Web 应用程序安全

use-authorization-manager 使用 AuthorizationManager API 而不是 SecurityMetadataSource（默认为 true）

use-authorization-manager 使用此 AuthorizationManager 而不是从 <intercept-url> 元素派生一个

access-decision-manager-ref 可选属性，指定应用于授权 HTTP 请求的 AccessDecisionManager 实现的 ID。默认情况下，使用带有 RoleVoter 和 AuthenticatedVoter 的 AffirmativeBased 实现。

authentication-manager-ref 引用此 http 元素创建的 FilterChain 所使用的 AuthenticationManager。

observation-registry-ref 对用于 FilterChain 和相关组件的 ObservationRegistry 的引用。

auto-config 自动注册登录表单、基本认证、注销服务。如果设置为 "true"，则添加所有这些功能（尽管您仍然可以通过提供相应的元素来定制每个配置）。如果未指定，则默认为 "false"。不建议使用此属性。请使用显式配置元素以避免混淆。

create-session 控制 Spring Security 类创建 HTTP 会话的急切程度。选项包括

disable-url-rewriting 阻止会话 ID 附加到应用程序中的 URL。如果此属性设置为 true，客户端必须使用 cookie。默认值为 true。

entry-point-ref 通常，使用的 AuthenticationEntryPoint 将根据已配置的认证机制进行设置。此属性允许通过定义一个定制的 AuthenticationEntryPoint bean 来覆盖此行为，该 bean 将启动认证过程。

jaas-api-provision 如果可用，则将请求作为从 JaasAuthenticationToken 获取的 Subject 运行，这是通过将 JaasApiIntegrationFilter bean 添加到堆栈中来实现的。默认为 false。

name bean 标识符，用于在上下文的其他地方引用该 bean。

once-per-request 对应于 FilterSecurityInterceptor 的 observeOncePerRequest 属性。默认为 false。

filter-all-dispatcher-types 对应于 AuthorizationFilter 的 shouldFilterAllDispatcherTypes 属性。当 use-authorization-manager=false 时无效。默认为 true。

pattern 定义 http 元素的模式控制将通过它定义的过滤器列表进行过滤的请求。解释取决于配置的 request-matcher。如果没有定义模式，所有请求都将被匹配，因此最具体的模式应该首先声明。

realm 设置用于基本认证的领域名称（如果启用）。对应于 BasicAuthenticationEntryPoint 上的 realmName 属性。

redirect-to-https-request-matcher-ref 引用一个实现 RequestMatcher 的 bean，该 bean 将确定哪些请求必须重定向到 HTTPS。这在例如希望在本地运行 HTTP 和在生产环境中使用请求头运行 HTTPS 时很有用。

request-matcher 定义 FilterChainProxy 和 intercept-url 创建的 bean 中用于匹配传入请求的 RequestMatcher 策略。选项当前为 mvc、ant、regex 和 ciRegex，分别对应 Spring MVC、ant、正则表达式和不区分大小写的正则表达式。为每个 intercept-url 元素使用其 pattern、method 和 servlet-path 属性创建单独的实例。默认情况下，路径使用 PathPatternRequestMatcher 匹配；但是，正则表达式使用 RegexRequestMatcher 匹配。有关这些类如何执行匹配的详细信息，请参阅 Javadoc。如果 Spring MVC 存在于类路径中，则 MVC 是默认策略，否则使用 Ant 路径。

request-matcher-ref 引用一个实现 RequestMatcher 的 bean，该 bean 将确定是否应使用此 FilterChain。这是 pattern 的更强大替代方案。

security 通过将此属性设置为 none，请求模式可以映射到空过滤器链。将不应用任何安全措施，并且 Spring Security 的任何功能都将不可用。

security-context-repository-ref 允许将自定义 SecurityContextHolderStrategy 注入到 SecurityContextPersistenceFilter、SecurityContextHolderFilter、BasicAuthenticationFilter、UsernamePasswordAuthenticationFilter、ExceptionTranslationFilter、LogoutFilter 等中。

