### 28. 安全 如果添加了Spring Security的依賴，那么web應用默認對所有的HTTP路徑（也稱為終點，端點，表示API的具體網址）使用'basic'認證。為了給web應用添加方法級別（method-level）的保護，你可以添加`@EnableGlobalMethodSecurity`并使用想要的設置，其他信息參考[Spring Security Reference](http://docs.spring.io/spring-security/site/docs/4.1.3.RELEASE/reference/htmlsingle#jc-method)。 默認的`AuthenticationManager`只有一個用戶（'user'的用戶名和隨機密碼會在應用啟動時以INFO日志級別打印出來），如下： ```java Using default security password: 78fa095d-3f4c-48b1-ad50-e24c31d5cf35 ``` **注** 如果你對日志配置進行微調，確保`org.springframework.boot.autoconfigure.security`類別記錄日志級別為`INFO`，否則默認的密碼不會打印出來。 你可以通過設置`security.user.password`改變默認密碼，這些和其他有用的屬性通過[SecurityProperties](https://github.com/spring-projects/spring-boot/tree/v1.4.1.RELEASE/spring-boot-autoconfigure/src/main/java/org/springframework/boot/autoconfigure/security/SecurityProperties.java)（以"security"為前綴的屬性）被外部化了。 默認的安全配置是通過`SecurityAutoConfiguration`，`SpringBootWebSecurityConfiguration`（用于web安全），`AuthenticationManagerConfiguration`（可用于非web應用的認證配置）進行管理的。你可以添加一個`@EnableWebSecurity` bean來徹底關掉Spring Boot的默認配置。為了對它進行自定義，你需要使用外部的屬性配置和`WebSecurityConfigurerAdapter`類型的beans（比如，添加基于表單的登陸）。 想要關閉認證管理的配置，你可以添加一個`AuthenticationManager`類型的bean，或在`@Configuration`類的某個方法里注入`AuthenticationManagerBuilder`來配置全局的`AuthenticationManager`。這里有一些安全相關的[Spring Boot應用示例](https://github.com/spring-projects/spring-boot/tree/v1.4.1.RELEASE/spring-boot-samples/)可以拿來參考。 在web應用中你能得到的開箱即用的基本特性如下： 1. 一個使用內存存儲的`AuthenticationManager` bean和一個用戶（查看`SecurityProperties.User`獲取user的屬性）。 2. 忽略（不保護）常見的靜態資源路徑（`/css/**, /js/**, /images/**`，`/webjars/**`和 `**/favicon.ico`）。 3. 對其他所有路徑實施HTTP Basic安全保護。 4. 安全相關的事件會發布到Spring的`ApplicationEventPublisher`（成功和失敗的認證，拒絕訪問）。 5. Spring Security提供的常見底層特性（HSTS, XSS, CSRF, 緩存）默認都被開啟。 上述所有特性都能通過外部配置（`security.*`）打開，關閉，或修改。想要覆蓋訪問規則而不改變其他自動配置的特性，你可以添加一個注解`@Order(SecurityProperties.ACCESS_OVERRIDE_ORDER)`的`WebSecurityConfigurerAdapter`類型的`@Bean`。 **注** `WebSecurityConfigurerAdapter`默認會匹配所有路徑，如果不想完全覆蓋Spring Boot自動配置的訪問規則，你可以精確的配置想要覆蓋的路徑。