Web 应用安全
<debug>
启用 Spring Security 调试基础设施。这将提供人类可读的(多行)调试信息,用于监控进入安全过滤器的请求。这可能包含敏感信息,例如请求参数或标头,并且只应在开发环境中使用。
<http>
如果在应用程序中使用<http> 元素,则会创建一个名为“springSecurityFilterChain”的FilterChainProxy bean,并且元素中的配置用于在FilterChainProxy中构建过滤器链。从 Spring Security 3.1 开始,可以使用附加的http 元素添加额外的过滤器链[1](有关如何设置从web.xml进行映射的方法)。某些核心过滤器始终在过滤器链中创建,而其他过滤器将根据存在的属性和子元素添加到堆栈中。标准过滤器的顺序是固定的(请参阅命名空间介绍中的过滤器顺序表),消除了以前框架版本中用户必须在FilterChainProxy bean中显式配置过滤器链时常见的错误来源。当然,如果需要完全控制配置,您仍然可以这样做。
所有需要引用AuthenticationManager的过滤器都将自动注入命名空间配置创建的内部实例。
每个<http> 命名空间块始终创建一个SecurityContextPersistenceFilter、一个ExceptionTranslationFilter 和一个FilterSecurityInterceptor。这些是固定的,不能被替代。
<http> 属性
<http> 元素上的属性控制核心过滤器上的一些属性。
-
access-decision-manager-ref 可选属性,指定应用于授权 HTTP 请求的
AccessDecisionManager实现的 ID。默认情况下,使用带有RoleVoter和AuthenticatedVoter的AffirmativeBased实现。
-
authentication-manager-ref 此 http 元素创建的
FilterChain使用的AuthenticationManager的引用。
-
observation-registry-ref
FilterChain及相关组件使用的ObservationRegistry的引用。
-
auto-config 自动注册登录表单、BASIC 身份验证和注销服务。如果设置为“true”,则会添加所有这些功能(尽管您仍然可以通过提供相应的元素来自定义每个元素的配置)。如果未指定,则默认为“false”。不建议使用此属性。请改用显式配置元素,避免混淆。
-
create-session 控制 Spring Security 类创建 HTTP 会话的积极性。选项包括:
-
always- 如果不存在会话,Spring Security 将主动创建一个会话。 -
ifRequired- Spring Security 仅在需要时才创建会话(默认值)。 -
never- Spring Security 永远不会创建会话,但如果应用程序已存在会话,则会使用它。 -
stateless- Spring Security 不会创建会话,并且会忽略用于获取 SpringAuthentication的会话。
-
-
disable-url-rewriting 防止将会话 ID 附加到应用程序中的 URL。如果此属性设置为
true,则客户端必须使用 Cookie。默认为true。
-
entry-point-ref 通常,使用的
AuthenticationEntryPoint将根据已配置的身份验证机制进行设置。此属性允许通过定义一个自定义的AuthenticationEntryPointbean 来覆盖此行为,该 bean 将启动身份验证过程。
-
jaas-api-provision 如果可用,则以从
JaasAuthenticationToken(通过向堆栈添加JaasApiIntegrationFilterbean 来实现)获取的Subject运行请求。默认为false。
-
name bean 标识符,用于在上下文中的其他地方引用该 bean。
-
once-per-request 对应于
FilterSecurityInterceptor的observeOncePerRequest属性。默认为false。
-
filter-all-dispatcher-types 对应于
AuthorizationFilter的shouldFilterAllDispatcherTypes属性。当use-authorization-manager=false时无效。默认为true。
-
pattern 为http元素定义模式控制将通过其定义的过滤器列表过滤的请求。解释取决于已配置的request-matcher。如果没有定义模式,则将匹配所有请求,因此应首先声明最具体的模式。
-
realm 设置用于基本身份验证(如果启用)的领域名称。对应于
BasicAuthenticationEntryPoint上的realmName属性。
-
request-matcher 定义
