Web 應用程式安全

use-authorization-manager 使用 AuthorizationManager API 而不是 SecurityMetadataSource（預設為 true）

use-authorization-manager 使用此 AuthorizationManager 而不是從 <intercept-url> 元素派生一個

access-decision-manager-ref 可選屬性，指定應用於授權 HTTP 請求的 AccessDecisionManager 實現的 ID。預設情況下，使用帶有 RoleVoter 和 AuthenticatedVoter 的 AffirmativeBased 實現。

authentication-manager-ref 引用此 http 元素建立的 FilterChain 所使用的 AuthenticationManager。

observation-registry-ref 對用於 FilterChain 和相關元件的 ObservationRegistry 的引用。

auto-config 自動註冊登入表單、基本認證、登出服務。如果設定為 "true"，則新增所有這些功能（儘管您仍然可以透過提供相應的元素來定製每個配置）。如果未指定，則預設為 "false"。不建議使用此屬性。請使用顯式配置元素以避免混淆。

create-session 控制 Spring Security 類建立 HTTP 會話的急切程度。選項包括

disable-url-rewriting 阻止會話 ID 附加到應用程式中的 URL。如果此屬性設定為 true，客戶端必須使用 cookie。預設值為 true。

entry-point-ref 通常，使用的 AuthenticationEntryPoint 將根據已配置的認證機制進行設定。此屬性允許透過定義一個定製的 AuthenticationEntryPoint bean 來覆蓋此行為，該 bean 將啟動認證過程。

jaas-api-provision 如果可用，則將請求作為從 JaasAuthenticationToken 獲取的 Subject 執行，這是透過將 JaasApiIntegrationFilter bean 新增到堆疊中來實現的。預設為 false。

name bean 識別符號，用於在上下文的其他地方引用該 bean。

once-per-request 對應於 FilterSecurityInterceptor 的 observeOncePerRequest 屬性。預設為 false。

filter-all-dispatcher-types 對應於 AuthorizationFilter 的 shouldFilterAllDispatcherTypes 屬性。當 use-authorization-manager=false 時無效。預設為 true。

pattern 定義 http 元素的模式控制將透過它定義的過濾器列表進行過濾的請求。解釋取決於配置的 request-matcher。如果沒有定義模式，所有請求都將被匹配，因此最具體的模式應該首先宣告。

realm 設定用於基本認證的領域名稱（如果啟用）。對應於 BasicAuthenticationEntryPoint 上的 realmName 屬性。

redirect-to-https-request-matcher-ref 引用一個實現 RequestMatcher 的 bean，該 bean 將確定哪些請求必須重定向到 HTTPS。這在例如希望在本地執行 HTTP 和在生產環境中使用請求頭執行 HTTPS 時很有用。

request-matcher 定義 FilterChainProxy 和 intercept-url 建立的 bean 中用於匹配傳入請求的 RequestMatcher 策略。選項當前為 mvc、ant、regex 和 ciRegex，分別對應 Spring MVC、ant、正則表示式和不區分大小寫的正則表示式。為每個 intercept-url 元素使用其 pattern、method 和 servlet-path 屬性建立單獨的例項。預設情況下，路徑使用 PathPatternRequestMatcher 匹配；但是，正則表示式使用 RegexRequestMatcher 匹配。有關這些類如何執行匹配的詳細資訊，請參閱 Javadoc。如果 Spring MVC 存在於類路徑中，則 MVC 是預設策略，否則使用 Ant 路徑。

request-matcher-ref 引用一個實現 RequestMatcher 的 bean，該 bean 將確定是否應使用此 FilterChain。這是 pattern 的更強大替代方案。

security 透過將此屬性設定為 none，請求模式可以對映到空過濾器鏈。將不應用任何安全措施，並且 Spring Security 的任何功能都將不可用。

security-context-repository-ref 允許將自定義 SecurityContextHolderStrategy 注入到 SecurityContextPersistenceFilter、SecurityContextHolderFilter、BasicAuthenticationFilter、UsernamePasswordAuthenticationFilter、ExceptionTranslationFilter、LogoutFilter 等中。

