Web 應用安全

use-authorization-manager 使用 AuthorizationManager API 而不是 SecurityMetadataSource（預設為 true）

use-authorization-manager 使用此 AuthorizationManager 而不是從 <intercept-url> 元素派生一個

access-decision-manager-ref 可選屬性，指定應用於授權 HTTP 請求的 AccessDecisionManager 實現的 ID。預設使用 AffirmativeBased 實現，包含 RoleVoter 和 AuthenticatedVoter。

authentication-manager-ref 對此 http 元素建立的 FilterChain 使用的 AuthenticationManager 的引用。

observation-registry-ref 對 FilterChain 和相關元件使用的 ObservationRegistry 的引用

auto-config 自動註冊登入表單、BASIC 身份驗證、登出服務。如果設定為 "true"，將新增所有這些功能（儘管您仍然可以透過提供相應的元素來自定義每個功能的配置）。如果未指定，預設為 "false"。不推薦使用此屬性。請改用顯式配置元素以避免混淆。

create-session 控制 Spring Security 類建立 HTTP 會話的積極性。選項包括

disable-url-rewriting 阻止會話 ID 附加到應用程式的 URL 中。如果此屬性設定為 true，客戶端必須使用 Cookie。預設值為 true。

entry-point-ref 通常使用的 AuthenticationEntryPoint 將根據已配置的身份驗證機制來設定。此屬性允許透過定義一個自定義的 AuthenticationEntryPoint Bean 來覆蓋此行為，該 Bean 將啟動身份驗證過程。

jaas-api-provision 如果可用，則將請求作為從 JaasAuthenticationToken 獲取的主體執行，這透過向棧中新增 JaasApiIntegrationFilter Bean 來實現。預設為 false。

name 一個 Bean 識別符號，用於在上下文中的其他地方引用該 Bean。

once-per-request 對應於 FilterSecurityInterceptor 的 observeOncePerRequest 屬性。預設為 false。

filter-all-dispatcher-types 對應於 AuthorizationFilter 的 shouldFilterAllDispatcherTypes 屬性。當 use-authorization-manager=false 時不起作用。預設為 true。

pattern 為 http 元素定義模式控制透過其定義的過濾器列表進行過濾的請求。解釋取決於配置的 request-matcher。如果未定義模式，則將匹配所有請求，因此應首先宣告最具體的模式。

realm 設定基本身份驗證（如果啟用）使用的 Realm 名稱。對應於 BasicAuthenticationEntryPoint 上的 realmName 屬性。

request-matcher 定義 FilterChainProxy 和 intercept-url 建立的 Bean 中用於匹配傳入請求的 RequestMatcher 策略。目前選項包括 mvc、ant、regex 和 ciRegex，分別對應 Spring MVC、ant、正則表示式和不區分大小寫的正則表示式。使用其 pattern、method 和 servlet-path 屬性為每個 intercept-url 元素建立一個單獨的例項。Ant 路徑使用 AntPathRequestMatcher 進行匹配，正則表示式使用 RegexRequestMatcher 進行匹配，Spring MVC 路徑匹配使用 MvcRequestMatcher。有關匹配如何執行的詳細資訊，請參閱這些類的 Javadoc。如果在 classpath 中存在 Spring MVC，則 MVC 是預設策略，否則使用 Ant 路徑。

request-matcher-ref 對實現 RequestMatcher 的 Bean 的引用，該 Bean 將確定是否應使用此 FilterChain。這比 pattern 更強大的替代方案。

security 透過將此屬性設定為 none，請求模式可以對映到空過濾器鏈。將不應用安全，也無法使用 Spring Security 的任何特性。

security-context-repository-ref 允許將自定義的 SecurityContextHolderStrategy 注入到 SecurityContextPersistenceFilter、SecurityContextHolderFilter、BasicAuthenticationFilter、UsernamePasswordAuthenticationFilter、ExceptionTranslationFilter、LogoutFilter 等中。

security-context-explicit-save 如果為 true，則使用 SecurityContextHolderFilter 而不是 SecurityContextPersistenceFilter。需要顯式儲存