security-context-explicit-save 如果为 true，则使用 SecurityContextHolderFilter 而不是 SecurityContextPersistenceFilter。需要显式保存

security-context-repository-ref 允许将自定义 SecurityContextRepository 注入到 SecurityContextPersistenceFilter 中。

servlet-api-provision 提供 HttpServletRequest 安全方法（如 isUserInRole() 和 getPrincipal()）的版本，这些方法通过将 SecurityContextHolderAwareRequestFilter bean 添加到堆栈中来实现。默认为 true。

use-expressions 启用 access 属性中的 EL 表达式，如关于基于表达式的访问控制的章节所述。默认值为 true。

access-denied-handler

anonymous

cors

csrf

custom-filter

expression-handler

form-login

headers

http-basic

intercept-url

jee

logout

oauth2-client

oauth2-login

oauth2-resource-server

password-management

port-mappings

remember-me

request-cache

saml2-login

saml2-logout

session-management

x509

http

error-page 如果已认证用户请求他们无权访问的页面，则将重定向到的访问拒绝页面。

ref 定义对 AccessDeniedHandler 类型的 Spring bean 的引用。

ref 可选属性，指定 CorsFilter 的 bean 名称。

cors-configuration-source-ref 可选属性，指定要注入到 XML 命名空间创建的 CorsFilter 中的 CorsConfigurationSource 的 bean 名称。

http

defaults-disabled 可选属性，指定禁用 Spring Security 的默认 HTTP 响应头。默认值为 false（包含默认头）。

disabled 可选属性，指定禁用 Spring Security 的 HTTP 响应头。默认值为 false（启用头）。

http

cache-control

content-security-policy

content-type-options

cross-origin-embedder-policy

cross-origin-opener-policy

cross-origin-resource-policy

feature-policy

frame-options

header

hpkp

hsts

permission-policy

referrer-policy

xss-protection

disabled 指定是否应禁用缓存控制。默认值为 false。

headers

disabled 指定是否应禁用 Strict-Transport-Security。默认值为 false。

include-sub-domains 指定是否应包含子域。默认值为 true。

max-age-seconds 指定主机应被视为已知 HSTS 主机的最长时间。默认值为一年。

request-matcher-ref 用于确定是否应设置头的 RequestMatcher 实例。默认值为 HttpServletRequest.isSecure() 为 true 时。

preload 指定是否应包含预加载。默认值为 false。

headers

disabled 指定是否应禁用 HTTP 公钥固定 (HPKP)。默认值为 true。

include-sub-domains 指定是否应包含子域。默认值为 false。

max-age-seconds 设置 Public-Key-Pins 头 max-age 指令的值。默认值为 60 天。

report-only 指定浏览器是否只报告 pin 验证失败。默认值为 true。

report-uri 指定浏览器应向其报告 pin 验证失败的 URI。

headers

pin

algorithm 加密哈希算法。默认值为 SHA256。

pins

policy-directives Content-Security-Policy 头的安全策略指令，如果 report-only 设置为 true，则使用 Content-Security-Policy-Report-Only 头。

report-only 设置为 true，以启用 Content-Security-Policy-Report-Only 头，仅用于报告策略违规。默认为 false。

headers

policy Referrer-Policy 头的策略。默认值为 "no-referrer"。

headers

policy-directives Feature-Policy 头的安全策略指令。

headers

disabled 如果禁用，将不包含 X-Frame-Options 头。默认值为 false。

policy

headers

policy 要写入 Permissions-Policy 头的策略值

headers

xss-protection-disabled 不包含用于 反射式 / 类型 1 跨站脚本 (XSS) 保护的头。

xss-protection-header-value 显式设置用于 反射式 / 类型 1 跨站脚本 (XSS) 头的实际值。选项之一："0"、"1"、"1; mode=block"。默认为 "0"。

