一、集成与默认认证：

1、说明：在引入 Spring Security 项目之后，没有进行任何相关的配置或编码的情况下，Spring Security 有一个默认的运行状态，要求在经过 HTTP 基本认证后才能访问对应的 URL 资源，其默认使用的用户名为 user， 密码则是动态生成并打印到控制台的一串随机码。

2、demo验证：

（1）pom：只需要pom添加相关依赖，即完成默认集成功能

<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0"xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd"><modelVersion>4.0.0</modelVersion><groupId>com.demo.security</groupId><artifactId>security-demo</artifactId><version>1.0-SNAPSHOT</version><parent><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-parent</artifactId><version>2.1.14.RELEASE</version></parent><dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-test</artifactId><scope>test</scope></dependency><dependency><groupId>org.springframework</groupId><artifactId>spring-aop</artifactId></dependency><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-web</artifactId></dependency><dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-web</artifactId></dependency><dependency><groupId>org.springframework.security</groupId><artifactId>spring-security-config</artifactId></dependency></dependencies><build><plugins><plugin><groupId>org.apache.maven.plugins</groupId><artifactId>maven-compiler-plugin</artifactId><configuration><source>1.8</source><target>1.8</target></configuration></plugin><plugin><groupId>org.springframework.boot</groupId><artifactId>spring-boot-maven-plugin</artifactId></plugin></plugins></build></project>

（2）配置文件：

server.port=8089
//springboot2.0之后的路径配置写法
server.servlet.context-path=/securityDemo

（3）启动类：

@SpringBootApplication
public class StartApplication {public static void main(String args[]){SpringApplication.run(StartApplication.class,args);}
}

（4）controller：

@RestController
@RequestMapping("/user")
public class UserController {@RequestMapping("/test")public String test(){return "这是user test";}
}

2、默认配置：

（1）启动项目，可以看到后台打印

Using generated security password: 4f393758-019f-4084-8ddf-f387471edae6

（2）浏览器访问拟好的/user/test接口：http://localhost:8089/securityDemo/user/test

发现自动重定向到http://localhost:8089/login并且弹出登陆表单

用户名输入user，密码输入刚才控制台打印的一串密码，点击登陆后自动重定向：

如果输入错误的用户名或者密码，会自动跳转到error页面

3、指定身份：在 HTTP 基本认证中，用户名和密码都是可以配置的，最常见的就是在 resources 下的配置文件中修改，

重新启动程序，发现控制台不再打印默认密码串了，此时使用自定义的用户名和密码即可登录。

二、弊端：事实上，绝大部分 Web 应用都不会选择 HTTP 基本认证这种认证方式，安全性差、无法携带 cookie 、灵活性不足。通常选择表单认证，自己实现表单登录页和验证逻辑，从而提高安全性。