security-context-repository-ref 允許將自定義的 SecurityContextRepository 注入到 SecurityContextPersistenceFilter 中。

servlet-api-provision 提供 HttpServletRequest 安全方法的版本，如 isUserInRole() 和 getPrincipal()，透過向棧中新增 SecurityContextHolderAwareRequestFilter Bean 實現。預設為 true。

use-expressions 啟用 access 屬性中的 EL 表示式，如基於表示式的訪問控制章節所述。預設值為 true。

access-denied-handler

anonymous

cors

csrf

custom-filter

expression-handler

form-login

headers

http-basic

intercept-url

jee

logout

oauth2-client

oauth2-login

oauth2-resource-server

password-management

port-mappings

remember-me

request-cache

saml2-login

saml2-logout

session-management

x509

http

error-page 如果已透過身份驗證的使用者請求他們無權訪問的頁面，將被重定向到的訪問拒絕頁面。

ref 定義對 AccessDeniedHandler 型別的 Spring Bean 的引用。

ref 可選屬性，指定 CorsFilter 的 Bean 名稱。

cors-configuration-source-ref 可選屬性，指定要注入到由 XML 名稱空間建立的 CorsFilter 中的 CorsConfigurationSource 的 Bean 名稱。

http

defaults-disabled 可選屬性，指定是否停用 Spring Security 的預設 HTTP 響應頭。預設值為 false（包含預設頭）。

disabled 可選屬性，指定是否停用 Spring Security 的 HTTP 響應頭。預設值為 false（頭已啟用）。

http

cache-control

content-security-policy

content-type-options

cross-origin-embedder-policy

cross-origin-opener-policy

cross-origin-resource-policy

feature-policy

frame-options

header

hpkp

hsts

permission-policy

referrer-policy

xss-protection

disabled 指定是否應停用 Cache Control。預設 false。

headers

disabled 指定是否應停用 Strict-Transport-Security。預設 false。

include-sub-domains 指定是否應包含子域名。預設 true。

max-age-seconds 指定主機應被視為已知 HSTS 主機的最大時間。預設一年。

request-matcher-ref 用於確定是否應設定頭的 RequestMatcher 例項。預設值是當 HttpServletRequest.isSecure() 為 true 時。

preload 指定是否應包含預載入。預設 false。

headers

disabled 指定是否應停用 HTTP 公鑰固定 (HPKP)。預設 true。

include-sub-domains 指定是否應包含子域名。預設 false。

max-age-seconds 設定 Public-Key-Pins 頭中 max-age 指令的值。預設 60 天。

report-only 指定瀏覽器是否應僅報告固定驗證失敗。預設 true。

report-uri 指定瀏覽器應報告固定驗證失敗的 URI。

headers

pin

algorithm 加密雜湊演算法。預設 SHA256。

pins

policy-directives Content-Security-Policy 頭的安全策略指令；如果 report-only 設定為 true，則使用 Content-Security-Policy-Report-Only 頭。

report-only 設定為 true，以啟用 Content-Security-Policy-Report-Only 頭，僅用於報告策略違規。預設為 false。

headers

policy Referrer-Policy 頭的策略。預設 "no-referrer"。

headers

policy-directives Feature-Policy 頭的安全策略指令。

headers

disabled 如果停用，將不包含 X-Frame-Options 頭。預設 false。

policy

headers

policy 用於 Permissions-Policy header 的策略值。

headers

xss-protection-disabled 不包含用於 反射型 / Type-1 跨站點指令碼 (XSS) 防護的 header。

xss-protection-header-value 顯式設定用於 反射型 / Type-1 跨站點指令碼 (XSS) header 的值。可選值之一："0", "1", "1; mode=block"。預設為 "0"。

headers

disabled 指定是否應停用內容型別選項。預設為 false。

headers

header-name header 的 name。

value 要新增的 header 的 value。

ref 對 HeaderWriter 介面的自定義實現的引用。

headers

http

enabled 在預設的名稱空間設定下，匿名“認證”功能會自動啟用。你可以使用此屬性停用它。

granted-authority 應分配給匿名請求的已授權許可權。通常用於為匿名請求分配特定的角色，隨後可用於授權決策。如果未設定，預設為 ROLE_ANONYMOUS。