security-context-explicit-save 如果為 true，則使用 SecurityContextHolderFilter 而不是 SecurityContextPersistenceFilter。需要顯式儲存

security-context-repository-ref 允許將自定義 SecurityContextRepository 注入到 SecurityContextPersistenceFilter 中。

servlet-api-provision 提供 HttpServletRequest 安全方法（如 isUserInRole() 和 getPrincipal()）的版本，這些方法透過將 SecurityContextHolderAwareRequestFilter bean 新增到堆疊中來實現。預設為 true。

use-expressions 啟用 access 屬性中的 EL 表示式，如關於基於表示式的訪問控制的章節所述。預設值為 true。

access-denied-handler

anonymous

cors

csrf

custom-filter

expression-handler

form-login

headers

http-basic

intercept-url

jee

logout

oauth2-client

oauth2-login

oauth2-resource-server

password-management

port-mappings

remember-me

request-cache

saml2-login

saml2-logout

session-management

x509

http

error-page 如果已認證使用者請求他們無權訪問的頁面，則將重定向到的訪問拒絕頁面。

ref 定義對 AccessDeniedHandler 型別的 Spring bean 的引用。

ref 可選屬性，指定 CorsFilter 的 bean 名稱。

cors-configuration-source-ref 可選屬性，指定要注入到 XML 名稱空間建立的 CorsFilter 中的 CorsConfigurationSource 的 bean 名稱。

http

defaults-disabled 可選屬性，指定停用 Spring Security 的預設 HTTP 響應頭。預設值為 false（包含預設頭）。

disabled 可選屬性，指定停用 Spring Security 的 HTTP 響應頭。預設值為 false（啟用頭）。

http

cache-control

content-security-policy

content-type-options

cross-origin-embedder-policy

cross-origin-opener-policy

cross-origin-resource-policy

feature-policy

frame-options

header

hpkp

hsts

permission-policy

referrer-policy

xss-protection

disabled 指定是否應停用快取控制。預設值為 false。

headers

disabled 指定是否應停用 Strict-Transport-Security。預設值為 false。

include-sub-domains 指定是否應包含子域。預設值為 true。

max-age-seconds 指定主機應被視為已知 HSTS 主機的最長時間。預設值為一年。

request-matcher-ref 用於確定是否應設定頭的 RequestMatcher 例項。預設值為 HttpServletRequest.isSecure() 為 true 時。

preload 指定是否應包含預載入。預設值為 false。

headers

disabled 指定是否應停用 HTTP 公鑰固定 (HPKP)。預設值為 true。

include-sub-domains 指定是否應包含子域。預設值為 false。

max-age-seconds 設定 Public-Key-Pins 頭 max-age 指令的值。預設值為 60 天。

report-only 指定瀏覽器是否只報告 pin 驗證失敗。預設值為 true。

report-uri 指定瀏覽器應向其報告 pin 驗證失敗的 URI。

headers

pin

algorithm 加密雜湊演算法。預設值為 SHA256。

pins

policy-directives Content-Security-Policy 頭的安全策略指令，如果 report-only 設定為 true，則使用 Content-Security-Policy-Report-Only 頭。

report-only 設定為 true，以啟用 Content-Security-Policy-Report-Only 頭，僅用於報告策略違規。預設為 false。

headers

policy Referrer-Policy 頭的策略。預設值為 "no-referrer"。

headers

policy-directives Feature-Policy 頭的安全策略指令。

headers

disabled 如果停用，將不包含 X-Frame-Options 頭。預設值為 false。

policy

headers

policy 要寫入 Permissions-Policy 頭的策略值

headers

xss-protection-disabled 不包含用於 反射式 / 型別 1 跨站指令碼 (XSS) 保護的頭。

xss-protection-header-value 顯式設定用於 反射式 / 型別 1 跨站指令碼 (XSS) 頭的實際值。選項之一："0"、"1"、"1; mode=block"。預設為 "0"。

