租户隔离”。

果然，回信多了起来。上周三，一家做SaaS的创业公司约我面试。技术面聊到安全模块时，我直接打开GitHub，给他们看我那个小项目。

“你看，这里我自定义了AuthenticationEntryPoint，处理未认证请求；这里用OncePerRequestFilter解析JWT；权限粒度可以到方法级别……”

面试官眼睛一亮：“你这比我们现在的方案还规范。”

两天后，HR打电话来谈offer。月薪24k，比裸辞前还高2k。更重要的是，他们支持远程办公——这意味着，我可以搬到上海，结束异地！

挂掉电话，我第一时间打给我老婆。

“我们可以在一起了。”

她那边沉默了几秒，然后轻声说：“我就知道你能行。”

---

回过头看这半年，Spring Security只是一个技术点，但它背后代表的是我对“扎实基本功”的重新认识。

很多程序员（包括曾经的我）总想着追新框架、学热门语言，却忽略了底层原理。比如Spring Security，它不只是几个注解，而是一整套认证（Authentication）与授权（Authorization） 的抽象模型。理解了FilterChain、UserDetails、GrantedAuthority这些核心概念，你才能在面对CAS、OAuth2、LDAP等复杂场景时不慌。

而且，现在的招聘市场越来越看重“解决问题的能力”。你简历上写“熟悉安全”，不如写“用Spring Security解决过XX权限漏洞”。后者才是HR和技术Leader想看到的。

至于Javascript和Go？它们不是目的，而是工具。当你需要和前端联调时，懂点JS能让你少扯皮；当你看开源项目时，懂点Go能让你更快理解架构。技术人的竞争力，从来不是单一语言，而是快速学习+系统思维。

---

写这篇文章的时候，我已经订好了下周去上海的机票。新工作下周一入职，房子也找好了——离她公司地铁三站路。

有时我会想，如果当初没裸辞，是不是也能涨薪？但如果不Gap这半年，我可能永远停留在“调用security框架”的层面，而不是真正理解它。

技术这条路，没有捷径。但只要你愿意沉下心，把一个点钻透，机会总会来。

最后送大家一句话，也是我贴在书桌上的座右铭：

“你不需要比别人聪明，你只需要比昨天的自己更懂一行代码。”

共勉。