当启动 Spring Boot 应用时出现 Using generated security password xxx提示

当启动 Spring Boot 应用时出现 Using generated security password xxx提示，这是 Spring Security 自动配置的默认行为，通常发生在你​​未自定义安全配置​​但引入了 Spring Security 依赖的场景下。以下是详细解释和解决方案：

​​原因分析​​

Spring Boot 的 spring-boot-starter-security依赖会自动启用基础的安全配置（自动配置类 SecurityAutoConfiguration）。当项目中​​没有显式定义安全过滤器链（SecurityFilterChainBean）​​时，Spring Security 会生成一个​​临时的默认用户​​用于测试，具体规则如下：

• ​​用户名​​：默认是 user（可通过配置修改）。

• ​​密码​​：随机生成（每次启动可能变化），并输出到日志中（即你看到的 xxx）。

• ​​认证方式​​：默认启用 HTTP Basic 认证（访问任何端点需输入用户名+密码）。

​​常见场景​​

你的项目可能满足以下条件：

1. 引入了 spring-boot-starter-security依赖（例如 pom.xml或 build.gradle中包含该依赖）。

2. 没有手动定义 SecurityFilterChainBean 来覆盖默认配置。

​​解决方案​​

根据需求选择以下方式之一，避免自动生成临时密码：

---

​​方式 1：通过配置文件自定义用户名和密码（推荐开发环境）​​

在 application.properties或 application.yml中显式配置安全用户信息，覆盖默认的随机密码。

​​示例（application.properties）：​​

# 自定义用户名
spring.security.user.name=admin
# 自定义密码（生产环境需用强密码）
spring.security.user.password=123456
# 可选：自定义角色（默认是 ROLE_USER）
spring.security.user.roles=ADMIN

​​示例（application.yml）：​​

spring:security:user:name: adminpassword: 123456roles: ADMIN

配置后重启应用，日志将不再显示随机密码，而是使用你定义的凭证。

---

​​方式 2：完全自定义安全配置（推荐生产环境）​​

通过编写 SecurityFilterChainBean 完全覆盖默认配置，灵活控制认证逻辑（如数据库认证、OAuth2 等）。

​​示例代码（Java）：​​

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;@Configuration
@EnableWebSecurity
public class SecurityConfig {@Beanpublic SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {http// 配置认证规则（示例：所有请求都需要认证）.authorizeHttpRequests(auth -> auth.anyRequest().authenticated())// 配置登录方式（示例：表单登录）.formLogin(form -> form.defaultSuccessUrl("/hello", true));return http.build();}
}

此时，Spring Security 不再生成默认用户，你需要通过其他方式（如数据库、内存用户）配置认证信息。例如，添加内存用户：

@Bean
public UserDetailsService userDetailsService() {UserDetails user = User.builder().username("admin").password(new BCryptPasswordEncoder().encode("123456")) // 密码需加密.roles("ADMIN").build();return new InMemoryUserDetailsManager(user);
}

---

​​方式 3：禁用默认安全配置（不推荐）​​

如果不需要任何默认安全配置（例如仅想使用其他安全框架），可以通过 @SpringBootApplication(exclude = ...)排除 SecurityAutoConfiguration。

​​示例：​​

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration;@SpringBootApplication(exclude = SecurityAutoConfiguration.class)
public class YourApplication {public static void main(String[] args) {SpringApplication.run(YourApplication.class, args);}
}

​​注意​​：此方式会完全禁用 Spring Security，需自行处理所有安全逻辑（风险较高，除非明确需求）。

​​生产环境注意事项​​

• ​​禁止使用随机密码​​：自动生成的临时密码每次启动会变化，且强度未知，生产环境必须使用​​固定强密码​​（通过配置文件或 UserDetailsService配置）。

• ​​启用 HTTPS​​：默认的 HTTP Basic 认证密码通过明文传输（Base64 编码可解码），必须配合 HTTPS 加密。

• ​​使用更安全的认证方式​​：如 OAuth2、JWT、LDAP 等，避免简单的内存用户或固定密码。

​​总结​​

Using generated security password是 Spring Security 的默认提示，说明未自定义安全配置。通过配置文件自定义用户或编写 SecurityFilterChainBean 即可解决，生产环境需加强认证安全。