Web 应用程序安全

use-authorization-manager 使用 AuthorizationManager API 而不是 SecurityMetadataSource（默认为 true）

access-decision-manager-ref 使用此 AuthorizationManager 而不是从 <intercept-url> 元素派生一个

access-decision-manager-ref 可选属性，指定用于授权 HTTP 请求的AccessDecisionManager实现的 ID。默认情况下，使用AffirmativeBased实现，其中包含RoleVoter和AuthenticatedVoter。

authentication-manager-ref 对由此 http 元素创建的FilterChain使用的AuthenticationManager的引用。

observation-registry-ref 对FilterChain和相关组件使用的ObservationRegistry的引用。

auto-config 自动注册登录表单、BASIC 身份验证、注销服务。如果设置为“true”，则添加所有这些功能（尽管您仍然可以通过提供相应的元素来自定义每个功能的配置）。如果未指定，则默认为“false”。不建议使用此属性。使用显式配置元素来避免混淆。

create-session 控制 Spring Security 类创建 HTTP 会话的积极性。选项包括

disable-url-rewriting 阻止在应用程序中将会话 ID 附加到 URL。如果将此属性设置为 true，则客户端必须使用 cookie。默认值为 true。

entry-point-ref 通常，使用的 AuthenticationEntryPoint 将根据已配置的身份验证机制进行设置。此属性允许通过定义一个自定义的 AuthenticationEntryPoint bean 来覆盖此行为，该 bean 将启动身份验证过程。

jaas-api-provision 如果可用，则将请求作为从 JaasAuthenticationToken 获取的 Subject 运行，JaasAuthenticationToken 是通过将 JaasApiIntegrationFilter bean 添加到堆栈来实现的。默认为 false。

name bean 标识符，用于在上下文中其他地方引用 bean。

once-per-request 对应于 FilterSecurityInterceptor 的 observeOncePerRequest 属性。默认为 false。

filter-all-dispatcher-types 对应于 AuthorizationFilter 的 shouldFilterAllDispatcherTypes 属性。当 use-authorization-manager=false 时不起作用。默认为 true。

pattern 为 http 元素定义模式控制将通过其定义的过滤器列表进行过滤的请求。解释取决于配置的 request-matcher。如果没有定义模式，则将匹配所有请求，因此应首先声明最具体的模式。

realm 设置用于基本身份验证（如果已启用）的领域名称。对应于 BasicAuthenticationEntryPoint 上的 realmName 属性。

request-matcher 定义在 FilterChainProxy 和由 intercept-url 创建的 bean 中使用的 RequestMatcher 策略，以匹配传入的请求。当前选项包括 mvc、ant、regex 和 ciRegex，分别对应 Spring MVC、ant、正则表达式和不区分大小写的正则表达式。对于每个 intercept-url 元素，使用其 pattern、method 和 servlet-path 属性创建单独的实例。Ant 路径使用 AntPathRequestMatcher 进行匹配，正则表达式使用 RegexRequestMatcher 进行匹配，而 Spring MVC 路径匹配则使用 MvcRequestMatcher。有关匹配执行方式的更多详细信息，请参阅这些类的 Javadoc。如果类路径中存在 Spring MVC，则 MVC 是默认策略；否则，将使用 Ant 路径。

request-matcher-ref 对实现 RequestMatcher 的 bean 的引用，该 bean 将确定是否应使用此 FilterChain。这比 pattern 更强大的替代方案。

security 通过将此属性设置为 none，可以将请求模式映射到空过滤器链。不会应用任何安全性，并且 Spring Security 的任何功能都不可用。

security-context-repository-ref 允许将自定义 SecurityContextHolderStrategy 注入 SecurityContextPersistenceFilter、SecurityContextHolderFilter、BasicAuthenticationFilter、UsernamePasswordAuthenticationFilter、ExceptionTranslationFilter、LogoutFilter 等。

security-context-explicit-save 如果为 true，则使用 SecurityContextHolderFilter 而不是 SecurityContextPersistenceFilter。需要显式保存。