headers

disabled 指定是否应禁用内容类型选项。默认值为 false。

headers

header-name 头的 name。

value 要添加的头的 value。

ref 引用 HeaderWriter 接口的自定义实现。

headers

http

enabled 默认命名空间设置下，匿名“认证”功能会自动启用。您可以使用此属性禁用它。

granted-authority 应分配给匿名请求的授权。通常，这用于为匿名请求分配特定角色，这些角色随后可用于授权决策。如果未设置，则默认为 ROLE_ANONYMOUS。

key 提供者和过滤器之间共享的密钥。这通常不需要设置。如果未设置，它将默认为安全随机生成的值。这意味着设置此值可以缩短使用匿名功能时的启动时间，因为安全随机值可能需要一段时间才能生成。

username 应分配给匿名请求的用户名。这允许识别主体，这对于日志记录和审计可能很重要。如果未设置，则默认为 anonymousUser。

http

disabled 可选属性，指定禁用 Spring Security 的 CSRF 保护。默认值为 false（启用 CSRF 保护）。强烈建议保持启用 CSRF 保护。

token-repository-ref 要使用的 CsrfTokenRepository。默认值为 HttpSessionCsrfTokenRepository。

request-handler-ref 可选的 CsrfTokenRequestHandler。默认值为 CsrfTokenRequestAttributeHandler。

request-matcher-ref 用于确定是否应应用 CSRF 的 RequestMatcher 实例。默认值为除 "GET"、"TRACE"、"HEAD"、"OPTIONS" 之外的任何 HTTP 方法。

http

after 自定义过滤器应放置在链中紧随其后的过滤器。此功能仅供希望将自己的过滤器混入安全过滤器链并对标准 Spring Security 过滤器有所了解的高级用户使用。过滤器名称映射到特定的 Spring Security 实现过滤器。

before 自定义过滤器应放置在链中紧随其前的过滤器

position 自定义过滤器应放置在链中的明确位置。如果您要替换标准过滤器，请使用此项。

ref 定义对实现 Filter 的 Spring bean 的引用。

global-method-security

http

method-security

websocket-message-broker

ref 定义对实现 SecurityExpressionHandler 的 Spring bean 的引用。

http

always-use-default-target 如果设置为 true，无论用户如何到达登录页面，他们将始终从 default-target-url 给定的值开始。映射到 UsernamePasswordAuthenticationFilter 的 alwaysUseDefaultTargetUrl 属性。默认值为 false。

authentication-details-source-ref 引用一个 AuthenticationDetailsSource，它将被认证过滤器使用。

authentication-failure-handler-ref 可以作为 authentication-failure-url 的替代，让您在认证失败后完全控制导航流程。该值应该是应用程序上下文中 AuthenticationFailureHandler bean 的名称。

authentication-failure-url 映射到 UsernamePasswordAuthenticationFilter 的 authenticationFailureUrl 属性。定义登录失败时浏览器将重定向到的 URL。默认为 /login?error，它将由自动登录页面生成器自动处理，重新渲染带有错误消息的登录页面。

authentication-success-handler-ref 这可以作为 default-target-url 和 always-use-default-target 的替代，让您在成功认证后完全控制导航流程。该值应该是应用程序上下文中 AuthenticationSuccessHandler bean 的名称。默认情况下，使用 SavedRequestAwareAuthenticationSuccessHandler 的实现，并注入 default-target-url。

default-target-url 映射到 UsernamePasswordAuthenticationFilter 的 defaultTargetUrl 属性。如果未设置，默认值为 "/"（应用程序根）。用户在登录后将被带到此 URL，前提是他们在尝试访问受保护资源时未被要求登录，此时他们将被带到最初请求的 URL。

login-page 用于渲染登录页面的 URL。映射到 LoginUrlAuthenticationEntryPoint 的 loginFormUrl 属性。默认为 "/login"。

login-processing-url 映射到 UsernamePasswordAuthenticationFilter 的 filterProcessesUrl 属性。默认值为 "/login"。

