如果Spring Security位于类路径上，则默认情况下Web应用程序是安全的。 Spring Boot依赖于Spring Security的内容协商策略来确定是使用`httpBasic`还是`formLogin`。 要向Web应用程序添加方法级安全性，还可以使用所需设置添加`@EnableGlobalMethodSecurity`。 其他信息可以在[Spring Security Reference Guide](https://docs.spring.io/spring-security/site/docs/5.0.7.RELEASE/reference/htmlsingle#jc-method)中找到。 默认的UserDetailsService只有一个用户。 用户名是user，密码是随机的，在应用程序启动时以INFO级别打印，如以下示例所示： ~~~ Using generated security password: 78fa095d-3f4c-48b1-ad50-e24c31d5cf35 ~~~ >如果您对日志记录配置进行微调，请确保将`org.springframework.boot.autoconfigure.security`类别设置为记录INFO级别的消息。 否则，不会打印默认密码。 > 您可以通过提供`spring.security.user.name`和`spring.security.user.password`来更改用户名和密码。 您在Web应用程序中默认获得的基本功能包括： * `UserDetailsService`（或WebFlux应用程序中的`ReactiveUserDetailsService`）具有内存存储的bean和具有生成密码的单个用户（有关用户属性，请参阅`SecurityProperties.User`）。 * 基于表单的登录或HTTP基本安全性（取决于Content-Type），用于整个应用程序（如果执行器在类路径上，则包括执行器端点）。 * 用于发布身份验证事件的`DefaultAuthenticationEventPublisher`。 您可以通过为其添加bean来提供不同的`AuthenticationEventPublisher`。