FilterChainProxy和intercept-url创建的 bean 中使用的RequestMatcher策略,以匹配传入的请求。当前的选项包括mvc、ant、regex和ciRegex,分别用于 Spring MVC、ant、正则表达式和不区分大小写的正则表达式。使用其pattern、method和servlet-path属性为每个intercept-url元素创建一个单独的实例。Ant 路径使用AntPathRequestMatcher匹配,正则表达式使用RegexRequestMatcher匹配,对于 Spring MVC 路径匹配,使用MvcRequestMatcher。有关匹配执行方式的更多详细信息,请参阅这些类的Javadoc。如果类路径中存在 Spring MVC,则 MVC 是默认策略;否则,使用 Ant 路径。
-
request-matcher-ref 对实现
RequestMatcher的 bean 的引用,该 bean 将确定是否应使用此FilterChain。这是pattern的更强大的替代方法。
-
security 通过将此属性设置为
none,可以将请求模式映射到空的过滤器链。不会应用任何安全性,并且 Spring Security 的任何功能都将不可用。
-
security-context-repository-ref 允许将自定义
SecurityContextHolderStrategy注入SecurityContextPersistenceFilter、SecurityContextHolderFilter、BasicAuthenticationFilter、UsernamePasswordAuthenticationFilter、ExceptionTranslationFilter、LogoutFilter等。
-
security-context-explicit-save 如果为 true,则使用
SecurityContextHolderFilter而不是SecurityContextPersistenceFilter。需要显式保存。
-
security-context-repository-ref 允许将自定义
SecurityContextRepository注入SecurityContextPersistenceFilter。
-
servlet-api-provision 提供
HttpServletRequest安全方法(例如isUserInRole()和getPrincipal())的版本,这些方法是通过向堆栈添加SecurityContextHolderAwareRequestFilterbean 来实现的。默认为true。
-
use-expressions 在
access属性中启用 EL 表达式,如关于基于表达式的访问控制的章节中所述。默认值为 true。
<access-denied-handler>
此元素允许您使用error-page属性设置ExceptionTranslationFilter使用的默认AccessDeniedHandler的errorPage属性,或者使用ref属性提供您自己的实现。这在关于ExceptionTranslationFilter的部分中进行了更详细的讨论。
<cors>
此元素允许配置CorsFilter。如果没有指定CorsFilter或CorsConfigurationSource并且类路径中存在 Spring MVC,则将HandlerMappingIntrospector用作CorsConfigurationSource。
<cors>属性
<cors>元素上的属性控制headers元素。
-
ref 指定
CorsFilter的 bean 名称的可选属性。
-
cors-configuration-source-ref 指定要注入到 XML 命名空间创建的
CorsFilter中的CorsConfigurationSource的 bean 名称的可选属性。
<headers>
-
Cache-Control、Pragma和Expires- 可以使用cache-control元素设置。这确保浏览器不会缓存您的安全页面。 -
Strict-Transport-Security- 可以使用hsts元素设置。这确保浏览器自动请求未来请求的 HTTPS。 -
X-Frame-Options- 可以使用frame-options元素设置。X-Frame-Options标头可用于防止点击劫持攻击。 -
X-XSS-Protection- 可以使用xss-protection元素设置。X-XSS-Protection标头可用于浏览器进行基本控制。 -
X-Content-Type-Options- 可以使用content-type-options元素设置。X-Content-Type-Options标头可防止 Internet Explorer 将响应的 MIME 类型嗅探到声明的 content-type 之外。这在下载扩展程序时也适用于 Google Chrome。 -
Public-Key-Pinning或Public-Key-Pinning-Report-Only- 可以使用hpkp元素设置。这允许 HTTPS 网站抵御使用错误颁发或其他欺诈证书的攻击者的模仿。 -
Content-Security-Policy或Content-Security-Policy-Report-Only- 可以使用content-security-policy元素设置。内容安全策略 (CSP)是一种机制,Web 应用程序可以利用它来减轻内容注入漏洞,例如跨站点脚本 (XSS)。 -
