Web 应用安全

use-authorization-manager 使用 AuthorizationManager API 而不是 SecurityMetadataSource（默认为 true）

use-authorization-manager 使用此 AuthorizationManager 而不是从 <intercept-url> 元素派生一个

access-decision-manager-ref 可选属性，指定应用于授权 HTTP 请求的 AccessDecisionManager 实现的 ID。默认使用 AffirmativeBased 实现，包含 RoleVoter 和 AuthenticatedVoter。

authentication-manager-ref 对此 http 元素创建的 FilterChain 使用的 AuthenticationManager 的引用。

observation-registry-ref 对 FilterChain 和相关组件使用的 ObservationRegistry 的引用

auto-config 自动注册登录表单、BASIC 身份验证、注销服务。如果设置为 "true"，将添加所有这些功能（尽管您仍然可以通过提供相应的元素来自定义每个功能的配置）。如果未指定，默认为 "false"。不推荐使用此属性。请改用显式配置元素以避免混淆。

create-session 控制 Spring Security 类创建 HTTP 会话的积极性。选项包括

disable-url-rewriting 阻止会话 ID 附加到应用程序的 URL 中。如果此属性设置为 true，客户端必须使用 Cookie。默认值为 true。

entry-point-ref 通常使用的 AuthenticationEntryPoint 将根据已配置的身份验证机制来设置。此属性允许通过定义一个自定义的 AuthenticationEntryPoint Bean 来覆盖此行为，该 Bean 将启动身份验证过程。

jaas-api-provision 如果可用，则将请求作为从 JaasAuthenticationToken 获取的主体运行，这通过向栈中添加 JaasApiIntegrationFilter Bean 来实现。默认为 false。

name 一个 Bean 标识符，用于在上下文中的其他地方引用该 Bean。

once-per-request 对应于 FilterSecurityInterceptor 的 observeOncePerRequest 属性。默认为 false。

filter-all-dispatcher-types 对应于 AuthorizationFilter 的 shouldFilterAllDispatcherTypes 属性。当 use-authorization-manager=false 时不起作用。默认为 true。

pattern 为 http 元素定义模式控制通过其定义的过滤器列表进行过滤的请求。解释取决于配置的 request-matcher。如果未定义模式，则将匹配所有请求，因此应首先声明最具体的模式。

realm 设置基本身份验证（如果启用）使用的 Realm 名称。对应于 BasicAuthenticationEntryPoint 上的 realmName 属性。

request-matcher 定义 FilterChainProxy 和 intercept-url 创建的 Bean 中用于匹配传入请求的 RequestMatcher 策略。目前选项包括 mvc、ant、regex 和 ciRegex，分别对应 Spring MVC、ant、正则表达式和不区分大小写的正则表达式。使用其 pattern、method 和 servlet-path 属性为每个 intercept-url 元素创建一个单独的实例。Ant 路径使用 AntPathRequestMatcher 进行匹配，正则表达式使用 RegexRequestMatcher 进行匹配，Spring MVC 路径匹配使用 MvcRequestMatcher。有关匹配如何执行的详细信息，请参阅这些类的 Javadoc。如果在 classpath 中存在 Spring MVC，则 MVC 是默认策略，否则使用 Ant 路径。

request-matcher-ref 对实现 RequestMatcher 的 Bean 的引用，该 Bean 将确定是否应使用此 FilterChain。这比 pattern 更强大的替代方案。

security 通过将此属性设置为 none，请求模式可以映射到空过滤器链。将不应用安全，也无法使用 Spring Security 的任何特性。

security-context-repository-ref 允许将自定义的 SecurityContextHolderStrategy 注入到 SecurityContextPersistenceFilter、SecurityContextHolderFilter、BasicAuthenticationFilter、UsernamePasswordAuthenticationFilter、ExceptionTranslationFilter、LogoutFilter 等中。

security-context-explicit-save 如果为 true，则使用 SecurityContextHolderFilter 而不是 SecurityContextPersistenceFilter。需要显式保存

security-context-repository-ref 允许将自定义的 SecurityContextRepository 注入到 SecurityContextPersistenceFilter 中。

servlet-api-provision 提供 HttpServletRequest 安全方法的版本，如 isUserInRole() 和 getPrincipal()，通过向栈中添加 SecurityContextHolderAwareRequestFilter Bean 实现。默认为 true。

use-expressions 启用 access 属性中的 EL 表达式，如基于表达式的访问控制章节所述。默认值为 true。

access-denied-handler

anonymous

cors

csrf

custom-filter

expression-handler

form-login

headers

http-basic

intercept-url

jee

logout

oauth2-client

oauth2-login

oauth2-resource-server

password-management

port-mappings

remember-me

request-cache

saml2-login

saml2-logout

session-management

x509

http

error-page 如果已通过身份验证的用户请求他们无权访问的页面，将被重定向到的访问拒绝页面。

ref 定义对 AccessDeniedHandler 类型的 Spring Bean 的引用。

ref 可选属性，指定 CorsFilter 的 Bean 名称。

cors-configuration-source-ref 可选属性，指定要注入到由 XML 命名空间创建的 CorsFilter 中的 CorsConfigurationSource 的 Bean 名称。

