默认的AuthenticationManager只有一个用户(’user’的用户名和随机密码会在应用启动时以INFO日志级别打印出来),如下:

    你可以通过设置security.user.password改变默认密码,这些和其他有用的属性通过(以”security”为前缀的属性)被外部化了。

    在web应用中你能得到的开箱即用的基本特性如下:

    1. 一个使用内存存储的AuthenticationManager bean和一个用户(查看SecurityProperties.User获取user的属性)。
    2. 对其他所有路径实施HTTP Basic安全保护。
    3. Spring Security提供的常见底层特性(HSTS, XSS, CSRF, 缓存)默认都被开启。

    默认会匹配所有路径,如果不想完全覆盖Spring Boot自动配置的访问规则,你可以精确的配置想要覆盖的路径。