security-context-repository-ref 允许将自定义 SecurityContextRepository 注入 SecurityContextPersistenceFilter。

servlet-api-provision 提供 HttpServletRequest 安全方法（如 isUserInRole() 和 getPrincipal()）的版本，这些方法通过将 SecurityContextHolderAwareRequestFilter bean 添加到堆栈来实现。默认为 true。

use-expressions 在 access 属性中启用 EL 表达式，如 基于表达式的访问控制 一章所述。默认值为 true。

access-denied-handler

anonymous

cors

csrf

custom-filter

expression-handler

form-login

标题

http-basic

拦截 URL

JEE

注销

OAuth2 客户端

OAuth2 登录

OAuth2 资源服务器

密码管理

端口映射

记住我

请求缓存

SAML2 登录

SAML2 注销

会话管理

X.509

http

error-page 经过身份验证的用户在请求他们无权访问的页面时将被重定向到的访问拒绝页面。

ref 定义对类型为 AccessDeniedHandler 的 Spring bean 的引用。

ref 指定 CorsFilter 的 bean 名称的可选属性。

cors-configuration-source-ref 指定要注入到由 XML 命名空间创建的 CorsFilter 中的 CorsConfigurationSource 的 bean 名称的可选属性。

http

defaults-disabled 可选属性，指定是否禁用默认的 Spring Security HTTP 响应头。默认值为 false（包含默认头）。

disabled 可选属性，指定是否禁用 Spring Security 的 HTTP 响应头。默认值为 false（启用头）。

http

cache-control

content-security-policy

content-type-options

cross-origin-embedder-policy

cross-origin-opener-policy

cross-origin-resource-policy

feature-policy

frame-options

header

hpkp

hsts

permission-policy

referrer-policy

xss-protection

disabled 指定是否禁用缓存控制。默认值为 false。

标题

disabled 指定是否禁用 Strict-Transport-Security。默认值为 false。

include-sub-domains 指定是否应包含子域。默认值为 true。

max-age-seconds 指定主机应被视为已知 HSTS 主机的最长时间。默认值为一年。

request-matcher-ref 用于确定是否应设置头的 RequestMatcher 实例。默认值为 HttpServletRequest.isSecure() 为 true。

preload 指定是否应包含预加载。默认值为 false。

标题

disabled 指定是否应禁用 HTTP 公钥固定 (HPKP)。默认值为 true。

include-sub-domains 指定是否应包含子域。默认值为 false。

max-age-seconds 设置 Public-Key-Pins 标头的 max-age 指令的值。默认值为 60 天。

report-only 指定浏览器是否应该仅报告固定验证失败。默认值为 true。

report-uri 指定浏览器应报告固定验证失败的 URI。

标题

pin

algorithm 加密哈希算法。默认值为 SHA256。

pins

policy-directives 内容安全策略标头的安全策略指令，或者如果 report-only 设置为 true，则使用 Content-Security-Policy-Report-Only 标头。

report-only 设置为 true，以启用 Content-Security-Policy-Report-Only 标头，仅用于报告策略违规。默认值为 false。

标题

policy 推荐来源策略标头的策略。默认值为 "no-referrer"。

标题

policy-directives 功能策略头部的安全策略指令。

标题

disabled 如果禁用，则不会包含 X-Frame-Options 头部。默认值为 false。

policy

标题

policy 要为 Permissions-Policy 头部写入的策略值

标题

xss-protection-disabled 不要包含用于 反射/类型1跨站点脚本 (XSS) 防护的标头。

xss-protection-header-value 显式设置 反射/类型1跨站点脚本 (XSS) 标头的值。选项之一："0"、"1"、"1; mode=block"。默认值为 "0"。

