Spring Security 6.x升级实战：从配置迁移到组件化改造

1. Spring Security 6.x升级背景与核心变化

Spring Security作为Java生态中最主流的认证授权框架，在6.x版本中迎来了近年来最大规模的架构调整。这次升级不仅仅是简单的API变更，而是整个配置体系的范式转移。最显著的变化就是移除了沿用多年的WebSecurityConfigurerAdapter基类，转而采用更符合现代Spring风格的组件化配置方式。

我去年在重构公司内部权限系统时就踩过这个坑。当时项目还在用Spring Boot 2.7 + Spring Security 5.8，升级过程中发现新版本的配置逻辑完全变了样。不过用熟之后反而觉得新方案更加优雅，今天就带大家完整走一遍升级流程。

先看版本对应关系：

• Spring Boot 2.x → Spring Security 5.x
• Spring Boot 3.x → Spring Security 6.x

核心变化点：

1. 配置方式革命：不再继承WebSecurityConfigurerAdapter，改为通过@Bean定义SecurityFilterChain
2. 认证管理简化：AuthenticationManager现在通过AuthenticationConfiguration直接获取
3. 方法安全注解升级：@EnableGlobalMethodSecurity被@EnableMethodSecurity取代
4. 请求匹配新语法：antMatchers()变为requestMatchers()
5. 组件化设计：各安全模块拆分为独立组件，可按需组合

2. 从传统配置到组件化改造实战

2.1 依赖配置调整

首先需要更新pom.xml，将Spring Boot升级到3.x版本：