password-parameter 包含密码的请求参数名称。默认为 "password"。

username-parameter 包含用户名的请求参数名称。默认为 "username"。

authentication-success-forward-url 将 ForwardAuthenticationSuccessHandler 映射到 UsernamePasswordAuthenticationFilter 的 authenticationSuccessHandler 属性。

authentication-failure-forward-url 将 ForwardAuthenticationFailureHandler 映射到 UsernamePasswordAuthenticationFilter 的 authenticationFailureHandler 属性。

http

client-registration-repository-ref 引用 ClientRegistrationRepository。

authorized-client-repository-ref 引用 OAuth2AuthorizedClientRepository。

authorized-client-service-ref 引用 OAuth2AuthorizedClientService。

authorization-request-repository-ref 引用 AuthorizationRequestRepository。

authorization-request-resolver-ref 引用 OAuth2AuthorizationRequestResolver。

authorization-redirect-strategy-ref 引用授权 RedirectStrategy。

access-token-response-client-ref 引用 OAuth2AccessTokenResponseClient。

user-authorities-mapper-ref 引用 GrantedAuthoritiesMapper。

user-service-ref 引用 OAuth2UserService。

oidc-user-service-ref 引用 OpenID Connect OAuth2UserService。

login-processing-url 过滤器处理认证请求的 URI。

login-page 发送用户登录的 URI。

authentication-success-handler-ref 引用 AuthenticationSuccessHandler。

authentication-failure-handler-ref 引用 AuthenticationFailureHandler。

jwt-decoder-factory-ref 引用 OidcAuthorizationCodeAuthenticationProvider 使用的 JwtDecoderFactory。

http

client-registration-repository-ref 引用 ClientRegistrationRepository。

authorized-client-repository-ref 引用 OAuth2AuthorizedClientRepository。

authorized-client-service-ref 引用 OAuth2AuthorizedClientService。

authorization-code-grant

oauth2-client

authorization-request-repository-ref 引用 AuthorizationRequestRepository。

authorization-redirect-strategy-ref 引用授权 RedirectStrategy。

authorization-request-resolver-ref 引用 OAuth2AuthorizationRequestResolver。

access-token-response-client-ref 引用 OAuth2AccessTokenResponseClient。

client-registration

provider

client-registrations

registration-id 唯一标识 ClientRegistration 的 ID。

client-id 客户端标识符。

client-secret 客户端密钥。

client-authentication-method 用于向提供者认证客户端的方法。支持的值为 client_secret_basic、client_secret_post、private_key_jwt、client_secret_jwt 和 none (公共客户端)。

authorization-grant-type OAuth 2.0 授权框架定义了四种 授权类型。支持的值为 authorization_code、client_credentials、password，以及扩展授权类型 urn:ietf:params:oauth:grant-type:jwt-bearer。

redirect-uri 客户端注册的重定向 URI，授权服务器 在最终用户认证并授权客户端访问后将最终用户的用户代理重定向到该 URI。

scope 客户端在授权请求流程中请求的范围，例如 openid、email 或 profile。

client-name 客户端的描述性名称。该名称可在某些场景中使用，例如在自动生成的登录页面中显示客户端名称。

provider-id 对关联提供者的引用。可以引用 <provider> 元素或使用常见的提供者之一（google、github、facebook、okta）。

client-registrations

provider-id 唯一标识提供者的 ID。

authorization-uri 授权服务器的授权端点 URI。

token-uri 授权服务器的令牌端点 URI。

user-info-uri 用于访问已认证最终用户声明/属性的 UserInfo 端点 URI。

user-info-authentication-method 将访问令牌发送到 UserInfo 端点时使用的认证方法。支持的值为 header、form 和 query。

user-info-user-name-attribute UserInfo 响应中返回的属性名称，该属性引用最终用户的名称或标识符。

jwk-set-uri 用于从授权服务器检索 JSON Web Key (JWK) 集的 URI，该集包含用于验证 ID 令牌以及可选的 UserInfo 响应的 JSON Web 签名 (JWS) 的加密密钥。

