零信任要求在每个请求上强身份、强授权与审计。

核心概念

• 使用 OAuth2/OIDC 与外部 IdP 集成。
• 资源服务器通过 JWT 验证与 Scope 控制访问。
• Method Security 实现细粒度权限。

实战步骤

• 配置 SecurityFilterChain 定义安全策略。
• 实现自定义的 ReactiveAuthorizationManager。
• 结合 Spring Audit 记录关键操作。