Spring Security 的默认设置可能令人困惑，常见问题包括：所有请求返回401，需要逐步放宽安全设置；POST 请求因默认启用 CSRF 保护而失败，需要禁用；即使使用 @CrossOrigin，前端也可能被阻止，需要在 SecurityFilterChain 中配置 CORS。理解这些默认设置的限制至关重要。