标题

disabled 指定是否应禁用内容类型选项。默认值为 false。

标题

header-name 标头的 name。

value 要添加的标头的 value。

ref 对 HeaderWriter 接口的自定义实现的引用。

标题

http

enabled 使用默认命名空间设置，匿名“身份验证”功能会自动启用。您可以使用此属性禁用它。

granted-authority 应分配给匿名请求的授予的权限。通常，这用于为匿名请求分配特定角色，这些角色随后可用于授权决策。如果未设置，则默认为 ROLE_ANONYMOUS。

key 提供者和过滤器之间共享的密钥。通常不需要设置此值。如果未设置，它将默认为安全随机生成的值。这意味着在使用匿名功能时，设置此值可以提高启动时间，因为安全随机值可能需要一段时间才能生成。

username 应分配给匿名请求的用户名。这允许识别主体，这对于日志记录和审计可能很重要。如果未设置，则默认为 anonymousUser。

http

disabled 可选属性，指定禁用 Spring Security 的 CSRF 保护。默认值为 false（启用 CSRF 保护）。强烈建议保持启用 CSRF 保护。

token-repository-ref 要使用的 CsrfTokenRepository。默认值为 HttpSessionCsrfTokenRepository。

request-handler-ref 要使用的可选 CsrfTokenRequestHandler。默认值为 CsrfTokenRequestAttributeHandler。

request-matcher-ref 要用于确定是否应应用 CSRF 的 RequestMatcher 实例。默认值为除“GET”、“TRACE”、“HEAD”、“OPTIONS”之外的任何 HTTP 方法。

http

after 在链中放置自定义过滤器的紧邻过滤器。此功能仅供希望将自己的过滤器混合到安全过滤器链中并了解标准 Spring Security 过滤器的用户使用。过滤器名称映射到特定的 Spring Security 实现过滤器。

before 在链中放置自定义过滤器的紧邻过滤器

position 在链中放置自定义过滤器的显式位置。如果您要替换标准过滤器，请使用此选项。

ref 定义对实现 Filter 的 Spring bean 的引用。

global-method-security

http

method-security

websocket-message-broker

ref 定义对实现 SecurityExpressionHandler 的 Spring bean 的引用。

http

always-use-default-target 如果设置为 true，则无论用户如何到达登录页面，用户都将始终从 default-target-url 给出的值开始。映射到 UsernamePasswordAuthenticationFilter 的 alwaysUseDefaultTargetUrl 属性。默认值为 false。

authentication-details-source-ref 对将由身份验证过滤器使用的 AuthenticationDetailsSource 的引用

authentication-failure-handler-ref 可用作 authentication-failure-url 的替代方案，让您完全控制身份验证失败后的导航流程。该值应为应用程序上下文中 AuthenticationFailureHandler bean 的名称。

authentication-failure-url 映射到 UsernamePasswordAuthenticationFilter 的 authenticationFailureUrl 属性。定义登录失败时浏览器将重定向到的 URL。默认值为 /login?error，它将由自动登录页面生成器自动处理，重新渲染登录页面并显示错误消息。

authentication-success-handler-ref 这可用于替代 default-target-url 和 always-use-default-target，让您完全控制成功身份验证后的导航流程。该值应为应用程序上下文中 AuthenticationSuccessHandler bean 的名称。默认情况下，将使用 SavedRequestAwareAuthenticationSuccessHandler 的实现，并使用 default-target-url 进行注入。

default-target-url 映射到 UsernamePasswordAuthenticationFilter 的 defaultTargetUrl 属性。如果未设置，则默认值为 "/"（应用程序根目录）。用户登录后将被带到此 URL，前提是他们未在尝试访问受保护资源时被要求登录，在这种情况下，他们将被带到最初请求的 URL。

login-page 用于渲染登录页面的 URL。映射到 LoginUrlAuthenticationEntryPoint 的 loginFormUrl 属性。默认值为 "/login"。

login-processing-url 映射到 UsernamePasswordAuthenticationFilter 的 filterProcessesUrl 属性。默认值为 "/login"。