key 提供者和過濾器之間共享的 key。通常不需要設定。如果未設定，預設為一個安全的隨機生成值。這意味著，在使用匿名功能時設定此值可以提高啟動時間，因為安全隨機值的生成可能需要一些時間。

username 應分配給匿名請求的使用者名稱。這允許識別主體，這對於日誌記錄和審計可能很重要。如果未設定，預設為 anonymousUser。

http

disabled 可選屬性，用於指定停用 Spring Security 的 CSRF 防護。預設為 false（CSRF 防護已啟用）。強烈建議保持啟用 CSRF 防護。

token-repository-ref 要使用的 CsrfTokenRepository。預設為 HttpSessionCsrfTokenRepository。

request-handler-ref 可選的 CsrfTokenRequestHandler。預設為 CsrfTokenRequestAttributeHandler。

request-matcher-ref 用於確定是否應應用 CSRF 的 RequestMatcher 例項。預設為除 "GET", "TRACE", "HEAD", "OPTIONS" 之外的任何 HTTP 方法。

http

after custom-filter 應放置在鏈中緊隨其後的過濾器。此功能僅適用於希望將其自己的過濾器混合到安全過濾器鏈中並對標準 Spring Security 過濾器有所瞭解的高階使用者。過濾器名稱對映到特定的 Spring Security 實現過濾器。

before custom-filter 應放置在鏈中緊靠其前的過濾器。

position custom-filter 應放置在鏈中的顯式位置。如果你要替換標準過濾器，請使用此選項。

ref 定義對實現 Filter 介面的 Spring bean 的引用。

global-method-security

http

method-security

websocket-message-broker

ref 定義對實現 SecurityExpressionHandler 介面的 Spring bean 的引用。

http

always-use-default-target 如果設定為 true，無論使用者如何到達登入頁面，他們都將始終從 default-target-url 給定的值開始。對映到 UsernamePasswordAuthenticationFilter 的 alwaysUseDefaultTargetUrl 屬性。預設值為 false。

authentication-details-source-ref 對認證過濾器將使用的 AuthenticationDetailsSource 的引用。

authentication-failure-handler-ref 可用作 authentication-failure-url 的替代方案，使你能夠完全控制認證失敗後的導航流程。該值應是應用程式上下文中 AuthenticationFailureHandler bean 的名稱。

authentication-failure-url 對映到 UsernamePasswordAuthenticationFilter 的 authenticationFailureUrl 屬性。定義登入失敗時瀏覽器將被重定向到的 URL。預設為 /login?error，這將由自動登入頁面生成器自動處理，重新渲染帶有錯誤訊息的登入頁面。

authentication-success-handler-ref 可用作 default-target-url 和 always-use-default-target 的替代方案，使你能夠完全控制成功認證後的導航流程。該值應是應用程式上下文中 AuthenticationSuccessHandler bean 的名稱。預設情況下，使用 SavedRequestAwareAuthenticationSuccessHandler 的實現，並注入 default-target-url。

default-target-url 對映到 UsernamePasswordAuthenticationFilter 的 defaultTargetUrl 屬性。如果未設定，預設值為 "/"（應用程式根目錄）。使用者登入後將被帶到此 URL，前提是他們在嘗試訪問受保護資源時沒有被要求登入，在這種情況下，他們將被帶到最初請求的 URL。

login-page 應用於渲染登入頁面的 URL。對映到 LoginUrlAuthenticationEntryPoint 的 loginFormUrl 屬性。預設為 "/login"。

login-processing-url 對映到 UsernamePasswordAuthenticationFilter 的 filterProcessesUrl 屬性。預設值為 "/login"。

password-parameter 包含密碼的請求引數的名稱。預設為 "password"。

username-parameter 包含使用者名稱的請求引數的名稱。預設為 "username"。

authentication-success-forward-url 將 ForwardAuthenticationSuccessHandler 對映到 UsernamePasswordAuthenticationFilter 的 authenticationSuccessHandler 屬性。

