Spring Boot应用本地访问出现登录页面的原因与解决方案

理解Spring Boot的默认安全机制

当您在Spring Boot项目中引入了spring-boot-starter-security依赖（通常在创建项目时会默认勾选或在后续添加），Spring Boot会自动配置基本的安全认证机制。这意味着，为了保护您的应用程序，它会在首次启动时生成一个临时密码，并要求用户在访问任何受保护的端点（包括根路径/）时进行身份验证。

许多初学者在学习Spring Boot时，可能会发现教程中的示例可以直接访问localhost:8080而无需登录，这可能是因为：

1. 教程明确禁用了Spring Security。
2. 教程使用的是较旧的Spring Boot版本，其中默认安全配置的行为有所不同。
3. 教程的示例项目没有引入spring-boot-starter-security依赖。

因此，当您看到一个登录页面时，这并非错误，而是Spring Boot安全特性在发挥作用。

定位登录凭证

Spring Boot在启用默认安全时，会将用户名和自动生成的密码输出到应用程序的启动日志（通常是控制台）中。

• 用户名： 默认情况下，用户名是user。
• 密码： 密码是一个UUID格式的字符串，会在应用启动时动态生成并打印在控制台日志中。

您需要仔细查看应用程序启动时的控制台输出，寻找类似以下格式的日志信息：

2023-10-27 10:30:45.123 INFO 12345 --- [  restartedMain] o.s.s.web.DefaultSecurityFilterChain     : Using default security password: ce6c3d39-mf20-4w41-8e01-103166bb9nvc

在上述示例中，ce6c3d39-mf20-4w41-8e01-103166bb9nvc就是本次启动的临时密码。

如何访问您的应用

获取到用户名（user）和密码后，您就可以在浏览器弹出的登录框中使用它们进行身份验证。成功登录后，您将能够访问您的应用程序所提供的页面或API。

管理与配置Spring Boot安全

对于开发和学习目的，您可能希望暂时禁用默认安全或者配置一个固定的用户。以下是一些常见的配置方法：

1. 配置固定的用户名和密码

在src/main/resources/application.properties或application.yml文件中，您可以设置固定的用户名和密码。这样，每次启动应用时，密码都是您预设的值，而不会随机生成。

application.properties:

办公小浣熊

办公小浣熊是基于商汤大语言模型的原生数据分析产品，

460

查看详情

spring.security.user.name=admin
spring.security.user.password=mysecretpassword

application.yml:

spring:
  security:
    user:
      name: admin
      password: mysecretpassword

配置后，使用您设定的admin和mysecretpassword即可登录。

2. 临时禁用Spring Security

如果您在开发阶段不希望有任何安全限制，可以暂时禁用Spring Security的自动配置。请注意，这种方法不推荐用于生产环境。

在application.properties中添加：

spring.autoconfigure.exclude=org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration

或者，如果您的Spring Boot版本支持，也可以在主应用程序类上使用@SpringBootApplication(exclude = {SecurityAutoConfiguration.class})注解。

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration;

@SpringBootApplication(exclude = {SecurityAutoConfiguration.class})
public class YourApplication {
    public static void main(String[] args) {
        SpringApplication.run(YourApplication.class, args);
    }
}

禁用后，应用程序将不再要求登录即可访问。

3. 自定义安全配置（进阶）

对于更复杂的安全需求，您需要深入学习Spring Security框架，并创建自定义的安全配置类。这通常涉及到扩展WebSecurityConfigurerAdapter（在Spring Security 5.7+版本中已弃用，推荐使用SecurityFilterChain Bean）或配置SecurityFilterChain Bean，以定义认证方式、授权规则、表单登录页面等。

例如，一个简单的自定义配置可能如下（Spring Security 5.7+）：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authorize -> authorize
                .requestMatchers("/public/**").permitAll() // 允许访问/public路径
                .anyRequest().authenticated() // 其他所有请求都需要认证
            )
            .formLogin(form -> form
                .loginPage("/login") // 自定义登录页面
                .permitAll()
            )
            .logout(logout -> logout.permitAll()); // 允许所有用户登出
        return http.build();
    }
}

注意事项

• 生产环境安全： 在生产环境中，绝不能使用默认生成的密码或硬编码的弱密码。您应该采用更安全的认证机制，如数据库存储用户凭证、OAuth2、JWT等。
• 端口修改： 更改端口（例如从8080到8090）并不会影响Spring Security的默认行为。只要spring-boot-starter-security依赖存在，安全机制就会生效。

总结

当您在Spring Boot应用程序的localhost页面遇到登录提示时，请记住这通常是Spring Security默认行为的体现。解决办法是检查控制台日志以获取临时密码，或通过application.properties/application.yml配置固定的用户凭证，甚至在开发阶段暂时禁用安全。理解这些基本概念将帮助您更好地控制Spring Boot应用程序的安全行为。随着您的学习深入，掌握Spring Security的自定义配置将是构建健壮、安全的企业级应用的关键一步。

以上就是Spring Boot应用本地访问出现登录页面的原因与解决方案的详细内容，更多请关注php中文网其它相关文章！