issuer-uri 用于最初使用 OpenID Connect 提供者的 配置端点 或授权服务器的 元数据端点 发现来配置 ClientRegistration 的 URI。

http

jwt

opaque-token

authentication-manager-resolver-ref 引用一个 AuthenticationManagerResolver，它将在请求时解析 AuthenticationManager。

bearer-token-resolver-ref 引用一个 BearerTokenResolver，它将从请求中检索不记名令牌。这不能与 authentication-converter-ref 结合使用。

entry-point-ref 引用一个 AuthenticationEntryPoint，它将处理未经授权的请求。

authentication-converter-ref 引用一个 AuthenticationConverter，它将请求转换为认证。这不能与 bearer-token-resolver-ref 结合使用。

oauth2-resource-server

jwt-authentication-converter-ref 引用 Converter<Jwt, AbstractAuthenticationToken>

jwt-decoder-ref 引用 JwtDecoder。这是一个更大的组件，它会覆盖 jwk-set-uri。

jwk-set-uri 用于从 OAuth 2.0 授权服务器加载签名验证密钥的 JWK Set Uri。

oauth2-resource-server

introspector-ref 引用一个 OpaqueTokenIntrospector。这是一个更大的组件，它会覆盖 introspection-uri、client-id 和 client-secret。

introspection-uri 用于内省不透明令牌详细信息的内省 URI。应与 client-id 和 client-secret 一起使用。

client-id 用于针对提供的 introspection-uri 进行客户端认证的客户端 ID。

client-secret 用于针对提供的 introspection-uri 进行客户端认证的客户端密钥。

authentication-converter-ref 引用一个 OpaqueTokenAuthenticationConverter。负责将成功的内省结果转换为 Authentication 实例。

id 唯一标识 RelyingPartyRegistrationRepository 的 ID。

asserting-party

relying-party-registration

relying-party-registrations

registration-id 唯一标识 RelyingPartyRegistration 的 ID。

metadata-location 断言方元数据位置。

client-id 依赖方的 EntityID。

assertion-consumer-service-location AssertionConsumerService Location。等同于依赖方的 <SPSSODescriptor> 中 <AssertionConsumerService Location="…​"/> 的值。

assertion-consumer-service-binding AssertionConsumerService Binding。等同于依赖方的 <SPSSODescriptor> 中 <AssertionConsumerService Binding="…​"/> 的值。支持的值为 POST 和 REDIRECT。

single-logout-service-location SingleLogoutService Location。等同于依赖方的 <SPSSODescriptor> 中 <SingleLogoutService Location="…​"/> 的值。

single-logout-service-response-location SingleLogoutService ResponseLocation。等同于依赖方的 <SPSSODescriptor> 中 <SingleLogoutService ResponseLocation="…​"/> 的值。

single-logout-service-binding SingleLogoutService Binding。等同于依赖方的 <SPSSODescriptor> 中 <SingleLogoutService Binding="…​"/> 的值。支持的值为 POST 和 REDIRECT。

asserting-party-id 对关联断言方的引用。必须引用 <asserting-party> 元素。

decryption-credential

signing-credential

relying-party-registration

certificate-location 获取证书的位置

private-key-location 获取依赖方私钥的位置

relying-party-registration

certificate-location 获取此证书的位置

private-key-location 获取依赖方私钥的位置

relying-party-registrations

asserting-party-id 唯一标识断言方的 ID。

entity-id 断言方的 EntityID。

want-authn-requests-signed WantAuthnRequestsSigned 设置，指示断言方偏好依赖方在发送 AuthnRequest 之前对其进行签名。

single-sign-on-service-location SingleSignOnService 位置。

single-sign-on-service-binding SingleSignOnService 绑定。支持的值为 POST 和 REDIRECT。

signing-algorithms 此断言方的 org.opensaml.saml.ext.saml2alg.SigningMethod 算法列表，按优先级排序。

single-logout-service-location SingleLogoutService Location。等同于断言方的 <IDPSSODescriptor> 中 <SingleLogoutService Location="…​"/> 的值。