authentication-failure-forward-url 將 ForwardAuthenticationFailureHandler 對映到 UsernamePasswordAuthenticationFilter 的 authenticationFailureHandler 屬性。

http

client-registration-repository-ref 對 ClientRegistrationRepository 的引用。

authorized-client-repository-ref 對 OAuth2AuthorizedClientRepository 的引用。

authorized-client-service-ref 對 OAuth2AuthorizedClientService 的引用。

authorization-request-repository-ref 對 AuthorizationRequestRepository 的引用。

authorization-request-resolver-ref 對 OAuth2AuthorizationRequestResolver 的引用。

authorization-redirect-strategy-ref 對授權 RedirectStrategy 的引用。

access-token-response-client-ref 對 OAuth2AccessTokenResponseClient 的引用。

user-authorities-mapper-ref 對 GrantedAuthoritiesMapper 的引用。

user-service-ref 對 OAuth2UserService 的引用。

oidc-user-service-ref 對 OpenID Connect OAuth2UserService 的引用。

login-processing-url 過濾器處理認證請求的 URI。

login-page 傳送使用者進行登入的 URI。

authentication-success-handler-ref 對 AuthenticationSuccessHandler 的引用。

authentication-failure-handler-ref 對 AuthenticationFailureHandler 的引用。

jwt-decoder-factory-ref 對 OidcAuthorizationCodeAuthenticationProvider 使用的 JwtDecoderFactory 的引用。

http

client-registration-repository-ref 對 ClientRegistrationRepository 的引用。

authorized-client-repository-ref 對 OAuth2AuthorizedClientRepository 的引用。

authorized-client-service-ref 對 OAuth2AuthorizedClientService 的引用。

authorization-code-grant

oauth2-client

authorization-request-repository-ref 對 AuthorizationRequestRepository 的引用。

authorization-redirect-strategy-ref 對授權 RedirectStrategy 的引用。

authorization-request-resolver-ref 對 OAuth2AuthorizationRequestResolver 的引用。

access-token-response-client-ref 對 OAuth2AccessTokenResponseClient 的引用。

client-registration

provider

client-registrations

registration-id 唯一標識 ClientRegistration 的 ID。

client-id 客戶端識別符號。

client-secret 客戶端 secret。

client-authentication-method 用於與提供者進行客戶端認證的方法。支援的值包括 client_secret_basic, client_secret_post, private_key_jwt, client_secret_jwt 和 none (公共客戶端)。

authorization-grant-type OAuth 2.0 授權框架定義了四種授權許可型別。支援的值包括 authorization_code, client_credentials, password，以及擴充套件許可型別 urn:ietf:params:oauth:grant-type:jwt-bearer。

redirect-uri 客戶端註冊的重定向 URI，授權伺服器在終端使用者認證並授權訪問客戶端後，將終端使用者的使用者代理重定向到此處。

scope 客戶端在授權請求流程中請求的 scope，例如 openid, email 或 profile。

client-name 用於客戶端的描述性名稱。該名稱可能在某些場景中使用，例如在自動生成的登入頁面中顯示客戶端名稱時。

provider-id 對關聯提供者的引用。可以引用 <provider> 元素或使用常見的提供者之一（google, github, facebook, okta）。

client-registrations

provider-id 唯一標識提供者的 ID。

authorization-uri 授權伺服器的授權端點 URI。

token-uri 授權伺服器的令牌端點 URI。

user-info-uri 用於訪問已認證終端使用者的宣告/屬性的使用者資訊端點 URI。

user-info-authentication-method 向用戶資訊端點發送訪問令牌時使用的認證方法。支援的值包括 header, form 和 query。

user-info-user-name-attribute 使用者資訊響應中返回的屬性名稱，該屬性引用終端使用者的名稱或識別符號。

jwk-set-uri 用於從授權伺服器檢索 JSON Web Key (JWK) Set 的 URI，該 Set 包含用於驗證 ID Token 的 JSON Web Signature (JWS) 以及可選的使用者資訊響應的加密 key。

issuer-uri 用於使用 OpenID Connect Provider 的 配置端點 或授權伺服器的 元資料端點 進行發現來初始配置 ClientRegistration 的 URI。

