SpringBoot本地访问出现登录页怎么解决

本篇文章主要是结合我之前面试的各种经历和实战开发中遇到的问题解决经验整理的，希望这篇《Spring Boot本地访问出现登录页的解决方法》对你有很大帮助！欢迎收藏，分享给更多的需要的朋友学习~

理解Spring Boot的默认安全机制

当您在Spring Boot项目中引入了spring-boot-starter-security依赖（通常在创建项目时会默认勾选或在后续添加），Spring Boot会自动配置基本的安全认证机制。这意味着，为了保护您的应用程序，它会在首次启动时生成一个临时密码，并要求用户在访问任何受保护的端点（包括根路径/）时进行身份验证。

许多初学者在学习Spring Boot时，可能会发现教程中的示例可以直接访问localhost:8080而无需登录，这可能是因为：

1. 教程明确禁用了Spring Security。
2. 教程使用的是较旧的Spring Boot版本，其中默认安全配置的行为有所不同。
3. 教程的示例项目没有引入spring-boot-starter-security依赖。

因此，当您看到一个登录页面时，这并非错误，而是Spring Boot安全特性在发挥作用。

定位登录凭证

Spring Boot在启用默认安全时，会将用户名和自动生成的密码输出到应用程序的启动日志（通常是控制台）中。

• 用户名： 默认情况下，用户名是user。
• 密码： 密码是一个UUID格式的字符串，会在应用启动时动态生成并打印在控制台日志中。

您需要仔细查看应用程序启动时的控制台输出，寻找类似以下格式的日志信息：

2023-10-27 10:30:45.123 INFO 12345 --- [  restartedMain] o.s.s.web.DefaultSecurityFilterChain     : Using default security password: ce6c3d39-mf20-4w41-8e01-103166bb9nvc

在上述示例中，ce6c3d39-mf20-4w41-8e01-103166bb9nvc就是本次启动的临时密码。

如何访问您的应用

获取到用户名（user）和密码后，您就可以在浏览器弹出的登录框中使用它们进行身份验证。成功登录后，您将能够访问您的应用程序所提供的页面或API。

管理与配置Spring Boot安全

对于开发和学习目的，您可能希望暂时禁用默认安全或者配置一个固定的用户。以下是一些常见的配置方法：

1. 配置固定的用户名和密码

在src/main/resources/application.properties或application.yml文件中，您可以设置固定的用户名和密码。这样，每次启动应用时，密码都是您预设的值，而不会随机生成。

application.properties:

spring.security.user.name=admin
spring.security.user.password=mysecretpassword

application.yml:

spring:
  security:
    user:
      name: admin
      password: mysecretpassword

配置后，使用您设定的admin和mysecretpassword即可登录。

2. 临时禁用Spring Security

如果您在开发阶段不希望有任何安全限制，可以暂时禁用Spring Security的自动配置。请注意，这种方法不推荐用于生产环境。

在application.properties中添加：

spring.autoconfigure.exclude=org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration

或者，如果您的Spring Boot版本支持，也可以在主应用程序类上使用@SpringBootApplication(exclude = {SecurityAutoConfiguration.class})注解。

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration;

@SpringBootApplication(exclude = {SecurityAutoConfiguration.class})
public class YourApplication {
    public static void main(String[] args) {
        SpringApplication.run(YourApplication.class, args);
    }
}

禁用后，应用程序将不再要求登录即可访问。

3. 自定义安全配置（进阶）

对于更复杂的安全需求，您需要深入学习Spring Security框架，并创建自定义的安全配置类。这通常涉及到扩展WebSecurityConfigurerAdapter（在Spring Security 5.7+版本中已弃用，推荐使用SecurityFilterChain Bean）或配置SecurityFilterChain Bean，以定义认证方式、授权规则、表单登录页面等。

例如，一个简单的自定义配置可能如下（Spring Security 5.7+）：

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(authorize -> authorize
                .requestMatchers("/public/**").permitAll() // 允许访问/public路径
                .anyRequest().authenticated() // 其他所有请求都需要认证
            )
            .formLogin(form -> form
                .loginPage("/login") // 自定义登录页面
                .permitAll()
            )
            .logout(logout -> logout.permitAll()); // 允许所有用户登出
        return http.build();
    }
}

注意事项

• 生产环境安全： 在生产环境中，绝不能使用默认生成的密码或硬编码的弱密码。您应该采用更安全的认证机制，如数据库存储用户凭证、OAuth2、JWT等。
• 端口修改： 更改端口（例如从8080到8090）并不会影响Spring Security的默认行为。只要spring-boot-starter-security依赖存在，安全机制就会生效。

总结

当您在Spring Boot应用程序的localhost页面遇到登录提示时，请记住这通常是Spring Security默认行为的体现。解决办法是检查控制台日志以获取临时密码，或通过application.properties/application.yml配置固定的用户凭证，甚至在开发阶段暂时禁用安全。理解这些基本概念将帮助您更好地控制Spring Boot应用程序的安全行为。随着您的学习深入，掌握Spring Security的自定义配置将是构建健壮、安全的企业级应用的关键一步。

理论要掌握，实操不能落！以上关于《SpringBoot本地访问出现登录页怎么解决》的详细介绍，大家都掌握了吧！如果想要继续提升自己的能力，那么就来关注golang学习网公众号吧！