Spring Boot参考指南
Spring Boot参考指南
Introduction
I. Spring Boot文档
II. 开始
III. 使用Spring Boot
IV. Spring Boot特性
23. SpringApplication
24.外化配置
25. Profiles
26. 日志
27. 开发Web应用
28. 安全
28.1 MVC安全
28.2 WebFlux安全
28.3 OAuth2
28.4 执行器安全
29. 使用SQL数据库
30. 使用NoSQL技术
31. 缓存
32. 消息
33. 使用RestTemplate调用REST服务
34. 使用WebClient调用REST服务
35. 验证
36. 发送邮件
37. 使用JTA处理分布式事务
38. Hazelcast
39. Quartz调度器
40. Spring集成
41. Spring Session
42. 基于JMX的监控和管理
43. 测试
44. WebSockets
45. Web Services
46. 创建自己的自动配置
47. Kotlin支持
48. 接下来阅读什么
V. Spring Boot执行器:用于生产环境的特性
VI. 部署到云端
VII. Spring Boot CLI
VIII. 构建工具插件
IX. How-to指南
X.附录
GitBook 提供支持

28. 安全

如果Spring Security在类路径上,那么web应用默认是安全的。Spring Boot依靠Spring Security的内容协商策略,决定是使用httpBasic,还是formLogin。为了给web应用添加方法级别(method-level)的保护,你可以添加@EnableGlobalMethodSecurity并使用想要的设置。其它信息参考Spring Security参考指南

默认的AuthenticationManager只有一个用户。用户名是user,密码随机,会在应用启动时以INFO日志级别打印出来。如下:

Using generated security password: 78fa095d-3f4c-48b1-ad50-e24c31d5cf35

如果你对日志配置进行微调,确保org.springframework.boot.autoconfigure.security类别记录日志级别为INFO,否则默认的密码不会打印出来。

你可以通过提供spring.security.user.namespring.security.user.password,改变用户名和密码。

在web应用中,你默认能得到如下的基本特性:

  • 一个UserDetailsService(如果是WebFlux应用的话,则是ReactiveUserDetailsService)bean,存储在内存中。还有一个用户,用户的密码是生成的(关于这个用户的属性,请查看SecurityProperties.User)。

  • 应用在整个应用上的基于表单的登录或是HTTP Basic security(取决于Content-Type)。如果执行器在类路径上,则包含执行器端点。

  • 一个DefaultAuthenticationEventPublisher,用来发布认证事件。

你可以通过添加一个bean,为它提供一个不同的AuthenticationEventPublisher

以前
27.4.5 JSP的限制
下一个
28.1 MVC安全
最近更新 1 year ago