http

jwt

opaque-token

authentication-manager-resolver-ref 對將在請求時解析 AuthenticationManager 的 AuthenticationManagerResolver 的引用。

bearer-token-resolver-ref 對將從請求中檢索 bearer token 的 BearerTokenResolver 的引用。

entry-point-ref 對將處理未經授權請求的 AuthenticationEntryPoint 的引用。

oauth2-resource-server

jwt-authentication-converter-ref 對 Converter<Jwt, AbstractAuthenticationToken> 的引用。

jwt-decoder-ref 對 JwtDecoder 的引用。這是一個較大的元件，它會覆蓋 jwk-set-uri。

jwk-set-uri 用於從 OAuth 2.0 授權伺服器載入簽名驗證 key 的 JWK Set Uri。

oauth2-resource-server

introspector-ref 對 OpaqueTokenIntrospector 的引用。這是一個較大的元件，它會覆蓋 introspection-uri, client-id 和 client-secret。

introspection-uri 用於內省不透明令牌詳細資訊的內省 URI。應與 client-id 和 client-secret 一起提供。

client-id 用於針對提供的 introspection-uri 進行客戶端認證的 Client Id。

client-secret 用於針對提供的 introspection-uri 進行客戶端認證的 Client Secret。

authentication-converter-ref 對 OpaqueTokenAuthenticationConverter 的引用。負責將成功的內省結果轉換為 Authentication 例項。

id 唯一標識 RelyingPartyRegistrationRepository 的 ID。

asserting-party

relying-party-registration

relying-party-registrations

registration-id 唯一標識 RelyingPartyRegistration 的 ID。

metadata-location 斷言方元資料位置。

client-id 依賴方的 EntityID。

assertion-consumer-service-location AssertionConsumerService 位置。等同於依賴方 <SPSSODescriptor> 中 <AssertionConsumerService Location="…​"/> 中的值。

assertion-consumer-service-binding AssertionConsumerService 繫結。等同於依賴方 <SPSSODescriptor> 中 <AssertionConsumerService Binding="…​"/> 中的值。支援的值為 POST 和 REDIRECT。

single-logout-service-location SingleLogoutService 位置。等同於依賴方 <SPSSODescriptor> 中 <SingleLogoutService Location="…​"/> 中的值。

single-logout-service-response-location SingleLogoutService 響應位置。等同於依賴方 <SPSSODescriptor> 中 <SingleLogoutService ResponseLocation="…​"/> 中的值。

single-logout-service-binding SingleLogoutService 繫結。等同於依賴方 <SPSSODescriptor> 中 <SingleLogoutService Binding="…​"/> 中的值。支援的值為 POST 和 REDIRECT。

asserting-party-id 對關聯斷言方的引用。必須引用一個 <asserting-party> 元素。

decryption-credential

signing-credential

relying-party-registration

certificate-location 獲取證書的位置。

private-key-location 獲取依賴方私鑰的位置。

relying-party-registration

certificate-location 獲取此證書的位置。

private-key-location 獲取依賴方私鑰的位置。

relying-party-registrations

asserting-party-id 唯一標識斷言方的 ID。

entity-id 斷言方的 EntityID。

want-authn-requests-signed WantAuthnRequestsSigned 設定，指示斷言方偏好依賴方在傳送前應簽署 AuthnRequest。

single-sign-on-service-location SingleSignOnService 位置。

single-sign-on-service-binding SingleSignOnService 繫結。支援的值為 POST 和 REDIRECT。

signing-algorithms 此斷言方的 org.opensaml.saml.ext.saml2alg.SigningMethod 演算法列表，按優先順序排序。

single-logout-service-location SingleLogoutService 位置。等同於斷言方 <IDPSSODescriptor> 中 <SingleLogoutService Location="…​"/> 中的值。

single-logout-service-response-location SingleLogoutService 響應位置。等同於斷言方 <IDPSSODescriptor> 中 <SingleLogoutService ResponseLocation="…​"/> 中的值。