headers

disabled 指定是否應停用內容型別選項。預設值為 false。

headers

header-name 頭的 name。

value 要新增的頭的 value。

ref 引用 HeaderWriter 介面的自定義實現。

headers

http

enabled 預設名稱空間設定下，匿名“認證”功能會自動啟用。您可以使用此屬性停用它。

granted-authority 應分配給匿名請求的授權。通常，這用於為匿名請求分配特定角色，這些角色隨後可用於授權決策。如果未設定，則預設為 ROLE_ANONYMOUS。

key 提供者和過濾器之間共享的金鑰。這通常不需要設定。如果未設定，它將預設為安全隨機生成的值。這意味著設定此值可以縮短使用匿名功能時的啟動時間，因為安全隨機值可能需要一段時間才能生成。

username 應分配給匿名請求的使用者名稱。這允許識別主體，這對於日誌記錄和審計可能很重要。如果未設定，則預設為 anonymousUser。

http

disabled 可選屬性，指定停用 Spring Security 的 CSRF 保護。預設值為 false（啟用 CSRF 保護）。強烈建議保持啟用 CSRF 保護。

token-repository-ref 要使用的 CsrfTokenRepository。預設值為 HttpSessionCsrfTokenRepository。

request-handler-ref 可選的 CsrfTokenRequestHandler。預設值為 CsrfTokenRequestAttributeHandler。

request-matcher-ref 用於確定是否應應用 CSRF 的 RequestMatcher 例項。預設值為除 "GET"、"TRACE"、"HEAD"、"OPTIONS" 之外的任何 HTTP 方法。

http

after 自定義過濾器應放置在鏈中緊隨其後的過濾器。此功能僅供希望將自己的過濾器混入安全過濾器鏈並對標準 Spring Security 過濾器有所瞭解的高階使用者使用。過濾器名稱對映到特定的 Spring Security 實現過濾器。

before 自定義過濾器應放置在鏈中緊隨其前的過濾器

position 自定義過濾器應放置在鏈中的明確位置。如果您要替換標準過濾器，請使用此項。

ref 定義對實現 Filter 的 Spring bean 的引用。

global-method-security

http

method-security

websocket-message-broker

ref 定義對實現 SecurityExpressionHandler 的 Spring bean 的引用。

http

always-use-default-target 如果設定為 true，無論使用者如何到達登入頁面，他們將始終從 default-target-url 給定的值開始。對映到 UsernamePasswordAuthenticationFilter 的 alwaysUseDefaultTargetUrl 屬性。預設值為 false。

authentication-details-source-ref 引用一個 AuthenticationDetailsSource，它將被認證過濾器使用。

authentication-failure-handler-ref 可以作為 authentication-failure-url 的替代，讓您在認證失敗後完全控制導航流程。該值應該是應用程式上下文中 AuthenticationFailureHandler bean 的名稱。

authentication-failure-url 對映到 UsernamePasswordAuthenticationFilter 的 authenticationFailureUrl 屬性。定義登入失敗時瀏覽器將重定向到的 URL。預設為 /login?error，它將由自動登入頁面生成器自動處理，重新渲染帶有錯誤訊息的登入頁面。

authentication-success-handler-ref 這可以作為 default-target-url 和 always-use-default-target 的替代，讓您在成功認證後完全控制導航流程。該值應該是應用程式上下文中 AuthenticationSuccessHandler bean 的名稱。預設情況下，使用 SavedRequestAwareAuthenticationSuccessHandler 的實現，並注入 default-target-url。

default-target-url 對映到 UsernamePasswordAuthenticationFilter 的 defaultTargetUrl 屬性。如果未設定，預設值為 "/"（應用程式根）。使用者在登入後將被帶到此 URL，前提是他們在嘗試訪問受保護資源時未被要求登入，此時他們將被帶到最初請求的 URL。

login-page 用於渲染登入頁面的 URL。對映到 LoginUrlAuthenticationEntryPoint 的 loginFormUrl 屬性。預設為 "/login"。

login-processing-url 對映到 UsernamePasswordAuthenticationFilter 的 filterProcessesUrl 屬性。預設值為 "/login"。

