技术文章

上周五晚上加完班，回到荔湾老城区的出租屋，楼下那家我吃了三年的肠粉店已经收摊了。我顺手在便利店买了份干炒牛河，开了罐珠江纯生，坐在电脑前发呆。算下来，今年是我写代码的第6个年头。从刚毕业月薪8k的菜鸟，到去年跳槽拿到26k，再到今年初熬过裁员潮勉强混了个技术专家，这一路走来，真是一言难尽。

今天不聊虚的，想跟兄弟们聊聊去年十月那次差点让我卷铺盖走人的“血案”，顺便把Spring Security快速搭建安全认证系统的那些坑给填了。

去年十月，国庆刚过完，我们组负责的核心交易接口突然开始疯狂报警。CPU直接干到90%以上，数据库连接池瞬间被打满。当时是凌晨两点，我被电话从床上薅起来，看着满屏的红色告警，脑子都是懵的。

排查了一圈发现，根本不是我们自己的业务逻辑有问题，而是被“爬虫”给盯上了。更气人的是，后来安全组的大佬抓包分析，对面居然是用Go语言写的一个分布式爬虫调度系统，内部代号叫“Goose”。这帮孙子用Goose把并发拉满，疯狂薅我们的商品底价数据。

最致命的是，我们的认证系统当时是用最原始的Spring Security搭的，而且因为赶进度，很多配置都是“面向复制粘贴编程”。结果就是，Goose的爬虫稍微改改Header，就绕过了我们的鉴权，直接对核心接口进行了降维打击。

当时真的很焦虑，冷汗把睡衣都浸湿了。要知道，那时候我刚背上荔湾老破小的房贷，每个月月供大几千，老婆阿珍又刚怀孕。要是这时候因为重大生产事故被优化，我连下个月的奶粉钱都不知道去哪凑。

第二天早会，Leader老李黑着脸把监控截图甩在大屏上：“这是谁配的Security过滤链？怎么未登录的Token也能访问 /api/v1/order/* ？知不知道昨晚公司损失了多少数据？”

我低着头，心里暗骂：这破框架文档写得跟天书一样，Filter链的顺序稍微错一点就全盘崩溃，谁有空去抠那些底层源码啊！但嘴上只能认怂：“我的锅，李哥，我马上重构。”

痛定思痛，那个周末我推掉了所有应酬，把自己关在房间里死磕Spring Security。说实话，这玩意儿的学习曲线确实陡峭，配置繁琐，一不小心就踩坑。但踩多了，也就摸清了它的脾气。下面给兄弟们总结一下快速搭建且不出错的安全认证系统的血泪经验。

坑一：Filter链的顺序与放行路径

以前我总喜欢用 WebSecurityConfigurerAdapter（虽然老版本废弃了，但很多老项目还在用），后来重构直接上了最新的基于组件的 SecurityFilterChain。

最大的坑在于放行路径。很多人以为配了 .requestMatchers("/api/public/**").permitAll() 就万事大吉，结果发现登录接口还是被拦截。为什么？因为Spring Security默认的表单登录和HTTP Basic认证过滤器优先级很高，你配的放行规则根本轮不到执行。

正确姿势：一定要把自定义的 JwtAuthenticationFilter 放在 UsernamePasswordAuthenticationFilter 之前。

http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);

而且，放行路径一定要精确，千万别用 /** 这种大杀器，不然你的系统就是在“裸奔”。对于静态资源和公开接口，老老实实写清楚路径。

坑二：自定义Token校验与上下文传递

对付像Goose这种高级爬虫，简单的Session校验根本没用，必须上JWT+Redis黑名单。

在自定义Filter里解析Token时，千万别直接抛异常！一旦抛异常，整个Filter链就断了，客户端只会收到一个干瘪的500错误，前端根本没法做无感刷新Token的逻辑。

正确姿势：在Filter里捕获异常，然后通过自定义的 AuthenticationEntryPoint 统一处理，或者直接在Filter里 response.setStatus(401) 并写入自定义的JSON错误码。同时，校验通过后，一定要把用户信息塞进 SecurityContextHolder：

SecurityContextHolder.getContext().setAuthentication(authentication);
filterChain.doFilter(request, response);

不然后面的业务代码用 @AuthenticationPrincipal 拿不到当前登录用户，直接报空指针，到时候背锅的还是你。

坑三：CSRF与跨域（CORS）的相爱相杀

前后端分离的项目，CSRF校验简直就是反人类。

正确姿势：直接禁用CSRF .csrf(csrf -> csrf.disable())。然后重点配置CORS，千万别在Controller里加 @CrossOrigin，要在Security里统一配置 CorsConfigurationSource，把允许的Origin、Methods、Headers写死，防止被恶意域名白嫖。

按照这三步重构完，我又加了基于Redis的接口限流和IP黑名单。上线那天，我盯着监控看了一整夜，看着Goose的爬虫请求被精准拦截在网关外，CPU稳稳停在20%，我长长地舒了一口气。

后来，这套安全架构不仅扛住了竞品的几轮攻击，还被我整理成了内部最佳实践文档。老李在季度会上特意表扬了我，年底绩效直接拿了A，顺理成章地晋升了。

现在回想起来，技术选型和基础组件的搭建，真的不能抱有“差不多就行”的心态。Spring Security虽然难用，但它提供的安全模型是经过千锤百炼的。我们做后端的，不能只盯着业务CRUD，底层的基建如果塌了，上面跑得再快也是白搭。

对于刚入行或者工作两三年的兄弟，我的建议是：遇到难啃的框架，别急着去搜“十分钟快速上手”，去翻翻官方文档，看看它的核心设计模式。比如Security的核心就是责任链模式，搞懂了FilterChain，你就搞懂了它的一半。

上周五晚上，阿珍抱着刚满月的儿子在卧室哄睡，我坐在客厅喝着珠江纯生，看着屏幕上跑通的单元测试，心里出奇的平静。房贷还要还三十年，技术迭代也永远不会停，Go、Rust、AI大模型，新东西层出不穷。但只要我们还能保持对代码的敬畏，踩坑后能复盘总结，这碗程序员饭，就还能稳稳地吃下去。

不说了，牛河坨了，吃完还得把那个用Go写的日志分析脚本优化一下。兄弟们，共勉。