Springboot Web应用中基于缺省配置启用Spring Security时的效果总结

本文链接：https://blog.youkuaiyun.com/andy_zhang2007/article/details/84774774

本文介绍如何在SpringBoot项目中快速启用SpringSecurity及其缺省配置细节，包括依赖添加、注解启用、缺省安全配置、过滤器、认证方式及URL地址等关键信息。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

前提: 本文假定你已经拥有一个使用 maven管理基于springboot 的web项目。

基于缺省配置启用`Spring Security`

假定你已经有了一个基于Springboot的Web应用，想启用Spring Security并使用缺省配置，以下是启用步骤 :

项目依赖中增加依赖spring-boot-starter-security;

        <!-- Spring Security 依赖 -->
        <dependency>
            <groupId>org.springframework.boot</groupId>
            <artifactId>spring-boot-starter-security</artifactId>
        </dependency>

添加注解@EnableWebSecurity启用Spring Security;

// 启用 web security  
@EnableWebSecurity  <========
@SpringBootApplication
public class Application {
    public static void main(String[] args) {
        SpringApplication.run(Application.class, args);
    }
}

都有哪些缺省配置表现

缺省情况使用的`web`安全配置

WebSecurityConfigurerAdapter是缺省使用的安全配置适配器。以下代码摘自WebSecurityConfigurerAdapter#getHttp方法,HttpSecurity http对象刚刚被创建之后。这段逻辑在缺省情况下被执行并最终生效。

	http
		.csrf().and()
		.addFilter(new WebAsyncManagerIntegrationFilter())
		.exceptionHandling().and()
		.headers().and()
		.sessionManagement().and()
		.securityContext().and()
		.requestCache().and()
		.anonymous().and()
		.servletApi().and()
		.apply(new DefaultLoginPageConfigurer<>()).and()
		.logout();

以下代码摘自WebSecurityConfigurerAdapter#configure方法。该方法在上面代码之后立即被执行，对HttpSecurity http对象补充更多设置。这段逻辑在缺省情况下被执行并最终生效。

	http
		.authorizeRequests()
			.anyRequest().authenticated().and()
		.formLogin().and()
		.httpBasic();

缺省启用的`Spring Security Filter`

名称
`WebAsyncManagerIntegrationFilter`
`SecurityContextPersistenceFilter`
`HeaderWriterFilter`
`CsrfFilter`
`LogoutFilter`
`UsernamePasswordAuthenticationFilter`
`DefaultLoginPageGeneratingFilter`
`DefaultLogoutPageGeneratingFilter`
`BasicAuthenticationFilter`
`RequestCacheAwareFilter`
`SecurityContextHolderAwareRequestFilter`
`AnonymousAuthenticationFilter`
`SessionManagementFilter`
`ExceptionTranslationFilter`
`FilterSecurityInterceptor`

缺省提供的认证方式

基于内存保持的一个用户账号

用户名称为 user
密码明文会在程序启动时显示在控制台上

例子 :

Using generated security password: 333166dc-91a6-4555-9adb-d632a2cb7e68

相应的UserDetailsService是一个InMemoryUserDetailsManager实例。
相应的AuthenticationManager是一个ProviderManager实例，它自己包含一个AuthenticationProvider:AnonymousAuthenticationProvider不支持用户名/密码表单认证，但它的双亲AuthenticationManager:ProviderManager包含了一个AuthenticationProvider:DaoAuthenticationProvider使用上面的用户名/密码支持用户名/密码认证。
相应的密码加密和比较器使用代理DelegatingPasswordEncoder，最终使用NoOpPasswordEncoder进行明文比较。

密码验证方式

缺省使用的URL地址

URL	功能
`GET /login`	登录页面展示包含一个登录表单的HTML页面，有两个输入框供用户输入`username`,`password`,一个`_csrf token`隐藏字段，和一个表单提交按钮, 表单提交地址是`POST /login` 表单提交的密码采用明文传输
`POST /login`	登录请求处理地址 1.登陆自动跳转:/ 2.登录失败自动跳转:`/login?error`
`GET /logout`	退出登录页面展示包含一个退出登录表单的HTML页面，有一个退出登录提示消息,一个`_csrf token`隐藏字段，和一个表单提交按钮表单提交地址是`POST /logout`
`POST /logout`	退出登录请求处理地址 1.退出登录成功自动跳转:`/login?logout`