single-logout-service-response-location SingleLogoutService ResponseLocation。等同于断言方的 <IDPSSODescriptor> 中 <SingleLogoutService ResponseLocation="…​"/> 的值。

single-logout-service-binding SingleLogoutService Binding。等同于断言方的 <IDPSSODescriptor> 中 <SingleLogoutService Binding="…​"/> 的值。支持的值为 POST 和 REDIRECT。

encryption-credential

verification-credential

asserting-party

certificate-location 获取证书的位置

private-key-location 获取依赖方私钥的位置

asserting-party

certificate-location 获取此证书的位置

private-key-location 获取依赖方私钥的位置

http

authentication-details-source-ref 引用一个 AuthenticationDetailsSource，它将被认证过滤器使用。

entry-point-ref 设置 BasicAuthenticationFilter 使用的 AuthenticationEntryPoint。

ref 定义对实现 HttpFirewall 的 Spring bean 的引用。

filter-security-metadata-source

http

access 列出将存储在 FilterInvocationSecurityMetadataSource 中用于定义的 URL 模式/方法组合的访问属性。这应该是一个逗号分隔的安全配置属性列表（例如角色名称）。

method 将与模式和 servlet 路径（可选）结合使用以匹配传入请求的 HTTP 方法。如果省略，任何方法都将匹配。如果指定了相同模式但带方法和不带方法，则带方法的匹配将优先。

pattern 定义 URL 路径的模式。内容将取决于包含 http 元素的 request-matcher 属性，因此如果 Spring MVC 在类路径中，则默认为 MVC 匹配器。

request-matcher-ref 引用一个 RequestMatcher，它将用于确定是否使用此 <intercept-url>。

requires-channel 可以是 "http" 或 "https"，具体取决于特定的 URL 模式应通过 HTTP 还是 HTTPS 访问。或者，当没有偏好时，可以使用值 "any"。如果任何 <intercept-url> 元素上存在此属性，则 ChannelProcessingFilter 将被添加到过滤器堆栈中，并且其附加依赖项将添加到应用程序上下文中。

servlet-path 将与模式和 HTTP 方法结合使用以匹配传入请求的 servlet 路径。此属性仅在 request-matcher 为 'mvc' 时适用。此外，仅在以下 2 种情况下需要该值：1) ServletContext 中注册了 2 个或更多 HttpServlet，它们的映射以 '/' 开头且不同；2) 模式以注册的 HttpServlet 路径的相同值开头，不包括默认（根）HttpServlet '/'。

http

mappable-roles 一个逗号分隔的角色列表，用于在传入的 HttpServletRequest 中查找。

user-service-ref 引用一个用户服务（或 UserDetailsService bean）ID。

http

delete-cookies 用户注销时应删除的 cookie 名称的逗号分隔列表。

invalidate-session 映射到 SecurityContextLogoutHandler 的 invalidateHttpSession。默认为 "true"，因此会话将在注销时失效。

logout-success-url 用户注销后将重定向到的目标 URL。默认为 <form-login-login-page>/?logout (即 /login?logout)

logout-url 将导致注销的 URL（即将被过滤器处理的 URL）。默认为 "/logout"。

success-handler-ref 可用于提供 LogoutSuccessHandler 实例，该实例将在注销后调用以控制导航。

http

relying-party-registration-repository-ref 引用 RelyingPartyRegistrationRepository。

authentication-request-repository-ref 引用 Saml2AuthenticationRequestRepository。

authentication-request-context-resolver-ref 引用 Saml2AuthenticationRequestResolver。

