最要命的是，我还在 permitAll() 的路径配置里写了 "/**" ，本意是放行静态资源，结果把所有接口都暴露了。这次事故让我深刻意识到： Spring Security 配置的每个细节都可能成为安全隐患。今天这篇文章，我想把这些踩坑经验分享出来，帮你 ...