single-logout-service-binding SingleLogoutService 繫結。等同於斷言方 <IDPSSODescriptor> 中 <SingleLogoutService Binding="…​"/> 中的值。支援的值為 POST 和 REDIRECT。

encryption-credential

verification-credential

asserting-party

certificate-location 獲取證書的位置。

private-key-location 獲取依賴方私鑰的位置。

asserting-party

certificate-location 獲取此證書的位置。

private-key-location 獲取依賴方私鑰的位置。

http

authentication-details-source-ref 對認證過濾器將使用的 AuthenticationDetailsSource 的引用。

entry-point-ref 設定 BasicAuthenticationFilter 使用的 AuthenticationEntryPoint。

ref 定義對實現 HttpFirewall 介面的 Spring bean 的引用。

filter-security-metadata-source

http

access 列出將儲存在 `FilterInvocationSecurityMetadataSource` 中用於定義的 URL 模式/方法組合的訪問屬性。這應該是安全配置屬性（例如角色名稱）的逗號分隔列表。

method 將與模式和 servlet 路徑（可選）結合使用以匹配傳入請求的 HTTP 方法。如果省略，將匹配任何方法。如果指定了相同模式但分別帶有和不帶有方法，則帶有方法的匹配項將優先。

pattern 定義 URL 路徑的模式。其內容取決於包含此元素的 http 元素的 `request-matcher` 屬性，因此如果 classpath 中存在 Spring MVC，則預設為 MVC 匹配器。

request-matcher-ref 對 `RequestMatcher` 的引用，用於確定是否使用此 `<intercept-url>`。

requires-channel 可以是 "http" 或 "https"，取決於特定 URL 模式是應透過 HTTP 還是 HTTPS 訪問。或者，當沒有偏好時，可以使用值 "any"。如果此屬性存在於任何 `<intercept-url>` 元素上，則會將一個 `ChannelProcessingFilter` 新增到過濾器堆疊中，並將其額外的依賴項新增到應用程式上下文中。

servlet-path 將與模式和 HTTP 方法結合使用以匹配傳入請求的 servlet 路徑。此屬性僅當 request-matcher 為 'mvc' 時適用。此外，僅在以下兩種用例中需要該值：1) 在 `ServletContext` 中註冊了 2 個或更多 `HttpServlet`，它們的對映以 '/' 開頭且不同；2) 模式以註冊的 `HttpServlet` 路徑的相同值開頭，但不包括預設（根）`HttpServlet` '/'。

http

mappable-roles 一個逗號分隔的角色列表，用於在傳入的 HttpServletRequest 中查詢。

user-service-ref 對使用者服務（或 UserDetailsService bean）ID 的引用

http

delete-cookies 一個逗號分隔的 cookie 名稱列表，使用者登出時應刪除這些 cookie。

invalidate-session 對映到 `SecurityContextLogoutHandler` 的 `invalidateHttpSession` 屬性。預設為 "true"，因此會話將在登出時失效。

logout-success-url 使用者登出後將被帶往的目標 URL。預設為 <form-login-login-page>/?logout（即 /login?logout）

logout-url 將導致登出的 URL（即由過濾器處理的 URL）。預設為 "/logout"。

success-handler-ref 可用於提供一個 `LogoutSuccessHandler` 例項，該例項將在登出後被呼叫以控制導航。

http

relying-party-registration-repository-ref 對 `RelyingPartyRegistrationRepository` 的引用。

authentication-request-repository-ref 對 `Saml2AuthenticationRequestRepository` 的引用。

authentication-request-context-resolver-ref 對 `Saml2AuthenticationRequestResolver` 的引用。

authentication-converter-ref 對 `AuthenticationConverter` 的引用。

login-processing-url 過濾器處理認證請求的 URI。

login-page 傳送使用者進行登入的 URI。

authentication-success-handler-ref 對 AuthenticationSuccessHandler 的引用。

authentication-failure-handler-ref 對 AuthenticationFailureHandler 的引用。

authentication-manager-ref 對 `AuthenticationManager` 的引用。

http

logout-url 依賴方或斷言方可以觸發登出的 URL。

logout-request-url 斷言方可以傳送 SAML 2.0 登出請求的 URL。

logout-response-url 斷言方可以傳送 SAML 2.0 登出響應的 URL。

relying-party-registration-repository-ref 對 `RelyingPartyRegistrationRepository` 的引用。