authentication-converter-ref 引用 AuthenticationConverter。

login-processing-url 过滤器处理认证请求的 URI。

login-page 发送用户登录的 URI。

authentication-success-handler-ref 引用 AuthenticationSuccessHandler。

authentication-failure-handler-ref 引用 AuthenticationFailureHandler。

authentication-manager-ref 引用 AuthenticationManager。

http

logout-url 依赖方或断言方可以触发注销的 URL。

logout-request-url 断言方可以发送 SAML 2.0 注销请求的 URL。

logout-response-url 断言方可以发送 SAML 2.0 注销响应的 URL。

relying-party-registration-repository-ref 引用 RelyingPartyRegistrationRepository。

logout-request-validator-ref 引用 Saml2LogoutRequestValidator。

logout-request-resolver-ref 引用 Saml2LogoutRequestResolver。

logout-request-repository-ref 引用 Saml2LogoutRequestRepository。

logout-response-validator-ref 引用 Saml2LogoutResponseValidator。

logout-response-resolver-ref 引用 Saml2LogoutResponseResolver。

http

change-password-page 更改密码页面。默认为 "/change-password"。

http

port-mapping

port-mappings

http 要使用的 http 端口。

https 要使用的 https 端口。

http

authentication-success-handler-ref 如果需要自定义导航，则设置 RememberMeAuthenticationFilter 上的 authenticationSuccessHandler 属性。该值应为应用程序上下文中 AuthenticationSuccessHandler bean 的名称。

data-source-ref 对 DataSource bean 的引用。如果设置此项，将使用 PersistentTokenBasedRememberMeServices 并配置一个 JdbcTokenRepositoryImpl 实例。

remember-me-parameter 切换记住我认证的请求参数名称。默认为 "remember-me"。映射到 AbstractRememberMeServices 的 "parameter" 属性。

remember-me-cookie 存储记住我认证令牌的 cookie 名称。默认为 "remember-me"。映射到 AbstractRememberMeServices 的 "cookieName" 属性。

key 映射到 AbstractRememberMeServices 的 "key" 属性。应该设置为一个唯一值，以确保记住我 (remember-me) cookie 仅在同一个应用程序中有效 ^[3]。如果未设置，将生成一个安全的随机值。由于生成安全的随机值可能需要一段时间，因此在使用记住我功能时，明确设置此值有助于缩短启动时间。

services-alias 将内部定义的 RememberMeServices 导出为 bean 别名，允许应用程序上下文中的其他 bean 使用它。

services-ref 允许完全控制过滤器将使用的 RememberMeServices 实现。该值应该是应用程序上下文中实现此接口的 bean 的 id。如果使用了注销过滤器，也应该实现 LogoutHandler。

token-repository-ref 配置 PersistentTokenBasedRememberMeServices，但允许使用自定义的 PersistentTokenRepository bean。

token-validity-seconds 映射到 AbstractRememberMeServices 的 tokenValiditySeconds 属性。指定记住我 cookie 的有效期（以秒为单位）。默认情况下，它将有效 14 天。

use-secure-cookie 建议记住我 cookie 仅通过 HTTPS 提交，因此应标记为“安全”。默认情况下，如果发出登录请求的连接是安全的（也应该是安全的），则将使用安全 cookie。如果将此属性设置为 false，则不会使用安全 cookie。将其设置为 true 将始终在 cookie 上设置安全标志。此属性映射到 AbstractRememberMeServices 的 useSecureCookie 属性。

user-service-ref 记住我服务实现需要访问 UserDetailsService，因此必须在应用程序上下文中定义一个。如果只有一个，它将由命名空间配置自动选择和使用。如果有多个实例，您可以使用此属性明确指定 bean id。

http

ref 定义对作为 RequestCache 的 Spring bean 的引用。

http

authentication-strategy-explicit-invocation 将此属性设置为 true 意味着不会注入 SessionManagementFilter，并且需要显式调用 SessionAuthenticationStrategy。

invalid-session-url 设置此属性将为 SessionManagementFilter 注入一个配置了属性值的 SimpleRedirectInvalidSessionStrategy。当提交无效会话 ID 时，将调用此策略，重定向到配置的 URL。

invalid-session-url 允许注入 SessionManagementFilter 使用的 InvalidSessionStrategy 实例。使用此属性或 invalid-session-url 属性，但不能同时使用两者。