password-parameter 包含密碼的請求引數名稱。預設為 "password"。

username-parameter 包含使用者名稱的請求引數名稱。預設為 "username"。

authentication-success-forward-url 將 ForwardAuthenticationSuccessHandler 對映到 UsernamePasswordAuthenticationFilter 的 authenticationSuccessHandler 屬性。

authentication-failure-forward-url 將 ForwardAuthenticationFailureHandler 對映到 UsernamePasswordAuthenticationFilter 的 authenticationFailureHandler 屬性。

http

client-registration-repository-ref 引用 ClientRegistrationRepository。

authorized-client-repository-ref 引用 OAuth2AuthorizedClientRepository。

authorized-client-service-ref 引用 OAuth2AuthorizedClientService。

authorization-request-repository-ref 引用 AuthorizationRequestRepository。

authorization-request-resolver-ref 引用 OAuth2AuthorizationRequestResolver。

authorization-redirect-strategy-ref 引用授權 RedirectStrategy。

access-token-response-client-ref 引用 OAuth2AccessTokenResponseClient。

user-authorities-mapper-ref 引用 GrantedAuthoritiesMapper。

user-service-ref 引用 OAuth2UserService。

oidc-user-service-ref 引用 OpenID Connect OAuth2UserService。

login-processing-url 過濾器處理認證請求的 URI。

login-page 傳送使用者登入的 URI。

authentication-success-handler-ref 引用 AuthenticationSuccessHandler。

authentication-failure-handler-ref 引用 AuthenticationFailureHandler。

jwt-decoder-factory-ref 引用 OidcAuthorizationCodeAuthenticationProvider 使用的 JwtDecoderFactory。

http

client-registration-repository-ref 引用 ClientRegistrationRepository。

authorized-client-repository-ref 引用 OAuth2AuthorizedClientRepository。

authorized-client-service-ref 引用 OAuth2AuthorizedClientService。

authorization-code-grant

oauth2-client

authorization-request-repository-ref 引用 AuthorizationRequestRepository。

authorization-redirect-strategy-ref 引用授權 RedirectStrategy。

authorization-request-resolver-ref 引用 OAuth2AuthorizationRequestResolver。

access-token-response-client-ref 引用 OAuth2AccessTokenResponseClient。

client-registration

provider

client-registrations

registration-id 唯一標識 ClientRegistration 的 ID。

client-id 客戶端識別符號。

client-secret 客戶端金鑰。

client-authentication-method 用於向提供者認證客戶端的方法。支援的值為 client_secret_basic、client_secret_post、private_key_jwt、client_secret_jwt 和 none (公共客戶端)。

authorization-grant-type OAuth 2.0 授權框架定義了四種 授權型別。支援的值為 authorization_code、client_credentials、password，以及擴充套件授權型別 urn:ietf:params:oauth:grant-type:jwt-bearer。

redirect-uri 客戶端註冊的重定向 URI，授權伺服器 在終端使用者認證並授權客戶端訪問後將終端使用者的使用者代理重定向到該 URI。

scope 客戶端在授權請求流程中請求的範圍，例如 openid、email 或 profile。

client-name 客戶端的描述性名稱。該名稱可在某些場景中使用，例如在自動生成的登入頁面中顯示客戶端名稱。

provider-id 對關聯提供者的引用。可以引用 <provider> 元素或使用常見的提供者之一（google、github、facebook、okta）。

client-registrations

provider-id 唯一標識提供者的 ID。

authorization-uri 授權伺服器的授權端點 URI。

token-uri 授權伺服器的令牌端點 URI。

user-info-uri 用於訪問已認證終端使用者宣告/屬性的 UserInfo 端點 URI。

user-info-authentication-method 將訪問令牌傳送到 UserInfo 端點時使用的認證方法。支援的值為 header、form 和 query。

user-info-user-name-attribute UserInfo 響應中返回的屬性名稱，該屬性引用終端使用者的名稱或識別符號。

jwk-set-uri 用於從授權伺服器檢索 JSON Web Key (JWK) 集的 URI，該集包含用於驗證 ID 令牌以及可選的 UserInfo 響應的 JSON Web 簽名 (JWS) 的加密金鑰。