http

defaults-disabled 可选属性，指定是否禁用 Spring Security 的默认 HTTP 响应头。默认值为 false（包含默认头）。

disabled 可选属性，指定是否禁用 Spring Security 的 HTTP 响应头。默认值为 false（头已启用）。

http

cache-control

content-security-policy

content-type-options

cross-origin-embedder-policy

cross-origin-opener-policy

cross-origin-resource-policy

feature-policy

frame-options

header

hpkp

hsts

permission-policy

referrer-policy

xss-protection

disabled 指定是否应禁用 Cache Control。默认 false。

headers

disabled 指定是否应禁用 Strict-Transport-Security。默认 false。

include-sub-domains 指定是否应包含子域名。默认 true。

max-age-seconds 指定主机应被视为已知 HSTS 主机的最大时间。默认一年。

request-matcher-ref 用于确定是否应设置头的 RequestMatcher 实例。默认值是当 HttpServletRequest.isSecure() 为 true 时。

preload 指定是否应包含预加载。默认 false。

headers

disabled 指定是否应禁用 HTTP 公钥固定 (HPKP)。默认 true。

include-sub-domains 指定是否应包含子域名。默认 false。

max-age-seconds 设置 Public-Key-Pins 头中 max-age 指令的值。默认 60 天。

report-only 指定浏览器是否应仅报告固定验证失败。默认 true。

report-uri 指定浏览器应报告固定验证失败的 URI。

headers

pin

algorithm 加密哈希算法。默认 SHA256。

pins

policy-directives Content-Security-Policy 头的安全策略指令；如果 report-only 设置为 true，则使用 Content-Security-Policy-Report-Only 头。

report-only 设置为 true，以启用 Content-Security-Policy-Report-Only 头，仅用于报告策略违规。默认为 false。

headers

policy Referrer-Policy 头的策略。默认 "no-referrer"。

headers

policy-directives Feature-Policy 头的安全策略指令。

headers

disabled 如果禁用，将不包含 X-Frame-Options 头。默认 false。

policy

headers

policy 用于 Permissions-Policy header 的策略值。

headers

xss-protection-disabled 不包含用于 反射型 / Type-1 跨站点脚本 (XSS) 防护的 header。

xss-protection-header-value 显式设置用于 反射型 / Type-1 跨站点脚本 (XSS) header 的值。可选值之一："0", "1", "1; mode=block"。默认为 "0"。

headers

disabled 指定是否应禁用内容类型选项。默认为 false。

headers

header-name header 的 name。

value 要添加的 header 的 value。

ref 对 HeaderWriter 接口的自定义实现的引用。

headers

http

enabled 在默认的命名空间设置下，匿名“认证”功能会自动启用。你可以使用此属性禁用它。

granted-authority 应分配给匿名请求的已授权权限。通常用于为匿名请求分配特定的角色，随后可用于授权决策。如果未设置，默认为 ROLE_ANONYMOUS。

key 提供者和过滤器之间共享的 key。通常不需要设置。如果未设置，默认为一个安全的随机生成值。这意味着，在使用匿名功能时设置此值可以提高启动时间，因为安全随机值的生成可能需要一些时间。

username 应分配给匿名请求的用户名。这允许识别主体，这对于日志记录和审计可能很重要。如果未设置，默认为 anonymousUser。

http

disabled 可选属性，用于指定禁用 Spring Security 的 CSRF 防护。默认为 false（CSRF 防护已启用）。强烈建议保持启用 CSRF 防护。

token-repository-ref 要使用的 CsrfTokenRepository。默认为 HttpSessionCsrfTokenRepository。

request-handler-ref 可选的 CsrfTokenRequestHandler。默认为 CsrfTokenRequestAttributeHandler。

request-matcher-ref 用于确定是否应应用 CSRF 的 RequestMatcher 实例。默认为除 "GET", "TRACE", "HEAD", "OPTIONS" 之外的任何 HTTP 方法。

http

after custom-filter 应放置在链中紧随其后的过滤器。此功能仅适用于希望将其自己的过滤器混合到安全过滤器链中并对标准 Spring Security 过滤器有所了解的高级用户。过滤器名称映射到特定的 Spring Security 实现过滤器。

before custom-filter 应放置在链中紧靠其前的过滤器。

position custom-filter 应放置在链中的显式位置。如果你要替换标准过滤器，请使用此选项。

ref 定义对实现 Filter 接口的 Spring bean 的引用。

global-method-security

http

method-security

websocket-message-broker

ref 定义对实现 SecurityExpressionHandler 接口的 Spring bean 的引用。

http

always-use-default-target 如果设置为 true，无论用户如何到达登录页面，他们都将始终从 default-target-url 给定的值开始。映射到 UsernamePasswordAuthenticationFilter 的 alwaysUseDefaultTargetUrl 属性。默认值为 false。