session-authentication-error-url 定义当 SessionAuthenticationStrategy 抛出异常时应显示的错误页面 URL。如果未设置，将向客户端返回未经授权 (401) 错误代码。请注意，如果错误发生在基于表单的登录期间，则此属性不适用，因为身份验证失败的 URL 将优先。

session-authentication-strategy-ref 允许注入 SessionManagementFilter 使用的 SessionAuthenticationStrategy 实例

session-fixation-protection 指示用户身份验证时如何应用会话固定保护。如果设置为 "none"，则不应用任何保护。"newSession" 将创建一个新的空会话，仅迁移 Spring Security 相关属性。"migrateSession" 将创建一个新会话并将所有会话属性复制到新会话。在 Servlet 3.1 (Java EE 7) 及更高版本的容器中，指定 "changeSessionId" 将保留现有会话并使用容器提供的会话固定保护 (HttpServletRequest#changeSessionId())。在 Servlet 3.1 及更高版本的容器中默认为 "changeSessionId"，在较旧的容器中默认为 "migrateSession"。如果在较旧的容器中使用 "changeSessionId" 会抛出异常。

concurrency-control

session-management

error-if-maximum-exceeded 如果设置为 "true"，当用户尝试超出最大允许会话数时，将引发 SessionAuthenticationException。默认行为是使原始会话过期。

expired-url 如果用户尝试使用因超出允许会话数并在其他地方重新登录而被并发会话控制器“过期”的会话时，用户将被重定向到的 URL。除非设置了 exception-if-maximum-exceeded，否则应设置此值。如果未提供值，则会直接将过期消息写入响应。

expired-url 允许注入 ConcurrentSessionFilter 使用的 ExpiredSessionStrategy 实例

max-sessions 映射到 ConcurrentSessionControlAuthenticationStrategy 的 maximumSessions 属性。将值指定为 -1 以支持无限会话。

max-sessions-ref 允许注入 ConcurrentSessionControlAuthenticationStrategy 使用的 SessionLimit 实例

session-registry-alias 拥有对内部会话注册表的引用也很有用，以便在您自己的 bean 或管理界面中使用。您可以使用 session-registry-alias 属性公开内部 bean，为其指定一个名称，您可以在配置中的其他地方使用该名称。

session-registry-ref 用户可以使用 session-registry-ref 属性提供自己的 SessionRegistry 实现。其他并发会话控制 bean 将被连接起来使用它。

http

authentication-details-source-ref 对 AuthenticationDetailsSource 的引用

principal-extractor-ref 对身份验证过滤器将使用的 X509PrincipalExtractor 的引用。

subject-principal-regex 定义一个正则表达式，该正则表达式将用于从证书中提取用户名（用于 UserDetailsService）。

user-service-ref 允许在配置了多个实例的情况下，将特定的 UserDetailsService 与 X.509 结合使用。如果未设置，将尝试自动定位合适的实例并使用它。

request-matcher 定义用于匹配传入请求的策略。当前选项包括 'ant'（用于 ant 路径模式）、'regex'（用于正则表达式）和 'ciRegex'（用于不区分大小写的正则表达式）。

filter-chain

filter-chain-map

filters 一个逗号分隔的 Spring bean 引用列表，这些 bean 实现 Filter。值 "none" 表示此 FilterChain 不应使用任何 Filter。

pattern 一个模式，与 request-matcher 结合创建 RequestMatcher

request-matcher-ref 对 RequestMatcher 的引用，该 RequestMatcher 将用于确定是否应调用 filters 属性中的任何 Filter。

id bean 标识符，用于在上下文中的其他地方引用 bean。

request-matcher 定义用于匹配传入请求的策略。当前选项包括 'ant'（用于 ant 路径模式）、'regex'（用于正则表达式）和 'ciRegex'（用于不区分大小写的正则表达式）。

use-expressions 启用在 <intercept-url> 元素的 'access' 属性中使用表达式，而不是传统的配置属性列表。默认为 'true'。如果启用，每个属性应包含一个布尔表达式。如果表达式评估为 'true'，则授予访问权限。

intercept-url