Referrer-Policy- 可以使用referrer-policy元素设置。Referrer-Policy是一种机制,Web 应用程序可以利用它来管理 referrer 字段,该字段包含用户上一个页面的信息。 -
Feature-Policy- 可以使用feature-policy元素设置。Feature-Policy是一种机制,允许 Web 开发人员选择性地启用、禁用和修改浏览器中某些 API 和 Web 功能的行为。 -
Cross-Origin-Opener-Policy- 可以使用cross-origin-opener-policy元素设置。Cross-Origin-Opener-Policy是一种机制,允许您确保顶级文档不与跨源文档共享浏览上下文组。 -
Cross-Origin-Embedder-Policy- 可以使用cross-origin-embedder-policy元素设置。Cross-Origin-Embedder-Policy是一种机制,可以防止文档加载任何未明确授予文档权限的跨源资源。 -
Cross-Origin-Resource-Policy- 可以使用cross-origin-resource-policy元素设置。Cross-Origin-Resource-Policy是一种机制,它传达了一种愿望,即浏览器阻止对给定资源的 no-cors 跨源/跨站点请求。
<headers>属性
<headers>元素上的属性控制headers元素。
-
defaults-disabled 指定禁用默认 Spring Security 的 HTTP 响应标头的可选属性。默认为 false(包含默认标头)。
-
disabled 可选属性,用于禁用 Spring Security 的 HTTP 响应头。默认为 false(启用响应头)。
<hsts>
启用后,会为任何安全请求向响应中添加 Strict-Transport-Security 头。这允许服务器指示浏览器为将来的请求自动使用 HTTPS。
<hsts> 属性
-
disabled 指定是否禁用 Strict-Transport-Security。默认为 false。
-
include-sub-domains 指定是否包含子域。默认为 true。
-
max-age-seconds 指定主机应被视为已知 HSTS 主机的最长时间。默认为一年。
-
request-matcher-ref 用于确定是否应设置标头的 RequestMatcher 实例。默认为 HttpServletRequest.isSecure() 为 true 时。
-
preload 指定是否应包含预加载。默认为 false。
<hpkp>
启用后,会为任何安全请求向响应中添加 HTTP 公钥固定扩展 头。这允许 HTTPS 网站抵御使用错误颁发或其他欺诈证书的攻击者进行的模仿。
<hpkp> 属性
-
disabled 指定是否禁用 HTTP 公钥固定 (HPKP)。默认为 true。
-
include-sub-domains 指定是否包含子域。默认为 false。
-
max-age-seconds 设置 Public-Key-Pins 标头的 max-age 指令的值。默认为 60 天。
-
report-only 指定浏览器是否应仅报告 pin 验证失败。默认为 true。
-
report-uri 指定浏览器应向其报告 pin 验证失败的 URI。
<content-security-policy>
启用后,会向响应中添加 内容安全策略 (CSP) 头。CSP 是一种 Web 应用程序可以利用的机制,用于减轻内容注入漏洞,例如跨站点脚本 (XSS)。
<content-security-policy> 属性
-
policy-directives 内容安全策略标头的安全策略指令,如果 report-only 设置为 true,则使用内容安全策略报告仅标头。
-
report-only 设置为 true,以启用内容安全策略报告仅标头,仅用于报告策略违规。默认为 false。
<referrer-policy>
启用后,会向响应中添加 Referrer Policy 头。
<frame-options>
启用后,会向响应中添加 X-Frame-Options 头,这允许较新的浏览器执行一些安全检查并防止 点击劫持 攻击。
<frame-options> 属性
-
disabled 如果禁用,则不会包含 X-Frame-Options 头。默认为 false。
-
policy
-
DENY页面不能显示在框架中,无论尝试执行此操作的站点如何。这是指定 frame-options-policy 时的默认值。 -
SAMEORIGIN页面只能显示在与页面本身具有相同来源的框架中。
换句话说,如果您指定 DENY,那么不仅从其他站点加载页面到框架中的尝试会失败,从同一站点加载页面到框架中的尝试也会失败。另一方面,如果您指定 SAMEORIGIN,只要包含它的站点与提供页面的站点相同,您仍然可以在框架中使用该页面。
-
<permissions-policy>
向响应中添加 Permissions-Policy 头。
<xss-protection>
向响应中添加 X-XSS-Protection 头 以帮助防止 反射/类型 1 跨站点脚本 (XSS) 攻击。这绝不是对 XSS 攻击的全面保护!
