스프링 시큐리티: SecurityFilterChain은 어떻게 동작할까

http.authorizeHttpRequests()로 설정한 보안 규칙이 실제로 어떤 과정을 거쳐 적용되는 걸까요?

스프링 시큐리티에서 요청은 어디로 들어오는가

ㅁㅇㄹㅁㅇㄹ

주의할 점

1. SecurityFilterChain이 여러 개일 때 순서가 중요하다

@Order 값이 낮은 체인이 먼저 매칭됩니다. API용 체인과 웹용 체인을 분리할 때, API 체인의 securityMatcher를 구체적으로 지정하지 않으면 모든 요청을 API 체인이 가져갑니다.

2. permitAll()은 인증을 건너뛰는 게 아니라 인가만 건너뛴다

permitAll()을 설정해도 인증 필터(JWT 검증 등)는 여전히 실행됩니다. 잘못된 토큰이 헤더에 있으면 permitAll() 경로에서도 401이 발생할 수 있습니다.