logout-request-validator-ref 對 `Saml2LogoutRequestValidator` 的引用。

logout-request-resolver-ref 對 `Saml2LogoutRequestResolver` 的引用。

logout-request-repository-ref 對 `Saml2LogoutRequestRepository` 的引用。

logout-response-validator-ref 對 `Saml2LogoutResponseValidator` 的引用。

logout-response-resolver-ref 對 `Saml2LogoutResponseResolver` 的引用。

http

change-password-page 更改密碼頁面。預設為 "/change-password"。

http

port-mapping

port-mappings

http 要使用的 http 埠。

https 要使用的 https 埠。

http

authentication-success-handler-ref 如果需要自定義導航，則在 `RememberMeAuthenticationFilter` 上設定 `authenticationSuccessHandler` 屬性。該值應該是應用程式上下文中 `AuthenticationSuccessHandler` bean 的名稱。

data-source-ref 對 `DataSource` bean 的引用。如果設定此屬性，將使用 `PersistentTokenBasedRememberMeServices` 並配置 `JdbcTokenRepositoryImpl` 例項。

remember-me-parameter 切換記住我認證的請求引數名稱。預設為 "remember-me"。對映到 `AbstractRememberMeServices` 的 "parameter" 屬性。

remember-me-cookie 儲存記住我認證令牌的 cookie 名稱。預設為 "remember-me"。對映到 `AbstractRememberMeServices` 的 "cookieName" 屬性。

key 對映到 `AbstractRememberMeServices` 的 "key" 屬性。應設定為唯一值，以確保記住我 cookie 僅在同一個應用程式內有效 ^[3]。如果未設定此值，將生成一個安全的隨機值。由於生成安全的隨機值可能需要一些時間，因此顯式設定此值有助於在使用記住我功能時提高啟動時間。

services-alias 將內部定義的 `RememberMeServices` 匯出為 bean 別名，以便應用程式上下文中的其他 bean 可以使用它。

services-ref 允許完全控制過濾器將使用的 `RememberMeServices` 實現。該值應該是應用程式上下文中實現此介面的 bean 的 `id`。如果正在使用登出過濾器，該 bean 也應實現 `LogoutHandler` 介面。

token-repository-ref 配置 `PersistentTokenBasedRememberMeServices`，但允許使用自定義的 `PersistentTokenRepository` bean。

token-validity-seconds 對映到 `AbstractRememberMeServices` 的 `tokenValiditySeconds` 屬性。指定記住我 cookie 有效的秒數。預設情況下，有效期為 14 天。

use-secure-cookie 建議記住我 cookie 僅透過 HTTPS 提交，因此應標記為 "secure"。預設情況下，如果進行登入請求的連線是安全的（應該如此），則將使用安全 cookie。如果將此屬性設定為 false，則不使用安全 cookie。將其設定為 true 將始終在 cookie 上設定安全標誌。此屬性對映到 `AbstractRememberMeServices` 的 `useSecureCookie` 屬性。

user-service-ref 記住我服務實現需要訪問 `UserDetailsService`，因此必須在應用程式上下文中定義一個。如果只有一個，名稱空間配置將自動選擇並使用它。如果存在多個例項，可以使用此屬性顯式指定 bean 的 `id`。

http

ref 定義對實現 `RequestCache` 介面的 Spring bean 的引用。

http

authentication-strategy-explicit-invocation 將此屬性設定為 true 意味著不會注入 `SessionManagementFilter`，並且需要顯式呼叫 SessionAuthenticationStrategy。

invalid-session-url 設定此屬性將為 `SessionManagementFilter` 注入一個配置了該屬性值的 `SimpleRedirectInvalidSessionStrategy`。當提交無效會話 ID 時，將呼叫此策略，重定向到配置的 URL。