<xss-protection> 属性
-
xss-protection-disabled 不要为 反射/类型 1 跨站点脚本 (XSS) 保护包含标头。
-
xss-protection-header-value 显式设置 反射/类型 1 跨站点脚本 (XSS) 标头的值。“0”、“1”、“1; mode=block”之一。默认为“0”。
<content-type-options>
使用 nosniff 值向响应中添加 X-Content-Type-Options 标头。这 禁用 IE8+ 和 Chrome 扩展程序的 MIME 检测。
<content-type-options> 的父元素
<cross-origin-embedder-policy>
启用后,会向响应中添加 Cross-Origin-Embedder-Policy 头。
<cross-origin-opener-policy>
启用后,会向响应中添加 Cross-Origin-Opener-Policy 头。
<cross-origin-resource-policy>
启用后,会向响应中添加 Cross-Origin-Resource-Policy 头。
<anonymous>
<csrf>
此元素会向应用程序添加 跨站点请求伪造 (CSRF) 保护。它还更新默认的 RequestCache,仅在成功身份验证后重播“GET”请求。更多信息可在参考的 跨站点请求伪造 (CSRF) 部分找到。
<csrf> 属性
-
disabled 可选属性,用于禁用 Spring Security 的 CSRF 保护。默认为 false(启用 CSRF 保护)。强烈建议保持启用 CSRF 保护。
-
token-repository-ref 要使用的 CsrfTokenRepository。默认为
HttpSessionCsrfTokenRepository。
-
request-handler-ref 要使用的可选
CsrfTokenRequestHandler。默认为CsrfTokenRequestAttributeHandler。
-
request-matcher-ref 用于确定是否应应用 CSRF 的 RequestMatcher 实例。默认为除“GET”、“TRACE”、“HEAD”、“OPTIONS”之外的任何 HTTP 方法。
<custom-filter>
此元素用于向过滤器链添加过滤器。它不会创建任何额外的 Bean,而是用于选择应用程序上下文中已定义的jakarta.servlet.Filter类型的 Bean,并将其添加到 Spring Security 维持的过滤器链中的特定位置。完整详细信息可在命名空间章节中找到。
<expression-handler>
<form-login>
用于向过滤器堆栈添加UsernamePasswordAuthenticationFilter,并向应用程序上下文添加LoginUrlAuthenticationEntryPoint,以便按需提供身份验证。这将始终优先于其他命名空间创建的入口点。如果未提供任何属性,则将在 URL "/login" 自动生成登录页面[2] 可以使用<form-login>属性自定义行为。
<form-login> 属性
-
always-use-default-target 如果设置为
true,则无论用户如何到达登录页面,用户都将始终从default-target-url给定的值开始。映射到UsernamePasswordAuthenticationFilter的alwaysUseDefaultTargetUrl属性。默认值为false。
-
authentication-details-source-ref 身份验证过滤器将使用的
AuthenticationDetailsSource的引用。
-
authentication-failure-handler-ref 可用作authentication-failure-url的替代方案,让您完全控制身份验证失败后的导航流程。该值应为应用程序上下文中
AuthenticationFailureHandlerBean 的名称。
-
authentication-failure-url 映射到
UsernamePasswordAuthenticationFilter的authenticationFailureUrl属性。定义登录失败时浏览器将重定向到的 URL。默认为/login?error,这将由自动登录页面生成器自动处理,并重新呈现带有错误消息的登录页面。
-
authentication-success-handler-ref 这可以用作default-target-url和always-use-default-target的替代方案,让您完全控制成功身份验证后的导航流程。该值应为应用程序上下文中
AuthenticationSuccessHandlerBean 的名称。默认情况下,使用SavedRequestAwareAuthenticationSuccessHandler的实现,并注入default-target-url。
-
default-target-url 映射到
UsernamePasswordAuthenticationFilter的defaultTargetUrl属性。如果未设置,则默认值为 "/"(应用程序根目录)。登录后,用户将转到此 URL,前提是他们在尝试访问受保护的资源时未被要求登录,在这种情况下,他们将转到最初请求的 URL。
-
login-page 应用于呈现登录页面的 URL。映射到
LoginUrlAuthenticationEntryPoint的loginFormUrl属性。默认为"/login"。
-
login-processing-url 映射到
UsernamePasswordAuthenticationFilter的filterProcessesUrl属性。默认值为"/login"。
-
password-parameter 包含密码的请求参数的名称。默认为"password"。
-
username-parameter 包含用户名请求参数的名称。默认为"username"。
-
authentication-success-forward-url 将
ForwardAuthenticationSuccessHandler映射到UsernamePasswordAuthenticationFilter的authenticationSuccessHandler属性。
-
authentication-failure-forward-url 将
ForwardAuthenticationFailureHandler映射到UsernamePasswordAuthenticationFilter的authenticationFailureHandler属性。