password-parameter 包含密码的请求参数的名称。默认值为 "password"。

username-parameter 包含用户名请求参数的名称。默认值为 "username"。

authentication-success-forward-url 将 ForwardAuthenticationSuccessHandler 映射到 UsernamePasswordAuthenticationFilter 的 authenticationSuccessHandler 属性。

authentication-failure-forward-url 将 ForwardAuthenticationFailureHandler 映射到 UsernamePasswordAuthenticationFilter 的 authenticationFailureHandler 属性。

http

client-registration-repository-ref ClientRegistrationRepository 的引用。

authorized-client-repository-ref OAuth2AuthorizedClientRepository 的引用。

authorized-client-service-ref OAuth2AuthorizedClientService 的引用。

授权请求存储库引用 AuthorizationRequestRepository 的引用。

授权请求解析器引用 OAuth2AuthorizationRequestResolver 的引用。

授权重定向策略引用 授权 RedirectStrategy 的引用。

访问令牌响应客户端引用 OAuth2AccessTokenResponseClient 的引用。

用户权限映射器引用 GrantedAuthoritiesMapper 的引用。

用户服务引用 OAuth2UserService 的引用。

OpenID Connect 用户服务引用 OpenID Connect OAuth2UserService 的引用。

登录处理 URL 过滤器处理身份验证请求的 URI。

登录页面 发送用户登录的 URI。

身份验证成功处理程序引用 AuthenticationSuccessHandler 的引用。

身份验证失败处理程序引用 AuthenticationFailureHandler 的引用。

JWT 解码器工厂引用 OidcAuthorizationCodeAuthenticationProvider 使用的 JwtDecoderFactory 的引用。

http

client-registration-repository-ref ClientRegistrationRepository 的引用。

authorized-client-repository-ref OAuth2AuthorizedClientRepository 的引用。

authorized-client-service-ref OAuth2AuthorizedClientService 的引用。

授权码授予

OAuth2 客户端

授权请求存储库引用 AuthorizationRequestRepository 的引用。

授权重定向策略引用 授权 RedirectStrategy 的引用。

授权请求解析器引用 OAuth2AuthorizationRequestResolver 的引用。

访问令牌响应客户端引用 OAuth2AccessTokenResponseClient 的引用。

客户端注册

提供者

客户端注册

registration-id 用于唯一标识 ClientRegistration 的 ID。

client-id 客户端标识符。

client-secret 客户端密钥。

client-authentication-method 用于验证客户端与提供者身份验证的方法。支持的值为 client_secret_basic、client_secret_post、private_key_jwt、client_secret_jwt 和 none (公共客户端)。

authorization-grant-type OAuth 2.0 授权框架定义了四种 授权授权 类型。支持的值为 authorization_code、client_credentials、password，以及扩展授权类型 urn:ietf:params:oauth:grant-type:jwt-bearer。

redirect-uri 客户端注册的重定向 URI，授权服务器 在最终用户完成身份验证并授权访问客户端后，将最终用户的用户代理重定向到该 URI。

scope 客户端在授权请求流程中请求的范围，例如 openid、email 或 profile。

client-name 用于客户端的描述性名称。该名称可能在某些情况下使用，例如在自动生成的登录页面中显示客户端名称时。

provider-id 对关联提供者的引用。可以引用 <provider> 元素或使用其中一个通用提供者（google、github、facebook、okta）。

客户端注册

provider-id 用于唯一标识提供者的 ID。

authorization-uri 授权服务器的授权端点 URI。

token-uri 授权服务器的令牌端点 URI。

user-info-uri 用于访问已验证最终用户声明/属性的用户信息端点 URI。

user-info-authentication-method 将访问令牌发送到用户信息端点时使用的身份验证方法。支持的值为 header、form 和 query。

user-info-user-name-attribute UserInfo 响应中返回的属性名称，用于引用最终用户的姓名或标识符。

jwk-set-uri 用于从授权服务器检索 JSON Web Key (JWK) 集的 URI，其中包含用于验证 JSON Web Signature (JWS) 的加密密钥（用于验证 ID 令牌，以及可选的 UserInfo 响应）。