issuer-uri 用於最初使用 OpenID Connect 提供者的 配置端點 或授權伺服器的 元資料端點 發現來配置 ClientRegistration 的 URI。

http

jwt

opaque-token

authentication-manager-resolver-ref 引用一個 AuthenticationManagerResolver，它將在請求時解析 AuthenticationManager。

bearer-token-resolver-ref 引用一個 BearerTokenResolver，它將從請求中檢索不記名令牌。這不能與 authentication-converter-ref 結合使用。

entry-point-ref 引用一個 AuthenticationEntryPoint，它將處理未經授權的請求。

authentication-converter-ref 引用一個 AuthenticationConverter，它將請求轉換為認證。這不能與 bearer-token-resolver-ref 結合使用。

oauth2-resource-server

jwt-authentication-converter-ref 引用 Converter<Jwt, AbstractAuthenticationToken>

jwt-decoder-ref 引用 JwtDecoder。這是一個更大的元件，它會覆蓋 jwk-set-uri。

jwk-set-uri 用於從 OAuth 2.0 授權伺服器載入簽名驗證金鑰的 JWK Set Uri。

oauth2-resource-server

introspector-ref 引用一個 OpaqueTokenIntrospector。這是一個更大的元件，它會覆蓋 introspection-uri、client-id 和 client-secret。

introspection-uri 用於內省不透明令牌詳細資訊的內省 URI。應與 client-id 和 client-secret 一起使用。

client-id 用於針對提供的 introspection-uri 進行客戶端認證的客戶端 ID。

client-secret 用於針對提供的 introspection-uri 進行客戶端認證的客戶端金鑰。

authentication-converter-ref 引用一個 OpaqueTokenAuthenticationConverter。負責將成功的內省結果轉換為 Authentication 例項。

id 唯一標識 RelyingPartyRegistrationRepository 的 ID。

asserting-party

relying-party-registration

relying-party-registrations

registration-id 唯一標識 RelyingPartyRegistration 的 ID。

metadata-location 斷言方元資料位置。

client-id 依賴方的 EntityID。

assertion-consumer-service-location AssertionConsumerService Location。等同於依賴方的 <SPSSODescriptor> 中 <AssertionConsumerService Location="…​"/> 的值。

assertion-consumer-service-binding AssertionConsumerService Binding。等同於依賴方的 <SPSSODescriptor> 中 <AssertionConsumerService Binding="…​"/> 的值。支援的值為 POST 和 REDIRECT。

single-logout-service-location SingleLogoutService Location。等同於依賴方的 <SPSSODescriptor> 中 <SingleLogoutService Location="…​"/> 的值。

single-logout-service-response-location SingleLogoutService ResponseLocation。等同於依賴方的 <SPSSODescriptor> 中 <SingleLogoutService ResponseLocation="…​"/> 的值。

single-logout-service-binding SingleLogoutService Binding。等同於依賴方的 <SPSSODescriptor> 中 <SingleLogoutService Binding="…​"/> 的值。支援的值為 POST 和 REDIRECT。

asserting-party-id 對關聯斷言方的引用。必須引用 <asserting-party> 元素。

decryption-credential

signing-credential

relying-party-registration

certificate-location 獲取證書的位置

private-key-location 獲取依賴方私鑰的位置

relying-party-registration

certificate-location 獲取此證書的位置

private-key-location 獲取依賴方私鑰的位置

relying-party-registrations

asserting-party-id 唯一標識斷言方的 ID。

entity-id 斷言方的 EntityID。

want-authn-requests-signed WantAuthnRequestsSigned 設定，指示斷言方偏好依賴方在傳送 AuthnRequest 之前對其進行簽名。

single-sign-on-service-location SingleSignOnService 位置。

single-sign-on-service-binding SingleSignOnService 繫結。支援的值為 POST 和 REDIRECT。

signing-algorithms 此斷言方的 org.opensaml.saml.ext.saml2alg.SigningMethod 演算法列表，按優先順序排序。

single-logout-service-location SingleLogoutService Location。等同於斷言方的 <IDPSSODescriptor> 中 <SingleLogoutService Location="…​"/> 的值。