<oauth2-login>
OAuth 2.0 登录功能使用 OAuth 2.0 和/或 OpenID Connect 1.0 提供程序配置身份验证支持。
<oauth2-login> 属性
-
client-registration-repository-ref 对
ClientRegistrationRepository的引用。
-
access-token-response-client-ref 对
OAuth2AccessTokenResponseClient的引用。
-
user-service-ref 对
OAuth2UserService的引用。
-
oidc-user-service-ref 对 OpenID Connect
OAuth2UserService的引用。
-
login-processing-url 过滤器处理身份验证请求的 URI。
-
login-page 发送用户登录的 URI。
-
authentication-success-handler-ref 对
AuthenticationSuccessHandler的引用。
-
authentication-failure-handler-ref 对
AuthenticationFailureHandler的引用。
-
jwt-decoder-factory-ref
OidcAuthorizationCodeAuthenticationProvider使用的JwtDecoderFactory的引用。
<oauth2-client>
<client-registrations>
已注册客户端的容器元素(ClientRegistration),带有 OAuth 2.0 或 OpenID Connect 1.0 提供程序。
<client-registration>
表示已向 OAuth 2.0 或 OpenID Connect 1.0 提供程序注册的客户端。
<client-registration> 属性
-
registration-id 唯一标识
ClientRegistration的 ID。
-
client-id 客户端标识符。
-
client-secret 客户端密钥。
-
client-authentication-method 用于使用提供程序对客户端进行身份验证的方法。支持的值为client_secret_basic、client_secret_post、private_key_jwt、client_secret_jwt和none (公共客户端)。
-
redirect-uri 客户端已注册的重定向 URI,在最终用户已通过身份验证并授权访问客户端后,授权服务器将最终用户的用户代理重定向到该 URI。
-
scope 客户端在授权请求流程期间请求的范围,例如 openid、email 或 profile。
-
client-name 用于客户端的描述性名称。在某些情况下,名称可能会被使用,例如在自动生成的登录页面中显示客户端的名称时。
-
provider-id 对关联提供程序的引用。可以引用
<provider>元素或使用其中一个常用提供程序(google、github、facebook、okta)。
<provider>
OAuth 2.0 或 OpenID Connect 1.0 提供程序的配置信息。
<provider> 属性
-
provider-id 唯一标识提供程序的 ID。
-
token-uri 授权服务器的令牌端点 URI。
-
user-info-uri 用于访问已认证最终用户的声明/属性的用户信息端点 URI。
-
user-info-authentication-method 将访问令牌发送到用户信息端点时使用的身份验证方法。支持的值为header、form和query。
-
user-info-user-name-attribute 用户信息响应中引用的最终用户的名称或标识符的属性名称。
-
jwk-set-uri 用于从授权服务器检索JSON Web 密钥 (JWK)集的 URI,该集合包含用于验证 ID 令牌的加密密钥以及可选的用户信息响应的JSON Web 签名 (JWS)。
<oauth2-resource-server>
<opaque-token>
表示一个OAuth 2.0资源服务器,它将授权不透明令牌。
<opaque-token> 属性
-
introspector-ref 指向一个
OpaqueTokenIntrospector。这是一个更大的组件,它会覆盖introspection-uri、client-id和client-secret。
-
introspection-uri 用于内省不透明令牌详细信息的内省Uri。应与
client-id和client-secret一起使用。
-
client-id 用于针对提供的
introspection-uri进行客户端身份验证的客户端ID。
-
client-secret 用于针对提供的
introspection-uri进行客户端身份验证的客户端密钥。
-
authentication-converter-ref 指向一个
OpaqueTokenAuthenticationConverter。负责将成功的内省结果转换为Authentication实例。
<relying-party-registrations>
已注册的依赖方(ClientRegistration)的容器元素,与SAML 2.0身份提供者一起使用。
<relying-party-registration>
表示已向SAML 2.0身份提供者注册的依赖方。
<relying-party-registration> 属性
-
registration-id 唯一标识
RelyingPartyRegistration的ID。
-
metadata-location 声明方元数据位置。
-
client-id 依赖方的EntityID。
-
assertion-consumer-service-location AssertionConsumerService 位置。等同于在依赖方的
<SPSSODescriptor>中找到的<AssertionConsumerService Location="…"/>中的值。
-
assertion-consumer-service-binding AssertionConsumerService 绑定。等同于在依赖方的
<SPSSODescriptor>中找到的<AssertionConsumerService Binding="…"/>中的值。支持的值为POST和REDIRECT。
-
single-logout-service-location SingleLogoutService 位置。等同于在依赖方的
