根据你描述的问题，我来帮你分析Spring Security配置导致登录页面无限重定向的原因和解决方案：

问题原因分析 #

你的配置逻辑框架上是正确的：已经将/login、静态资源等加入permitAll白名单，也通过formLogin指定了自定义登录页面。出现无限重定向的核心原因通常是**/login路径本身的请求没有被正确放行，或者请求处理环节又触发了认证拦截**，常见场景包括：

1. 缺少/login的GET请求映射控制器
   当你配置.loginPage("/login")时，Spring Security只负责在需要认证时重定向到这个路径，但不会自动生成登录页面内容。如果你的项目中没有对应的@GetMapping("/login")控制器方法返回登录视图（比如Thymeleaf/JSP页面），服务器会返回404，而Spring Security可能会将404页面的访问也视为需要认证的请求，从而触发二次重定向，形成循环。

2. 方法级安全注解拦截了/login请求
   如果你的/login控制器方法上添加了@PreAuthorize、@Secured等方法级安全注解，即使Spring Security的过滤器链已经允许/login路径访问，方法级的安全校验仍然会拒绝匿名请求，导致重定向到/login，形成无限循环。

3. 静态资源路径匹配不精确
   虽然你配置了/css/**、/js/**等静态资源允许匿名访问，但如果登录页面中引用的资源路径与配置的匹配规则不一致（比如实际路径是/static/css/xxx.css但配置的是/css/**，且Spring Boot的静态资源映射配置有冲突），会导致静态资源请求被拦截，触发重定向，间接导致页面加载时的循环。

解决方案步骤 #

步骤1：确保存在/login的GET请求控制器

添加一个专门处理登录页面GET请求的控制器方法，确保允许匿名访问：

@Controller
public class AuthController {

    @GetMapping("/login")
    // 务必不要添加任何需要认证的注解
    public String loginPage() {
        return "login"; // 返回你的登录视图名称（比如Thymeleaf的login.html）
    }

    @GetMapping("/register")
    public String registerPage() {
        return "register";
    }
}

步骤2：检查并移除方法级安全注解对/login的限制

如果你的AuthController或/login方法上有@PreAuthorize等注解，立即移除，确保匿名用户可以直接访问该页面。

步骤3：验证并优化Spring Security配置

以下是修正后的完整配置（保留你的核心逻辑，优化细节避免潜在冲突）：

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http
        .csrf(csrf -> csrf.disable())
        .authorizeHttpRequests(authz -> authz
            // 公开访问路径
            .requestMatchers(
                AntPathRequestMatcher.antMatcher("/register"),
                AntPathRequestMatcher.antMatcher("/login"),
                AntPathRequestMatcher.antMatcher("/api/auth/**"),
                AntPathRequestMatcher.antMatcher("/css/**"),
                AntPathRequestMatcher.antMatcher("/js/**"),
                AntPathRequestMatcher.antMatcher("/images/**")
            ).permitAll()
            // 其他所有请求需要认证
            .anyRequest().authenticated()
        )
        .formLogin(form -> form
            .loginPage("/login") // 自定义登录页面路径
            .loginProcessingUrl("/login") // 表单提交的认证路径（默认就是/login，显式指定更清晰）
            .defaultSuccessUrl("/dashboard", true)
            .permitAll()
        )
        .logout(logout -> logout
            .logoutUrl("/logout")
            .logoutSuccessUrl("/login?logout")
            .permitAll()
        );
    return http.build();
}

步骤4：调试重定向流程

打开浏览器开发者工具（F12），查看网络请求标签，观察每次重定向的具体URL和状态码：

• 如果重定向链是/login -> /login -> /login，说明/login的GET请求被强制要求认证，回到步骤1和2排查。
• 如果重定向涉及静态资源路径，说明静态资源的匹配规则有问题，调整requestMatchers中的路径规则。

关于移除formLogin后出现403的原因 #

当你移除formLogin配置时，Spring Security会使用默认的表单登录机制，但默认的登录页面是Spring Security内置的路径，而你的配置中anyRequest().authenticated()会要求所有请求（包括你自定义的/login）需要认证，同时没有配置合法的登录入口，导致访问任何页面都会被拒绝，返回403。所以formLogin配置是必须的，它负责提供合法的登录入口和完整的认证流程。

内容来源于stack exchange