single-logout-service-response-location SingleLogoutService ResponseLocation。等同於斷言方的 <IDPSSODescriptor> 中 <SingleLogoutService ResponseLocation="…​"/> 的值。

single-logout-service-binding SingleLogoutService Binding。等同於斷言方的 <IDPSSODescriptor> 中 <SingleLogoutService Binding="…​"/> 的值。支援的值為 POST 和 REDIRECT。

encryption-credential

verification-credential

asserting-party

certificate-location 獲取證書的位置

private-key-location 獲取依賴方私鑰的位置

asserting-party

certificate-location 獲取此證書的位置

private-key-location 獲取依賴方私鑰的位置

http

authentication-details-source-ref 引用一個 AuthenticationDetailsSource，它將被認證過濾器使用。

entry-point-ref 設定 BasicAuthenticationFilter 使用的 AuthenticationEntryPoint。

ref 定義對實現 HttpFirewall 的 Spring bean 的引用。

filter-security-metadata-source

http

access 列出將儲存在 FilterInvocationSecurityMetadataSource 中用於定義的 URL 模式/方法組合的訪問屬性。這應該是一個逗號分隔的安全配置屬性列表（例如角色名稱）。

method 將與模式和 servlet 路徑（可選）結合使用以匹配傳入請求的 HTTP 方法。如果省略，任何方法都將匹配。如果指定了相同模式但帶方法和不帶方法，則帶方法的匹配將優先。

pattern 定義 URL 路徑的模式。內容將取決於包含 http 元素的 request-matcher 屬性，因此如果 Spring MVC 在類路徑中，則預設為 MVC 匹配器。

request-matcher-ref 引用一個 RequestMatcher，它將用於確定是否使用此 <intercept-url>。

requires-channel 可以是 "http" 或 "https"，具體取決於特定的 URL 模式應透過 HTTP 還是 HTTPS 訪問。或者，當沒有偏好時，可以使用值 "any"。如果任何 <intercept-url> 元素上存在此屬性，則 ChannelProcessingFilter 將被新增到過濾器堆疊中，並且其附加依賴項將新增到應用程式上下文中。

servlet-path 將與模式和 HTTP 方法結合使用以匹配傳入請求的 servlet 路徑。此屬性僅在 request-matcher 為 'mvc' 時適用。此外，僅在以下 2 種情況下需要該值：1) ServletContext 中註冊了 2 個或更多 HttpServlet，它們的對映以 '/' 開頭且不同；2) 模式以註冊的 HttpServlet 路徑的相同值開頭，不包括預設（根）HttpServlet '/'。

http

mappable-roles 一個逗號分隔的角色列表，用於在傳入的 HttpServletRequest 中查詢。

user-service-ref 引用一個使用者服務（或 UserDetailsService bean）ID。

http

delete-cookies 使用者登出時應刪除的 cookie 名稱的逗號分隔列表。

invalidate-session 對映到 SecurityContextLogoutHandler 的 invalidateHttpSession。預設為 "true"，因此會話將在登出時失效。

logout-success-url 使用者登出後將重定向到的目標 URL。預設為 <form-login-login-page>/?logout (即 /login?logout)

logout-url 將導致登出的 URL（即將被過濾器處理的 URL）。預設為 "/logout"。

success-handler-ref 可用於提供 LogoutSuccessHandler 例項，該例項將在登出後呼叫以控制導航。

http

relying-party-registration-repository-ref 引用 RelyingPartyRegistrationRepository。

authentication-request-repository-ref 引用 Saml2AuthenticationRequestRepository。

authentication-request-context-resolver-ref 引用 Saml2AuthenticationRequestResolver。

