此版本仍在开发中，尚未被视为稳定版本。对于最新的稳定版本，请使用 Spring Security 6.4.1！spring-doc.cn

您好 Spring Security

本节介绍了如何将 Spring Security 与 Spring Boot 一起使用的最低设置。spring-doc.cn

完整的应用程序可以在我们的示例存储库中找到。为方便起见，您可以单击此处下载最小的 Spring Boot + Spring Security 应用程序。spring-doc.cn

更新依赖项

您需要做的唯一步骤是使用 Maven 或 Gradle 更新依赖项。spring-doc.cn

启动 Hello Spring Security Boot

现在，您可以使用 Maven 插件的目标运行 Spring Boot 应用程序。以下示例显示了如何执行此操作（以及执行此操作的输出的开头）：runspring-doc.cn

运行 Spring Boot 应用程序

$ ./mvn spring-boot:run
...
INFO 23689 --- [  restartedMain] .s.s.UserDetailsServiceAutoConfiguration :

Using generated security password: 8e557245-73e2-4286-969a-ff57fe326336

...

Spring Boot 自动配置

Spring Boot 自动：spring-doc.cn

启用 Spring Security 的默认配置，该配置将 Servlet 创建为名为的 Bean。此 Bean 负责应用程序中的所有安全性（保护应用程序 URL、验证提交的用户名和密码、重定向到登录表单等）。FilterspringSecurityFilterChainspring-doc.cn
创建一个 Bean，其用户名和随机生成的密码将记录到控制台中。UserDetailsServiceuserspring-doc.cn
为每个请求注册到 Servlet 容器中命名的 bean。FilterspringSecurityFilterChainspring-doc.cn

Spring Boot 的配置不多，但它做了很多。功能摘要如下：spring-doc.cn

需要经过身份验证的用户才能与应用程序进行任何交互spring-doc.cn
为您生成默认登录表单spring-doc.cn
允许具有的用户名和密码记录到控制台的用户使用基于表单的身份验证进行身份验证（在前面的示例中，密码为user8e557245-73e2-4286-969a-ff57fe326336)spring-doc.cn
使用 BCrypt 保护密码存储spring-doc.cn
允许用户注销spring-doc.cn
CSRF 攻击预防spring-doc.cn
Session Fixation 保护spring-doc.cn
安全标头集成spring-doc.cn
- 用于安全请求的 HTTP 严格传输安全性 spring-doc.cn
- X-Content-Type-Options 集成spring-doc.cn
- 缓存控制（稍后可由应用程序覆盖，以允许缓存静态资源）spring-doc.cn
- X-XSS-Protection 集成spring-doc.cn
- X-Frame-Options 集成有助于防止点击劫持 spring-doc.cn
与以下 Servlet API 方法集成：spring-doc.cn