security第十七集（大结局） 总结

各位看官，咱们这个系列已经陪大家走过了十六集。如果你是从头跟过来的，现在应该已经打通了 Spring Security 的“任督二脉”。我们来快速复盘一下这“十六式”都练了什么：

【两大入门心法】：搞懂了 Form 表单登录（浏览器专属）和 HTTP Basic 认证（API 接口专用），这是 Security 的两大流量入口。

【三大用户仓库】：学会了把用户存在哪里——配置文件（写着玩）、内存（测试用）、数据库（正式干活的）。核心就是继承 WebSecurityConfigurerAdapter，重写 configure(AuthenticationManagerBuilder auth)。

【访问控制三件套】：权限（hasAuthority）、角色（hasRole）、匹配器（antMatchers）。核心是重写 configure(HttpSecurity http)，把路由守得死死的。

【自定义过滤器】：深入源码，手写 Filter，摸清了 Security 过滤器链的家底。

【CSRF 与 CORS】：搞懂了跨站攻击和跨域资源共享，虽然概念唬人，但配置起来都是“死记硬背”的固定写法。

【全局方法安全】：玩转了 @PreAuthorize、@PreFilter、@PostFilter，从“URL 拦截”进化到了“方法级细粒度控制”。

【多因素认证（MFA）】：理解了 authCode 的交换流程，给系统加了一把“二次验证”的安全锁。

【引入 JWT】：彻底整明白了 JWT 是什么，以及怎么把它集成进来，实现无状态认证。

说实话，对大部分 单体项目 而言，整明白上面这些，你已经完全可以手撸一套企业级的认证中心了！

下一季预告：单体进化！分布式认证中心来了

但是，如果系统流量暴涨，一个服务扛不住了，要拆成微服务集群怎么办？上面的“单体认证”就会遇到 Session 共享、Token 刷新、服务间鉴权等一系列新问题。

最后的最后（关于源码）

我知道，光看文章可能还是有点晕，尤其是代码细节，一步没跟上就容易卡壳。

没关系！我已经把《十六集》的全部核心代码、配置文件、postman测试用例，以及sql文件，一字不差地整理打包好了。

这代码有多干？你下载下来，导入sql，改改数据库密码，基本上就能直接跑起来对照着看。

获取方式？

代码整理不易，如果觉得这系列文章对你有帮助，访问官网，请我吃顿麻辣烫，就可以「个人中心」一键下载全部源码啦！

（PS：不要担心，这顿麻辣烫绝对物超所值，省去你几周自己摸索的时间。）

咱们下部见，一起向分布式架构进发！