issuer-uri 用于使用 OpenID Connect 提供者的 配置端点 或授权服务器的 元数据端点 初始配置 ClientRegistration 的 URI。

http

jwt

opaque-token

authentication-manager-resolver-ref 对 AuthenticationManagerResolver 的引用，该解析器将在请求时解析 AuthenticationManager

bearer-token-resolver-ref 对 BearerTokenResolver 的引用，该解析器将从请求中检索承载令牌

entry-point-ref 对 AuthenticationEntryPoint 的引用，该入口点将处理未经授权的请求

OAuth2 资源服务器

jwt-authentication-converter-ref 对 Converter<Jwt, AbstractAuthenticationToken> 的引用

jwt-decoder-ref 对 JwtDecoder 的引用。这是一个更大的组件，它会覆盖 jwk-set-uri

jwk-set-uri 用于从 OAuth 2.0 授权服务器加载签名验证密钥的 JWK 集 URI

OAuth2 资源服务器

introspector-ref 对 OpaqueTokenIntrospector 的引用。这是一个更大的组件，它会覆盖 introspection-uri、client-id 和 client-secret。

introspection-uri 用于内省不透明令牌详细信息的内省 URI。应与 client-id 和 client-secret 配合使用。

client-id 用于针对提供的 introspection-uri 进行客户端身份验证的客户端 ID。

client-secret 用于针对提供的 introspection-uri 进行客户端身份验证的客户端密钥。

authentication-converter-ref 对 OpaqueTokenAuthenticationConverter 的引用。负责将成功的内省结果转换为 Authentication 实例。

id 唯一标识 RelyingPartyRegistrationRepository 的 ID。

asserting-party

relying-party-registration

relying-party-registrations

registration-id 唯一标识 RelyingPartyRegistration 的 ID。

metadata-location 声明方元数据位置。

client-id 依赖方的 EntityID。

assertion-consumer-service-location AssertionConsumerService 位置。等效于依赖方 <SPSSODescriptor> 中 <AssertionConsumerService Location="…​"/> 中找到的值。

assertion-consumer-service-binding AssertionConsumerService 绑定。等效于依赖方 <SPSSODescriptor> 中 <AssertionConsumerService Binding="…​"/> 中找到的值。支持的值为 POST 和 REDIRECT。

single-logout-service-location SingleLogoutService 位置。等效于依赖方 <SPSSODescriptor> 中 <SingleLogoutService Location="…​"/> 中找到的值。

single-logout-service-response-location SingleLogoutService ResponseLocation。等效于依赖方 <SPSSODescriptor> 中 <SingleLogoutService ResponseLocation="…​"/> 中找到的值。

single-logout-service-binding 单点注销服务绑定。等效于依赖方 `` 中 `` 中的值。支持的值为 **POST** 和 **REDIRECT**。

asserting-party-id 与关联的断言方相关的引用。必须引用一个 `<asserting-party>` 元素。

decryption-credential

signing-credential

relying-party-registration

certificate-location 获取证书的位置

private-key-location 获取依赖方私钥的位置

relying-party-registration

certificate-location 获取此证书的位置

private-key-location 获取依赖方私钥的位置

relying-party-registrations

asserting-party-id 唯一标识断言方的 ID。

entity-id 断言方的 EntityID

want-authn-requests-signed `WantAuthnRequestsSigned` 设置，指示断言方希望依赖方在发送之前对 `AuthnRequest` 进行签名。

single-sign-on-service-location 单点登录服务 位置。

single-sign-on-service-binding 单点登录服务 绑定。支持的值为 **POST** 和 **REDIRECT**。

signing-algorithms 此断言方的 `org.opensaml.saml.ext.saml2alg.SigningMethod` 算法列表，按优先级排序。

single-logout-service-location 单点注销服务位置。等效于断言方<IDPSSODescriptor>中<SingleLogoutService Location="…​"/>中的值。

