Spring Boot应用启动后访问localhost出现登录页面的解决方案

本文旨在解决Spring Boot新手在启动应用后访问localhost:8080时遇到登录页面的困惑。当Spring Boot应用默认启用Spring Security时，会自动生成一个用户名（通常为user）和临时密码，并将其打印在控制台。用户需使用这些凭据登录才能访问应用程序内容。文章将详细解释这一机制，并提供获取凭据和禁用默认安全配置的方法，帮助开发者顺利进行开发。

1. 理解Spring Boot的默认安全机制

对于初次接触spring boot的开发者而言，在启动应用并尝试通过localhost:8080（或自定义端口）访问时，可能会意外地看到一个登录页面，而非预期的应用程序内容。这并非错误，而是spring boot的默认安全配置在起作用。

当项目中引入了spring-boot-starter-security依赖时，Spring Boot会自动启用Spring Security的默认配置。这包括：

• 基本认证（Basic Authentication）：为所有HTTP请求提供基本的安全保护。
• 默认登录页面：当未认证的请求访问受保护的资源时，会自动重定向到一个默认的登录页面。
• 自动生成临时密码：在应用程序启动时，Spring Security会为默认用户user生成一个唯一的临时密码，并将其输出到控制台日志中。

因此，即使更改了端口（例如从8080改为8090），由于安全配置是应用程序层面的行为，而非端口配置，所以登录页面依然会出现。

2. 获取默认登录凭据

要通过登录页面访问您的应用程序，您需要知道正确的用户名和密码。Spring Boot会将这些信息打印在应用程序的启动日志中。

用户名： 默认用户名为 user。

密码： 密码是一个随机生成的UUID（Universally Unique Identifier），您可以在应用程序启动时的控制台输出中找到它。通常，它会以类似以下格式的日志出现：

Using default security password: ce6c3d3d-mf20-4w41-8e01-103166bb9nvc

请仔细检查您的IDE（如IntelliJ IDEA）或命令行终端的控制台输出，找到这行日志，并复制其中的密码。

操作步骤：

1. 启动您的Spring Boot应用程序。
2. 切换到运行应用程序的控制台或日志窗口。
3. 向上滚动日志，查找包含“Using default security password:”的行。
4. 复制等号后面的一串字符，这就是您需要使用的临时密码。
5. 在浏览器中访问localhost:8080（或您的自定义端口），在弹出的登录框中使用用户名user和复制的密码进行登录。登录成功后，您将能够访问您的应用程序内容。

3. 在开发阶段禁用或自定义安全配置

在开发阶段，为了方便调试和快速迭代，开发者可能希望暂时禁用Spring Security的默认登录页面，或者自定义其行为。

3.1 临时禁用默认安全配置

如果您只是想在开发时避免登录页面，可以通过以下方式禁用Spring Security的自动配置：

方法一：通过 application.properties 或 application.yml 在您的 src/main/resources 目录下的 application.properties 文件中添加以下配置：

spring.autoconfigure.exclude=org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration

或者，如果是 application.yml：

spring:   autoconfigure:     exclude:       - org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration

添加此配置后，重新启动应用程序，Spring Security的默认自动配置将不会生效，您将可以直接访问应用程序内容而无需登录。

方法二：通过 @SpringBootApplication 注解 在您的主启动类（通常是包含 main 方法的类）上，修改 @SpringBootApplication 注解，排除安全自动配置：

import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; import org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration;  @SpringBootApplication(exclude = { SecurityAutoConfiguration.class }) public class YourApplication {     public static void main(String[] args) {         SpringApplication.run(YourApplication.class, args);     } }

这种方法同样可以禁用默认安全配置。

3.2 自定义安全配置（进阶）

在实际项目中，您通常不会完全禁用安全，而是会根据需求进行自定义。这通常涉及到创建自定义的 WebSecurityConfigurerAdapter 或 SecurityFilterChain bean。

例如，您可以配置允许特定路径无需认证即可访问：

import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.web.SecurityFilterChain;  @Configuration public class SecurityConfig {      @Bean     public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {         http             .authorizeHttpRequests(authorize -> authorize                 .requestMatchers("/", "/home", "/public/**").permitAll() // 允许这些路径无需认证                 .anyRequest().authenticated() // 其他所有请求都需要认证             )             .formLogin(form -> form                 .loginPage("/login") // 自定义登录页面路径                 .permitAll()             )             .logout(logout -> logout                 .permitAll());         return http.build();     } }

注意： 上述代码仅为示例，实际的Spring Security配置会根据您的具体需求和Spring Boot版本有所不同。在Spring Boot 2.7+版本中，推荐使用SecurityFilterChain Bean的方式进行配置。

4. 总结

当您在Spring Boot应用程序启动后遇到登录页面时，请记住这通常是Spring Security默认行为的体现，而非应用程序运行失败。解决此问题的关键在于：

1. 检查控制台日志：获取由Spring Security自动生成的临时密码。
2. 使用默认凭据登录：用户名通常为user，密码为日志中显示的UUID。
3. 根据需要调整安全配置：在开发阶段，您可以通过配置属性或排除自动配置来禁用默认安全。在生产环境中，您应该自定义Spring Security以满足您的安全需求。

理解并掌握Spring Boot的这一默认安全机制，将帮助您更顺畅地进行开发和调试。