<SPSSODescriptor>中找到的<SingleLogoutService Location="…"/>中的值。
-
single-logout-service-response-location SingleLogoutService ResponseLocation。等同于在依赖方的
<SPSSODescriptor>中找到的<SingleLogoutService ResponseLocation="…"/>中的值。
-
single-logout-service-binding SingleLogoutService 绑定。等同于在依赖方的
<SPSSODescriptor>中找到的<SingleLogoutService Binding="…"/>中的值。支持的值为POST和REDIRECT。
-
asserting-party-id 对关联的声明方的引用。必须引用
<asserting-party>元素。
<asserting-party>
SAML 2.0声明方的配置信息。
<asserting-party> 属性
-
asserting-party-id 唯一标识声明方的ID。
-
entity-id 声明方的EntityID
-
want-authn-requests-signed
WantAuthnRequestsSigned设置,指示声明方首选依赖方在发送之前应签署AuthnRequest。
-
single-sign-on-service-location SingleSignOnService 位置。
-
single-sign-on-service-binding SingleSignOnService 绑定。支持的值为POST和REDIRECT。
-
signing-algorithms 此声明方的
org.opensaml.saml.ext.saml2alg.SigningMethod算法列表,按优先级排序。
-
single-logout-service-location SingleLogoutService 位置。等同于在声明方的
<IDPSSODescriptor>中找到的<SingleLogoutService Location="…"/>中的值。
-
single-logout-service-response-location SingleLogoutService ResponseLocation。等同于在声明方的
<IDPSSODescriptor>中找到的<SingleLogoutService ResponseLocation="…"/>中的值。
-
single-logout-service-binding SingleLogoutService 绑定。等同于在声明方的
<IDPSSODescriptor>中找到的<SingleLogoutService Binding="…"/>中的值。支持的值为POST和REDIRECT。
<http-basic>
<intercept-url>
此元素用于定义应用程序感兴趣的一组URL模式,以及配置如何处理这些模式。它用于构建FilterSecurityInterceptor使用的FilterInvocationSecurityMetadataSource。如果需要通过HTTPS访问特定URL(例如),它还负责配置ChannelProcessingFilter。在将指定的模式与传入请求匹配时,匹配按声明元素的顺序进行。因此,最具体的模式应该放在前面,最通用的模式应该放在后面。
<intercept-url> 属性
-
access 列出将为定义的URL模式/方法组合存储在
FilterInvocationSecurityMetadataSource中的访问属性。这应该是安全配置属性(例如角色名称)的逗号分隔列表。
-
method 将与模式和servlet路径(可选)结合使用以匹配传入请求的HTTP方法。如果省略,则任何方法都将匹配。如果使用和不使用方法指定了相同的模式,则特定于方法的匹配将优先。
-
pattern 定义URL路径的模式。内容将取决于包含http元素中的
request-matcher属性,因此如果Spring MVC在类路径中,则默认为MVC匹配器。
-
request-matcher-ref 对将用于确定是否使用此
<intercept-url>的RequestMatcher的引用。
-
requires-channel 可设置为 "http" 或 "https",分别表示特定 URL 模式应通过 HTTP 或 HTTPS 访问。或者,当没有偏好时,可以使用值 "any"。如果此属性存在于任何
<intercept-url>元素中,则会将一个ChannelProcessingFilter添加到过滤器堆栈中,并将其附加依赖项添加到应用程序上下文。
如果添加了<port-mappings>配置,则SecureChannelProcessor和InsecureChannelProcessor bean 将使用此配置来确定用于重定向到 HTTP/HTTPS 的端口。
| 此属性对于filter-security-metadata-source无效。 |
-
servlet-path 将与模式和 HTTP 方法结合使用以匹配传入请求的 servlet 路径。此属性仅在request-matcher 为 'mvc' 时适用。此外,仅在以下两种情况下需要该值:1) 在
ServletContext中注册了两个或多个HttpServlet,它们的映射都以'/'开头且不同;2) 模式以已注册的HttpServlet路径的相同值开头,不包括默认的 (根)HttpServlet'/'。
| 此属性对于filter-security-metadata-source无效。 |
<logout>
将LogoutFilter添加到过滤器堆栈。它配置了SecurityContextLogoutHandler。
<logout> 属性
-
invalidate-session 映射到
SecurityContextLogoutHandler的invalidateHttpSession。默认为 "true",因此会话将在注销时失效。
-
logout-success-url 用户注销后将被带到的目标 URL。默认为 <form-login-login-page>/?logout (即 /login?logout)
设置此属性将使用配置了属性值的
SimpleRedirectInvalidSessionStrategy注入SessionManagementFilter。当提交无效的会话 ID 时,将调用该策略,重定向到配置的 URL。
-
logout-url 将导致注销的 URL(即,将由过滤器处理的 URL)。默认为 "/logout"。
-