authentication-converter-ref 引用 AuthenticationConverter。

login-processing-url 過濾器處理認證請求的 URI。

login-page 傳送使用者登入的 URI。

authentication-success-handler-ref 引用 AuthenticationSuccessHandler。

authentication-failure-handler-ref 引用 AuthenticationFailureHandler。

authentication-manager-ref 引用 AuthenticationManager。

http

logout-url 依賴方或斷言方可以觸發登出的 URL。

logout-request-url 斷言方可以傳送 SAML 2.0 登出請求的 URL。

logout-response-url 斷言方可以傳送 SAML 2.0 登出響應的 URL。

relying-party-registration-repository-ref 引用 RelyingPartyRegistrationRepository。

logout-request-validator-ref 引用 Saml2LogoutRequestValidator。

logout-request-resolver-ref 引用 Saml2LogoutRequestResolver。

logout-request-repository-ref 引用 Saml2LogoutRequestRepository。

logout-response-validator-ref 引用 Saml2LogoutResponseValidator。

logout-response-resolver-ref 引用 Saml2LogoutResponseResolver。

http

change-password-page 更改密碼頁面。預設為 "/change-password"。

http

port-mapping

port-mappings

http 要使用的 http 埠。

https 要使用的 https 埠。

http

authentication-success-handler-ref 如果需要自定義導航，則設定 RememberMeAuthenticationFilter 上的 authenticationSuccessHandler 屬性。該值應為應用程式上下文中 AuthenticationSuccessHandler bean 的名稱。

data-source-ref 對 DataSource bean 的引用。如果設定此項，將使用 PersistentTokenBasedRememberMeServices 並配置一個 JdbcTokenRepositoryImpl 例項。

remember-me-parameter 切換記住我認證的請求引數名稱。預設為 "remember-me"。對映到 AbstractRememberMeServices 的 "parameter" 屬性。

remember-me-cookie 儲存記住我認證令牌的 cookie 名稱。預設為 "remember-me"。對映到 AbstractRememberMeServices 的 "cookieName" 屬性。

key 對映到 AbstractRememberMeServices 的 "key" 屬性。應該設定為一個唯一值，以確保記住我 (remember-me) cookie 僅在同一個應用程式中有效 ^[3]。如果未設定，將生成一個安全的隨機值。由於生成安全的隨機值可能需要一段時間，因此在使用記住我功能時，明確設定此值有助於縮短啟動時間。

services-alias 將內部定義的 RememberMeServices 匯出為 bean 別名，允許應用程式上下文中的其他 bean 使用它。

services-ref 允許完全控制過濾器將使用的 RememberMeServices 實現。該值應該是應用程式上下文中實現此介面的 bean 的 id。如果使用了登出過濾器，也應該實現 LogoutHandler。

token-repository-ref 配置 PersistentTokenBasedRememberMeServices，但允許使用自定義的 PersistentTokenRepository bean。

token-validity-seconds 對映到 AbstractRememberMeServices 的 tokenValiditySeconds 屬性。指定記住我 cookie 的有效期（以秒為單位）。預設情況下，它將有效 14 天。

use-secure-cookie 建議記住我 cookie 僅透過 HTTPS 提交，因此應標記為“安全”。預設情況下，如果發出登入請求的連線是安全的（也應該是安全的），則將使用安全 cookie。如果將此屬性設定為 false，則不會使用安全 cookie。將其設定為 true 將始終在 cookie 上設定安全標誌。此屬性對映到 AbstractRememberMeServices 的 useSecureCookie 屬性。

user-service-ref 記住我服務實現需要訪問 UserDetailsService，因此必須在應用程式上下文中定義一個。如果只有一個，它將由名稱空間配置自動選擇和使用。如果有多個例項，您可以使用此屬性明確指定 bean id。

http

ref 定義對作為 RequestCache 的 Spring bean 的引用。

http

authentication-strategy-explicit-invocation 將此屬性設定為 true 意味著不會注入 SessionManagementFilter，並且需要顯式呼叫 SessionAuthenticationStrategy。

invalid-session-url 設定此屬性將為 SessionManagementFilter 注入一個配置了屬性值的 SimpleRedirectInvalidSessionStrategy。當提交無效會話 ID 時，將呼叫此策略，重定向到配置的 URL。

invalid-session-url 允許注入 SessionManagementFilter 使用的 InvalidSessionStrategy 例項。使用此屬性或 invalid-session-url 屬性，但不能同時使用兩者。