single-logout-service-response-location 单点注销服务响应位置。等效于断言方<IDPSSODescriptor>中<SingleLogoutService ResponseLocation="…​"/>中的值。

single-logout-service-binding 单点注销服务绑定。等效于断言方<IDPSSODescriptor>中<SingleLogoutService Binding="…​"/>中的值。支持的值为POST和REDIRECT。

encryption-credential

verification-credential

asserting-party

certificate-location 获取证书的位置

private-key-location 获取依赖方私钥的位置

asserting-party

certificate-location 获取此证书的位置

private-key-location 获取依赖方私钥的位置

http

authentication-details-source-ref 对将由身份验证过滤器使用的 AuthenticationDetailsSource 的引用

entry-point-ref 设置BasicAuthenticationFilter使用的AuthenticationEntryPoint。

ref 定义一个指向实现 HttpFirewall 接口的 Spring bean 的引用。

filter-security-metadata-source

http

access 列出将存储在 FilterInvocationSecurityMetadataSource 中的访问属性，用于定义的 URL 模式/方法组合。这应该是一个逗号分隔的安全配置属性列表（例如角色名称）。

method 将与模式和 servlet 路径（可选）结合使用以匹配传入请求的 HTTP 方法。如果省略，任何方法都将匹配。如果使用和不使用方法指定了相同的模式，则特定于方法的匹配将优先。

pattern 定义 URL 路径的模式。内容将取决于包含 http 元素的 request-matcher 属性，因此如果 Spring MVC 在类路径中，将默认为 MVC 匹配器。

request-matcher-ref 指向 RequestMatcher 的引用，该引用将用于确定是否使用此 <intercept-url>。

requires-channel 可以是 "http" 或 "https"，具体取决于特定 URL 模式是否应该分别通过 HTTP 或 HTTPS 访问。或者，当没有偏好时，可以使用值 "any"。如果此属性存在于任何 <intercept-url> 元素上，则 ChannelProcessingFilter 将被添加到过滤器堆栈中，并且其附加依赖项将被添加到应用程序上下文中。

servlet-path 用于与模式和 HTTP 方法结合以匹配传入请求的 servlet 路径。此属性仅在 request-matcher 为 'mvc' 时适用。此外，该值仅在以下两种情况下需要：1) 在 ServletContext 中注册了两个或多个 HttpServlet，它们具有以 '/' 开头的映射并且不同；2) 模式以注册的 HttpServlet 路径的相同值开头，不包括默认（根）HttpServlet '/'。

http

mappable-roles 在传入的 HttpServletRequest 中查找的角色的逗号分隔列表。

user-service-ref 对用户服务（或 UserDetailsService bean）ID 的引用。

http

delete-cookies 用户注销时应删除的 cookie 名称的逗号分隔列表。

invalidate-session 映射到 SecurityContextLogoutHandler 的 invalidateHttpSession。默认为“true”，因此会话将在注销时失效。

logout-success-url 用户注销后将被带到的目标 URL。默认为 <form-login-login-page>/?logout（即 /login?logout）

logout-url 将导致注销的 URL（即，将由过滤器处理的 URL）。默认为“/logout”。

success-handler-ref 可用于提供 LogoutSuccessHandler 的实例，该实例将在注销后被调用以控制导航。

http

relying-party-registration-repository-ref 对 RelyingPartyRegistrationRepository 的引用。

authentication-request-repository-ref 指向 Saml2AuthenticationRequestRepository 的引用。

authentication-request-context-resolver-ref 指向 Saml2AuthenticationRequestResolver 的引用。

authentication-converter-ref 指向 AuthenticationConverter 的引用。

登录处理 URL 过滤器处理身份验证请求的 URI。

登录页面 发送用户登录的 URI。

身份验证成功处理程序引用 AuthenticationSuccessHandler 的引用。

身份验证失败处理程序引用 AuthenticationFailureHandler 的引用。

authentication-manager-ref 指向 AuthenticationManager 的引用。

http

logout-url 信赖方或断言方用来触发注销的 URL。

logout-request-url 断言方用来发送 SAML 2.0 注销请求的 URL。

logout-response-url 断言方用来发送 SAML 2.0 注销响应的 URL。

relying-party-registration-repository-ref 对 RelyingPartyRegistrationRepository 的引用。