success-handler-ref 可用于提供
LogoutSuccessHandler的实例,该实例将被调用以控制注销后的导航。
<saml2-login>
SAML 2.0 登录 功能使用 SAML 2.0 服务提供程序配置身份验证支持。
<saml2-login> 属性
-
relying-party-registration-repository-ref 对
RelyingPartyRegistrationRepository的引用。
-
authentication-request-repository-ref 对
Saml2AuthenticationRequestRepository的引用。
-
authentication-request-context-resolver-ref 对
Saml2AuthenticationRequestResolver的引用。
-
authentication-converter-ref 对
AuthenticationConverter的引用。
-
login-processing-url 过滤器处理身份验证请求的 URI。
-
login-page 发送用户登录的 URI。
-
authentication-success-handler-ref 对
AuthenticationSuccessHandler的引用。
-
authentication-failure-handler-ref 对
AuthenticationFailureHandler的引用。
-
authentication-manager-ref 对
AuthenticationManager的引用。
<saml2-logout>
SAML 2.0 单点注销 功能配置对 RP 和 AP 发起的 SAML 2.0 单点注销的支持。
<saml2-logout> 属性
-
logout-url 依赖方或断言方可以触发注销的 URL。
-
logout-request-url 断言方可以发送 SAML 2.0 注销请求的 URL。
-
logout-response-url 断言方可以发送 SAML 2.0 注销响应的 URL。
-
relying-party-registration-repository-ref 对
RelyingPartyRegistrationRepository的引用。
-
logout-request-validator-ref 对
Saml2LogoutRequestValidator的引用。
-
logout-request-resolver-ref 对
Saml2LogoutRequestResolver的引用。
-
logout-request-repository-ref 对
Saml2LogoutRequestRepository的引用。
-
logout-response-validator-ref 对
Saml2LogoutResponseValidator的引用。
-
logout-response-resolver-ref 对
Saml2LogoutResponseResolver的引用。
<port-mappings>
默认情况下,将向配置中添加一个PortMapperImpl实例,用于重定向到安全和非安全 URL。此元素可选择用于覆盖该类定义的默认映射。每个子<port-mapping>元素定义一对 HTTP:HTTPS 端口。默认映射为 80:443 和 8080:8443。在重定向到 HTTPS中可以找到覆盖这些映射的示例。
<remember-me>
将RememberMeAuthenticationFilter添加到堆栈。这反过来将配置为TokenBasedRememberMeServices,PersistentTokenBasedRememberMeServices或用户指定的实现RememberMeServices的 bean,具体取决于属性设置。
<remember-me> 属性
-
authentication-success-handler-ref 如果需要自定义导航,则设置
RememberMeAuthenticationFilter上的authenticationSuccessHandler属性。该值应为应用程序上下文中的AuthenticationSuccessHandlerbean 的名称。
-
data-source-ref 对
DataSourcebean 的引用。如果设置了此属性,则将使用PersistentTokenBasedRememberMeServices并配置JdbcTokenRepositoryImpl实例。
-
remember-me-parameter 切换记住我身份验证的请求参数的名称。默认为 "remember-me"。映射到
AbstractRememberMeServices的 "parameter" 属性。
-
key 映射到
AbstractRememberMeServices的 "key" 属性。应将其设置为唯一值,以确保记住我 cookie 仅在一个应用程序内有效[3]。如果未设置此值,则将生成一个安全随机值。由于生成安全随机值可能需要一段时间,因此显式设置此值可以帮助在使用记住我功能时缩短启动时间。
-
services-alias 将内部定义的
RememberMeServices导出为 bean 别名,允许应用程序上下文中的其他 bean 使用它。
-
services-ref 允许完全控制过滤器将使用的
RememberMeServices实现。该值应为应用程序上下文中的 bean 的id,该 bean 实现此接口。如果使用注销过滤器,则还应实现LogoutHandler。
-
token-repository-ref 配置
PersistentTokenBasedRememberMeServices,但允许使用自定义的PersistentTokenRepositorybean。
-
token-validity-seconds 映射到
AbstractRememberMeServices的tokenValiditySeconds属性。指定记住我 cookie 有效的秒数。默认情况下,它将有效期为 14 天。
-
user-service-ref 记住我服务实现需要访问
UserDetailsService,因此必须在应用程序上下文中定义一个。如果只有一个,则命名空间配置将自动选择并使用它。如果有多个实例,则可以使用此属性显式指定 beanid。
<request-cache> 元素
<session-management>
会话管理相关功能是通过向过滤器堆栈添加SessionManagementFilter来实现的。
<session-management> 属性
-
