當啟動 Spring Boot 應用時出現 Using generated security password xxx提示

當啟動 Spring Boot 應用時出現 Using generated security password xxx提示，這是 Spring Security 自動配置的默認行為，通常發生在你??未自定義安全配置??但引入了 Spring Security 依賴的場景下。以下是詳細解釋和解決方案：

??原因分析??

Spring Boot 的 spring-boot-starter-security依賴會自動啟用基礎的安全配置（自動配置類 SecurityAutoConfiguration）。當項目中??沒有顯式定義安全過濾器鏈（SecurityFilterChainBean）??時，Spring Security 會生成一個??臨時的默認用戶??用于測試，具體規則如下：

• ??用戶名??：默認是 user（可通過配置修改）。

• ??密碼??：隨機生成（每次啟動可能變化），并輸出到日志中（即你看到的 xxx）。

• ??認證方式??：默認啟用 HTTP Basic 認證（訪問任何端點需輸入用戶名+密碼）。

??常見場景??

你的項目可能滿足以下條件：

1. 引入了 spring-boot-starter-security依賴（例如 pom.xml或 build.gradle中包含該依賴）。

2. 沒有手動定義 SecurityFilterChainBean 來覆蓋默認配置。

??解決方案??

根據需求選擇以下方式之一，避免自動生成臨時密碼：

---

??方式 1：通過配置文件自定義用戶名和密碼（推薦開發環境）??

在 application.properties或 application.yml中顯式配置安全用戶信息，覆蓋默認的隨機密碼。

??示例（application.properties）：??

# 自定義用戶名
spring.security.user.name=admin
# 自定義密碼（生產環境需用強密碼）
spring.security.user.password=123456
# 可選：自定義角色（默認是 ROLE_USER）
spring.security.user.roles=ADMIN

??示例（application.yml）：??

spring:security:user:name: adminpassword: 123456roles: ADMIN

配置后重啟應用，日志將不再顯示隨機密碼，而是使用你定義的憑證。

---

??方式 2：完全自定義安全配置（推薦生產環境）??

通過編寫 SecurityFilterChainBean 完全覆蓋默認配置，靈活控制認證邏輯（如數據庫認證、OAuth2 等）。

??示例代碼（Java）：??

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;@Configuration
@EnableWebSecurity
public class SecurityConfig {@Beanpublic SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {http// 配置認證規則（示例：所有請求都需要認證）.authorizeHttpRequests(auth -> auth.anyRequest().authenticated())// 配置登錄方式（示例：表單登錄）.formLogin(form -> form.defaultSuccessUrl("/hello", true));return http.build();}
}

此時，Spring Security 不再生成默認用戶，你需要通過其他方式（如數據庫、內存用戶）配置認證信息。例如，添加內存用戶：

@Bean
public UserDetailsService userDetailsService() {UserDetails user = User.builder().username("admin").password(new BCryptPasswordEncoder().encode("123456")) // 密碼需加密.roles("ADMIN").build();return new InMemoryUserDetailsManager(user);
}

---

??方式 3：禁用默認安全配置（不推薦）??

如果不需要任何默認安全配置（例如僅想使用其他安全框架），可以通過 @SpringBootApplication(exclude = ...)排除 SecurityAutoConfiguration。

??示例：??

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration;@SpringBootApplication(exclude = SecurityAutoConfiguration.class)
public class YourApplication {public static void main(String[] args) {SpringApplication.run(YourApplication.class, args);}
}

??注意??：此方式會完全禁用 Spring Security，需自行處理所有安全邏輯（風險較高，除非明確需求）。

??生產環境注意事項??

• ??禁止使用隨機密碼??：自動生成的臨時密碼每次啟動會變化，且強度未知，生產環境必須使用??固定強密碼??（通過配置文件或 UserDetailsService配置）。

• ??啟用 HTTPS??：默認的 HTTP Basic 認證密碼通過明文傳輸（Base64 編碼可解碼），必須配合 HTTPS 加密。

• ??使用更安全的認證方式??：如 OAuth2、JWT、LDAP 等，避免簡單的內存用戶或固定密碼。

??總結??

Using generated security password是 Spring Security 的默認提示，說明未自定義安全配置。通過配置文件自定義用戶或編寫 SecurityFilterChainBean 即可解決，生產環境需加強認證安全。