logout-request-validator-ref 指向 Saml2LogoutRequestValidator 的引用。

logout-request-resolver-ref 指向 Saml2LogoutRequestResolver 的引用。

logout-request-repository-ref 指向 Saml2LogoutRequestRepository 的引用。

logout-response-validator-ref 指向 Saml2LogoutResponseValidator 的引用。

logout-response-resolver-ref 指向 Saml2LogoutResponseResolver 的引用。

http

change-password-page 更改密码页面。默认值为 "/change-password"。

http

port-mapping

端口映射

http 要使用的 http 端口。

https 要使用的 https 端口。

http

authentication-success-handler-ref 如果需要自定义导航，则在 RememberMeAuthenticationFilter 上设置 authenticationSuccessHandler 属性。 该值应为应用程序上下文中的 AuthenticationSuccessHandler bean 的名称。

data-source-ref 对 DataSource bean 的引用。 如果设置了此属性，则将使用 PersistentTokenBasedRememberMeServices 并使用 JdbcTokenRepositoryImpl 实例进行配置。

remember-me-parameter 切换记住我身份验证的请求参数的名称。 默认值为“remember-me”。 映射到 AbstractRememberMeServices 的“parameter”属性。

remember-me-cookie 用于存储记住我身份验证令牌的 cookie 的名称。 默认值为“remember-me”。 映射到 AbstractRememberMeServices 的“cookieName”属性。

key 映射到 AbstractRememberMeServices 的“key”属性。 应设置为唯一值，以确保记住我 cookie 仅在一个应用程序中有效 ^[3]。 如果未设置此属性，将生成一个安全的随机值。 由于生成安全的随机值可能需要一段时间，因此显式设置此值可以帮助在使用记住我功能时缩短启动时间。

services-alias 将内部定义的 RememberMeServices 导出为 bean 别名，允许应用程序上下文中的其他 bean 使用它。

services-ref 允许完全控制过滤器将使用的 RememberMeServices 实现。 该值应为应用程序上下文中的实现此接口的 bean 的 id。 如果使用注销过滤器，还应实现 LogoutHandler。

token-repository-ref 配置 PersistentTokenBasedRememberMeServices，但允许使用自定义 PersistentTokenRepository bean。

token-validity-seconds 映射到 AbstractRememberMeServices 的 tokenValiditySeconds 属性。 指定记住我 cookie 有效的秒数。 默认情况下，它将有效 14 天。

use-secure-cookie 建议仅通过 HTTPS 提交记住我 cookie，因此应将其标记为“安全”。 默认情况下，如果进行登录请求的连接是安全的（应该如此），则将使用安全 cookie。 如果将此属性设置为 false，则不会使用安全 cookie。 将其设置为 true 将始终在 cookie 上设置安全标志。 此属性映射到 AbstractRememberMeServices 的 useSecureCookie 属性。

user-service-ref 记住我服务的实现需要访问 UserDetailsService，因此应用程序上下文中必须定义一个。如果只有一个，命名空间配置将自动选择并使用它。如果有多个实例，可以使用此属性显式指定 bean id。

http

ref 定义对 Spring bean 的引用，该 bean 是一个 RequestCache。

http

authentication-strategy-explicit-invocation 将此属性设置为 true 意味着 SessionManagementFilter 不会被注入，并且需要显式调用 SessionAuthenticationStrategy。

invalid-session-url 设置此属性将使用配置了属性值的 SimpleRedirectInvalidSessionStrategy 注入 SessionManagementFilter。当提交无效的会话 ID 时，将调用该策略，重定向到配置的 URL。