authentication-strategy-explicit-invocation 将此属性设置为 true 表示不会注入
SessionManagementFilter,并且需要显式调用 SessionAuthenticationStrategy。
-
invalid-session-url 设置此属性将使用配置了属性值的
SimpleRedirectInvalidSessionStrategy注入SessionManagementFilter。当提交无效的会话 ID 时,将调用该策略,重定向到配置的 URL。
-
invalid-session-url 允许注入 SessionManagementFilter 使用的 InvalidSessionStrategy 实例。使用此属性或
invalid-session-url属性,但不能同时使用两者。
-
session-authentication-error-url 定义当 SessionAuthenticationStrategy 抛出异常时应显示的错误页面的 URL。如果未设置,则将向客户端返回未授权 (401) 错误代码。请注意,如果错误发生在基于表单的登录过程中,则此属性不适用,此时身份验证失败的 URL 将优先。
-
session-authentication-strategy-ref 允许注入 SessionManagementFilter 使用的 SessionAuthenticationStrategy 实例。
-
session-fixation-protection 指示在用户进行身份验证时如何应用会话固定保护。如果设置为 "none",则不应用任何保护。"newSession" 将创建一个新的空会话,只迁移与 Spring Security 相关的属性。"migrateSession" 将创建一个新会话并将所有会话属性复制到新会话。在 Servlet 3.1(Java EE 7)和更新版本的容器中,指定 "changeSessionId" 将保留现有会话并使用容器提供的会话固定保护 (HttpServletRequest#changeSessionId())。在 Servlet 3.1 和更新版本的容器中默认为 "changeSessionId",在旧版容器中默认为 "migrateSession"。如果在旧版容器中使用 "changeSessionId",则会抛出异常。
如果启用了会话固定保护,则
SessionManagementFilter将注入一个配置正确的DefaultSessionAuthenticationStrategy。有关更多详细信息,请参阅此类的Javadoc。
<concurrency-control>
添加对并发会话控制的支持,允许限制用户的活动会话数。将创建一个ConcurrentSessionFilter,并使用ConcurrentSessionControlAuthenticationStrategy与SessionManagementFilter一起使用。如果已声明form-login元素,则策略对象也将注入到创建的身份验证过滤器中。将创建一个SessionRegistry实例(除非用户希望使用自定义bean,否则为SessionRegistryImpl实例)供策略使用。
<concurrency-control> 属性
-
error-if-maximum-exceeded 如果设置为“true”,当用户尝试超过允许的最大会话数时,将引发
SessionAuthenticationException。默认行为是使原始会话过期。
-
expired-url 如果用户尝试使用已被并发会话控制器“过期”的会话(因为用户已超过允许的会话数并在其他地方再次登录),则用户将被重定向到的URL。除非设置了
exception-if-maximum-exceeded,否则应设置此项。如果没有提供值,则只会将过期消息直接写回响应。
-
expired-url 允许注入
ConcurrentSessionFilter使用的ExpiredSessionStrategy实例
-
max-sessions 映射到
ConcurrentSessionControlAuthenticationStrategy的maximumSessions属性。指定-1作为值以支持无限会话。
-
session-registry-alias 能够引用内部会话注册表以便在您自己的bean或管理界面中使用也可能很有用。您可以使用
session-registry-alias属性公开内部bean,并为其指定一个名称,以便在配置中的其他地方使用。
-
session-registry-ref 用户可以使用
session-registry-ref属性提供他们自己的SessionRegistry实现。其他并发会话控制bean将被连接起来以使用它。
<x509>
<filter-chain-map>
<filter-chain>
在内部使用,以定义特定的URL模式和应用于与该模式匹配的URL的过滤器列表。当多个filter-chain元素按顺序组合以配置FilterChainProxy时,最具体的模式必须放在列表的顶部,最通用的模式放在底部。
<filter-chain> 属性
-
filters 实现
Filter的Spring bean的逗号分隔列表。值“none”表示此FilterChain不应使用任何Filter。
-
pattern 与request-matcher结合创建RequestMatcher的模式
-
request-matcher-ref 对
RequestMatcher的引用,它将用于确定是否应调用filters属性中的任何Filter。
<filter-security-metadata-source>
用于为与FilterSecurityInterceptor一起使用显式配置FilterSecurityMetadataSource bean。通常只有在显式配置FilterChainProxy而不是使用<http>元素时才需要。使用的intercept-url元素应仅包含pattern、method和access属性。任何其他属性都将导致配置错误。
<filter-security-metadata-source> 属性
-
id bean标识符,用于在上下文的其他地方引用该bean。
-
request-matcher 定义用于匹配传入请求的策略。目前选项包括“ant”(用于ant路径模式)、“regex”(用于正则表达式)和“ciRegex”(用于不区分大小写的正则表达式)。
-
use-expressions 启用在<intercept-url>元素的“access”属性中使用表达式,而不是传统的配置属性列表。默认为“true”。如果启用,则每个属性应包含单个布尔表达式。如果表达式计算结果为“true”,则将授予访问权限。
