Question

Spring Boot 自动配置让应用程序的安全工作变得易如反掌，你要做的只是添加 Security 起步依赖。以 Gradle 为例，应添加如下依赖：

compile("org.springframework.boot:spring-boot-starter-security")

如果使用 Maven，那么你要在项目的 <dependencies> 块中加入如下 <dependency> ：

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>

这样就搞定了！重新构建应用程序后运行即可，现在这就是一个安全的 Web 应用程序了！Security 起步依赖在应用程序的 Classpath 里添加了 Spring Secuirty（和其他一些东西）。Classpath 里有 Spring Security 后，自动配置就能介入其中创建一个基本的 Spring Security 配置。

试着在浏览器里打开该应用程序，你马上就会看到 HTTP 基础身份验证对话框。此处的用户名是 user，密码就有点麻烦了。密码是在应用程序每次运行时随机生成后写入日志的，你需要查找日志消息（默认写入标准输出），找到此类内容：

Using default security password: d9d8abe5-42b5-4f20-a32a-76ee3df658d9

我不能肯定，但我猜这个特定的安全配置并不是你的理想选择。首先，HTTP 基础身份验证对话框有点粗糙，对用户并不友好。而且，我敢打赌你一般不会开发这种只有一个用户的应用程序，而且他还要从日志文件里找到自己的密码。因此，你会希望修改 Spring Security 的一些配置，至少要有一个好看一些的登录页，还要有一个基于数据库或 LDAP（Lightweight Directory Access Protocol）用户存储的身份验证服务。

让我们看看如何写出 Spring Secuirty 配置，覆盖自动配置的安全设置吧。