invalid-session-url 允许注入 SessionManagementFilter 使用的 InvalidSessionStrategy 实例。使用此属性或 invalid-session-url 属性，但不能同时使用两者。

session-authentication-error-url 定义当 SessionAuthenticationStrategy 抛出异常时应显示的错误页面的 URL。如果未设置，将向客户端返回未授权 (401) 错误代码。请注意，此属性不适用于在基于表单的登录期间发生的错误，在这种情况下，身份验证失败的 URL 将优先使用。

session-authentication-strategy-ref 允许注入 SessionManagementFilter 使用的 SessionAuthenticationStrategy 实例

session-fixation-protection 指示在用户身份验证时如何应用会话固定保护。如果设置为“none”，则不会应用任何保护。 “newSession” 将创建一个新的空会话，只有与 Spring Security 相关的属性被迁移。 “migrateSession” 将创建一个新的会话并将所有会话属性复制到新会话。在 Servlet 3.1（Java EE 7）和更新的容器中，指定“changeSessionId” 将保留现有会话并使用容器提供的会话固定保护（HttpServletRequest#changeSessionId()）。在 Servlet 3.1 和更新的容器中默认为“changeSessionId”，在旧容器中默认为“migrateSession”。如果在旧容器中使用“changeSessionId”，则会抛出异常。

concurrency-control

会话管理

error-if-maximum-exceeded 如果设置为“true”，当用户尝试超过允许的最大会话数时，将引发 SessionAuthenticationException。默认行为是使原始会话过期。

expired-url 用户将被重定向到的 URL，如果他们尝试使用已被并发会话控制器“过期”的会话，因为用户已超过允许的会话数并在其他地方再次登录。应设置，除非设置了 exception-if-maximum-exceeded。如果没有提供值，则只会将过期消息直接写回响应。

expired-url 允许注入 ConcurrentSessionFilter 使用的 ExpiredSessionStrategy 实例

max-sessions 映射到 ConcurrentSessionControlAuthenticationStrategy 的 maximumSessions 属性。指定 -1 作为值以支持无限会话。

session-registry-alias 拥有对内部会话注册表的引用以供您自己的 bean 或管理界面使用也很有用。您可以使用 session-registry-alias 属性公开内部 bean，并为其提供您可以在配置中其他地方使用的名称。

session-registry-ref 用户可以使用 session-registry-ref 属性提供自己的 SessionRegistry 实现。其他并发会话控制 bean 将被连接起来使用它。

http

authentication-details-source-ref 对 AuthenticationDetailsSource 的引用

subject-principal-regex 定义一个正则表达式，用于从证书中提取用户名（用于 UserDetailsService）。

user-service-ref 允许在配置多个实例的情况下，使用特定的 UserDetailsService 与 X.509 配合使用。如果未设置，将尝试自动查找合适的实例并使用它。

request-matcher 定义用于匹配传入请求的策略。目前选项包括 'ant'（用于 ant 路径模式）、'regex' 用于正则表达式和 'ciRegex' 用于不区分大小写的正则表达式。

filter-chain

filter-chain-map

filters 实现 Filter 的 Spring bean 的逗号分隔列表。值 "none" 表示不应为此 FilterChain 使用任何 Filter。

pattern 与 request-matcher 结合使用，创建 RequestMatcher 的模式。

request-matcher-ref 对 RequestMatcher 的引用，它将用于确定是否应调用 filters 属性中的任何 Filter。

id 用于在上下文中引用 bean 的 bean 标识符。

request-matcher 定义用于匹配传入请求的策略。目前，选项包括“ant”（用于 ant 路径模式）、“regex”（用于正则表达式）和“ciRegex”（用于不区分大小写的正则表达式）。

use-expressions 启用在 <intercept-url> 元素的“access”属性中使用表达式，而不是传统的配置属性列表。默认为“true”。如果启用，每个属性应包含单个布尔表达式。如果表达式计算结果为“true”，则授予访问权限。

拦截 URL