Spring Security的Web基礎結構完全基于標準的servlet過濾器。它不在內部使用servlet或任何其他基于servlet的框架（例如Spring MVC），因此它沒有與任何特定Web技術的強大鏈接。它處理`HttpServletRequest`和`HttpServletResponse`，并不關心請求是來自瀏覽器，Web服務客戶端，`HttpInvoker`還是AJAX應用程序。 Spring Security在內部維護一個過濾器鏈，其中每個過濾器都有特定的責任，并根據所需的服務在配置中添加或刪除過濾器。過濾器的順序很重要，因為它們之間存在依賴關系。如果您一直在使用命名空間配置，那么將自動為您配置過濾器，您不必明確定義任何Spring bean，但有時候您希望完全控制安全過濾器鏈，因為您正在使用功能命名空間中不支持，或者您使用自己的自定義版本的類。