# 28.1 MVC安全

默认的安全配置由`SecurityAutoConfiguration`以及从其它地方导入的类（`SpringBootWebSecurityConfiguration`用于web安全，`AuthenticationManagerConfiguration`用于认证配置，也与非web应用相关）实现的。你可以添加一个`WebSecurityConfigurerAdapter`类型的bean，来彻底关掉默认的web应用安全配置（这样做不会禁用认证管理者配置或者Actuator的安全）。

为了关闭认证管理者配置，你可以添加`UserDetailsService`、`AuthenticationProvider`、或是`AuthenticationManager`类型的bean。在[Spring Boot示例](https://github.com/spring-projects/spring-boot/tree/v2.0.0.RELEASE/spring-boot-samples/)里有几个安全的应用，里面包含了一些常见用例。

访问规则可以通过添加自定义的`WebSecurityConfigurerAdapter`覆盖。Spring Boot提供了便捷的方法。它们可以用来覆盖执行器端点和静态资源的访问规则。`EndpointRequest`可以用来创建基于`management.endpoints.web.base-path`属性的`RequestMatcher`。`PathRequest`可以用来创建常用位置上的资源的`RequestMatcher`。