過濾器在鏈中定義的順序非常重要。無論您實際使用哪種過濾器，順序應如下： * `ChannelProcessingFilter`，因為它可能需要重定向到不同的協議 * `SecurityContextPersistenceFilter`，因此可以在Web請求開始時在`SecurityContextHolder`中設置`SecurityContext`，并且當Web請求結束時（可以使用下一個Web請求準備好），可以將對`SecurityContext`的任何更改復制到`HttpSession`。 * ` ConcurrentSessionFilter`，因為它使用`SecurityContextHolder`功能并需要更新SessionRegistry以反映來自主體的持續請求 * 身份驗證處理機制 -` UsernamePasswordAuthenticationFilter`，`CasAuthenticationFilter`，`BasicAuthenticationFilter`等 - 以便可以修改`SecurityContextHolder`以包含有效的`Authentication`請求令牌 * SecurityContextHolderAwareRequestFilter，如果您使用它將Spring安全感知HttpServletRequestWrapper安裝到您的servlet容器中 * `JaasApiIntegrationFilter`，如果`JaasAuthenticationToken`位于SecurityContextHolder中，則會將`FilterChain`作為`JaasAuthenticationToken`中的`Subject`進行處理 * `RememberMeAuthenticationFilter`，這樣如果沒有更早的身份驗證處理機制更新`SecurityContextHolder`，并且請求提供了一個啟用記住我服務的cookie，那么一個合適的記憶`Authentication`對象將放在那里 * ` AnonymousAuthenticationFilter`，這樣如果沒有早期的身份驗證處理機制更新`SecurityContextHolder`，那么匿名身份驗證對象將被放在那里 * ExceptionTranslationFilter，用于捕獲任何Spring Security異常，以便可以返回HTTP錯誤響應或啟動相應的AuthenticationEntryPoint * FilterSecurityInterceptor，用于保護Web URI并在訪問被拒絕時引發異常