invalid-session-url 允許注入 `SessionManagementFilter` 使用的 InvalidSessionStrategy 例項。請使用此屬性或 `invalid-session-url` 屬性，但不要同時使用兩者。

session-authentication-error-url 定義當 SessionAuthenticationStrategy 丟擲異常時應顯示的錯誤頁面的 URL。如果未設定，則向客戶端返回未經授權 (401) 的錯誤程式碼。請注意，如果在基於表單的登入期間發生錯誤，此屬性不適用，此時認證失敗 URL 將優先。

session-authentication-strategy-ref 允許注入 `SessionManagementFilter` 使用的 SessionAuthenticationStrategy 例項。

session-fixation-protection 指示使用者認證時如何應用會話固定攻擊防護。如果設定為 "none"，則不應用任何防護。 "newSession" 將建立一個新的空會話，僅遷移與 Spring Security 相關的屬性。 "migrateSession" 將建立一個新會話並將所有會話屬性複製到新會話中。在 Servlet 3.1 (Java EE 7) 及更新的容器中，指定 "changeSessionId" 將保留現有會話並使用容器提供的會話固定攻擊防護 (HttpServletRequest#changeSessionId())。在 Servlet 3.1 及更新的容器中預設為 "changeSessionId"，在舊容器中預設為 "migrateSession"。如果在舊容器中使用 "changeSessionId"，則會丟擲異常。

concurrency-control

session-management

error-if-maximum-exceeded 如果設定為 "true"，當用戶試圖超出最大允許會話數時，將丟擲 `SessionAuthenticationException`。預設行為是使原始會話過期。

expired-url 使用者因超出允許會話數並在其他地方再次登入而嘗試使用被併發會話控制器“過期”的會話時，將被重定向到的 URL。除非設定了 exception-if-maximum-exceeded，否則應設定此屬性。如果未提供值，過期訊息將直接寫入響應。

expired-url 允許注入 `ConcurrentSessionFilter` 使用的 ExpiredSessionStrategy 例項。

max-sessions 對映到 `ConcurrentSessionControlAuthenticationStrategy` 的 `maximumSessions` 屬性。指定值 -1 支援無限會話。

session-registry-alias 將內部會話登錄檔引用用於您自己的 bean 或管理介面也可能很有用。您可以使用 session-registry-alias 屬性暴露內部 bean，併為其指定一個可在配置其他地方使用的名稱。

session-registry-ref 使用者可以使用 session-registry-ref 屬性提供自己的 `SessionRegistry` 實現。其他的併發會話控制 bean 將被配置為使用它。

http

authentication-details-source-ref 對 `AuthenticationDetailsSource` 的引用

subject-principal-regex 定義一個正則表示式，用於從證書中提取使用者名稱（供 `UserDetailsService` 使用）。

user-service-ref 在配置了多個例項的情況下，允許為 X.509 指定特定的 `UserDetailsService`。如果未設定，將嘗試自動查詢合適的例項並使用它。

request-matcher 定義用於匹配傳入請求的策略。當前選項包括 'ant'（用於 ant 路徑模式）、'regex'（用於正則表示式）和 'ciRegex'（用於不區分大小寫的正則表示式）。

filter-chain

filter-chain-map

filters 一個逗號分隔的引用列表，指向實現 `Filter` 介面的 Spring bean。值 "none" 表示此 `FilterChain` 不應使用任何 `Filter`。

pattern 與 request-matcher 結合建立 RequestMatcher 的模式。

request-matcher-ref 對 `RequestMatcher` 的引用，用於確定是否應呼叫 `filters` 屬性中的任何 `Filter`。

id 一個 bean 識別符號，用於在上下文的其他地方引用該 bean。

request-matcher 定義用於匹配傳入請求的策略。當前選項包括 'ant'（用於 ant 路徑模式）、'regex'（用於正則表示式）和 'ciRegex'（用於不區分大小寫的正則表示式）。

use-expressions 啟用在 <intercept-url> 元素的 'access' 屬性中使用表示式，而不是傳統的配置屬性列表。預設為 'true'。如果啟用，每個屬性應包含一個布林表示式。如果表示式評估為 'true'，則授予訪問許可權。

intercept-url