session-authentication-error-url 定義當 SessionAuthenticationStrategy 丟擲異常時應顯示的錯誤頁面 URL。如果未設定，將向客戶端返回未經授權 (401) 錯誤程式碼。請注意，如果錯誤發生在基於表單的登入期間，則此屬性不適用，因為身份驗證失敗的 URL 將優先。

session-authentication-strategy-ref 允許注入 SessionManagementFilter 使用的 SessionAuthenticationStrategy 例項

session-fixation-protection 指示使用者身份驗證時如何應用會話固定保護。如果設定為 "none"，則不應用任何保護。"newSession" 將建立一個新的空會話，僅遷移 Spring Security 相關屬性。"migrateSession" 將建立一個新會話並將所有會話屬性複製到新會話。在 Servlet 3.1 (Java EE 7) 及更高版本的容器中，指定 "changeSessionId" 將保留現有會話並使用容器提供的會話固定保護 (HttpServletRequest#changeSessionId())。在 Servlet 3.1 及更高版本的容器中預設為 "changeSessionId"，在較舊的容器中預設為 "migrateSession"。如果在較舊的容器中使用 "changeSessionId" 會丟擲異常。

concurrency-control

session-management

error-if-maximum-exceeded 如果設定為 "true"，當用戶嘗試超出最大允許會話數時，將引發 SessionAuthenticationException。預設行為是使原始會話過期。

expired-url 如果使用者嘗試使用因超出允許會話數並在其他地方重新登入而被併發會話控制器“過期”的會話時，使用者將被重定向到的 URL。除非設定了 exception-if-maximum-exceeded，否則應設定此值。如果未提供值，則會直接將過期訊息寫入響應。

expired-url 允許注入 ConcurrentSessionFilter 使用的 ExpiredSessionStrategy 例項

max-sessions 對映到 ConcurrentSessionControlAuthenticationStrategy 的 maximumSessions 屬性。將值指定為 -1 以支援無限會話。

max-sessions-ref 允許注入 ConcurrentSessionControlAuthenticationStrategy 使用的 SessionLimit 例項

session-registry-alias 擁有對內部會話登錄檔的引用也很有用，以便在您自己的 bean 或管理介面中使用。您可以使用 session-registry-alias 屬性公開內部 bean，為其指定一個名稱，您可以在配置中的其他地方使用該名稱。

session-registry-ref 使用者可以使用 session-registry-ref 屬性提供自己的 SessionRegistry 實現。其他併發會話控制 bean 將被連線起來使用它。

http

authentication-details-source-ref 對 AuthenticationDetailsSource 的引用

principal-extractor-ref 對身份驗證過濾器將使用的 X509PrincipalExtractor 的引用。

subject-principal-regex 定義一個正則表示式，該正則表示式將用於從證書中提取使用者名稱（用於 UserDetailsService）。

user-service-ref 允許在配置了多個例項的情況下，將特定的 UserDetailsService 與 X.509 結合使用。如果未設定，將嘗試自動定位合適的例項並使用它。

request-matcher 定義用於匹配傳入請求的策略。當前選項包括 'ant'（用於 ant 路徑模式）、'regex'（用於正則表示式）和 'ciRegex'（用於不區分大小寫的正則表示式）。

filter-chain

filter-chain-map

filters 一個逗號分隔的 Spring bean 引用列表，這些 bean 實現 Filter。值 "none" 表示此 FilterChain 不應使用任何 Filter。

pattern 一個模式，與 request-matcher 結合建立 RequestMatcher

request-matcher-ref 對 RequestMatcher 的引用，該 RequestMatcher 將用於確定是否應呼叫 filters 屬性中的任何 Filter。

id bean 識別符號，用於在上下文中的其他地方引用 bean。

request-matcher 定義用於匹配傳入請求的策略。當前選項包括 'ant'（用於 ant 路徑模式）、'regex'（用於正則表示式）和 'ciRegex'（用於不區分大小寫的正則表示式）。

use-expressions 啟用在 <intercept-url> 元素的 'access' 屬性中使用表示式，而不是傳統的配置屬性列表。預設為 'true'。如果啟用，每個屬性應包含一個布林表示式。如果表示式評估為 'true'，則授予訪問許可權。

intercept-url