您需要使用WebSecurityConfigurerAdapter来确保Spring Security ，任何匹配**/API/****模式的请求都应该使用JWT进行身份验证，任何不匹配的请求都可以在没有JWT的情况下调用，因为这个**anyRequest（）.permitAll（）**简单的方法

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/api/**").authenticated() 
            .anyRequest().permitAll()
            .and()
            .addFilterBefore(new JwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
}
}

更新对不起快速跳转上Spring忘记了是3.0在这里另一种方式，但没有测试这样做，你将有多个过滤器和定义不同的安全配置也取决于版本可能有一些功能，是不赞成你可能需要看文档。我离开了我的其他人的答案享受拇指哑巴，因为他们喜欢验证他们的点，而不给任何解决方案，以帮助。

@Configuration
@EnableWebSecurity
public class SecurityConfig {

@Bean
public SecurityFilterChain apiSecurityFilterChain(HttpSecurity http) throws Exception {
    http
            .securityMatchers((matchers) -> matchers
                    .requestMatchers(antMatcher("/api/**"), antMatcher("/app/**"))
            ).addFilterBefore(new JwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
            
    return http.build();
}

@Bean
public SecurityFilterChain defaultSecurityFilterChain(HttpSecurity http) throws Exception {
    http.authorizeRequests()
            .anyRequest().permitAll();
    
    return http.build();
}

}