SecurityConfiguration

@Configuration
@EnableWebSecurity
@RequiredArgsConstructor
public class SecurityConfiguration {
    private final AuthenticationProvider authenticationProvider;
    private final JwtAuthenticationFilter jwtAuthFilter;
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws  Exception {
        http
                .csrf()
                .disable()
                .authorizeHttpRequests()
                .requestMatchers("/api/v1/auth/**")
                .permitAll()
                .anyRequest()
                .authenticated()
                .and()
                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .authenticationProvider(authenticationProvider)
                .addFilterBefore(jwtAuthFilter, UsernamePasswordAuthenticationFilter.class);
        return http.build();


    }
}

上面的配置步驟解釋：

1. 禁用CSRF保護：由於JWT是無狀態的，我們通常會禁用CSRF保護，以簡化API設計。
2. 請求授權：
   • 我們使用 requestMatchers() 方法來規定哪些路徑不需要身份驗證，比如 /api/v1/auth/** 。
   • 對於其他任何請求，則要求用戶必須先通過身份驗證。
3. 會話管理：設置SessionCreationPolicy為STATELESS，這意味著不會在服務器保留任何用戶的會話。
4. 身份驗證提供者：我們可以自定義身份驗證機制，如使用用戶名和密碼或其他驗證方式。
5. JWT過濾器： addFilterBefore 方法可用來在 Spring Security 的過濾器鏈中插入JWT過濾器，使其在用戶名和密碼驗證之前進行JWT的驗證。