authentication-details-source-ref 对认证过滤器将使用的 AuthenticationDetailsSource 的引用。

authentication-failure-handler-ref 可用作 authentication-failure-url 的替代方案，使你能够完全控制认证失败后的导航流程。该值应是应用程序上下文中 AuthenticationFailureHandler bean 的名称。

authentication-failure-url 映射到 UsernamePasswordAuthenticationFilter 的 authenticationFailureUrl 属性。定义登录失败时浏览器将被重定向到的 URL。默认为 /login?error，这将由自动登录页面生成器自动处理，重新渲染带有错误消息的登录页面。

authentication-success-handler-ref 可用作 default-target-url 和 always-use-default-target 的替代方案，使你能够完全控制成功认证后的导航流程。该值应是应用程序上下文中 AuthenticationSuccessHandler bean 的名称。默认情况下，使用 SavedRequestAwareAuthenticationSuccessHandler 的实现，并注入 default-target-url。

default-target-url 映射到 UsernamePasswordAuthenticationFilter 的 defaultTargetUrl 属性。如果未设置，默认值为 "/"（应用程序根目录）。用户登录后将被带到此 URL，前提是他们在尝试访问受保护资源时没有被要求登录，在这种情况下，他们将被带到最初请求的 URL。

login-page 应用于渲染登录页面的 URL。映射到 LoginUrlAuthenticationEntryPoint 的 loginFormUrl 属性。默认为 "/login"。

login-processing-url 映射到 UsernamePasswordAuthenticationFilter 的 filterProcessesUrl 属性。默认值为 "/login"。

password-parameter 包含密码的请求参数的名称。默认为 "password"。

username-parameter 包含用户名的请求参数的名称。默认为 "username"。

authentication-success-forward-url 将 ForwardAuthenticationSuccessHandler 映射到 UsernamePasswordAuthenticationFilter 的 authenticationSuccessHandler 属性。

authentication-failure-forward-url 将 ForwardAuthenticationFailureHandler 映射到 UsernamePasswordAuthenticationFilter 的 authenticationFailureHandler 属性。

http

client-registration-repository-ref 对 ClientRegistrationRepository 的引用。

authorized-client-repository-ref 对 OAuth2AuthorizedClientRepository 的引用。

authorized-client-service-ref 对 OAuth2AuthorizedClientService 的引用。

authorization-request-repository-ref 对 AuthorizationRequestRepository 的引用。

authorization-request-resolver-ref 对 OAuth2AuthorizationRequestResolver 的引用。

authorization-redirect-strategy-ref 对授权 RedirectStrategy 的引用。

access-token-response-client-ref 对 OAuth2AccessTokenResponseClient 的引用。

user-authorities-mapper-ref 对 GrantedAuthoritiesMapper 的引用。

user-service-ref 对 OAuth2UserService 的引用。

oidc-user-service-ref 对 OpenID Connect OAuth2UserService 的引用。

login-processing-url 过滤器处理认证请求的 URI。

login-page 发送用户进行登录的 URI。

authentication-success-handler-ref 对 AuthenticationSuccessHandler 的引用。

authentication-failure-handler-ref 对 AuthenticationFailureHandler 的引用。

jwt-decoder-factory-ref 对 OidcAuthorizationCodeAuthenticationProvider 使用的 JwtDecoderFactory 的引用。

http

client-registration-repository-ref 对 ClientRegistrationRepository 的引用。

authorized-client-repository-ref 对 OAuth2AuthorizedClientRepository 的引用。

authorized-client-service-ref 对 OAuth2AuthorizedClientService 的引用。

authorization-code-grant

oauth2-client

authorization-request-repository-ref 对 AuthorizationRequestRepository 的引用。

authorization-redirect-strategy-ref 对授权 RedirectStrategy 的引用。

authorization-request-resolver-ref 对 OAuth2AuthorizationRequestResolver 的引用。

access-token-response-client-ref 对 OAuth2AccessTokenResponseClient 的引用。

client-registration

provider

client-registrations

registration-id 唯一标识 ClientRegistration 的 ID。

client-id 客户端标识符。

client-secret 客户端 secret。

client-authentication-method 用于与提供者进行客户端认证的方法。支持的值包括 client_secret_basic, client_secret_post, private_key_jwt, client_secret_jwt 和 none (公共客户端)。

authorization-grant-type OAuth 2.0 授权框架定义了四种授权许可类型。支持的值包括 authorization_code, client_credentials, password，以及扩展许可类型 urn:ietf:params:oauth:grant-type:jwt-bearer。

redirect-uri 客户端注册的重定向 URI，授权服务器在最终用户认证并授权访问客户端后，将最终用户的用户代理重定向到此处。

scope 客户端在授权请求流程中请求的 scope，例如 openid, email 或 profile。

client-name 用于客户端的描述性名称。该名称可能在某些场景中使用，例如在自动生成的登录页面中显示客户端名称时。

provider-id 对关联提供者的引用。可以引用 <provider> 元素或使用常见的提供者之一（google, github, facebook, okta）。

client-registrations

provider-id 唯一标识提供者的 ID。

authorization-uri 授权服务器的授权端点 URI。

token-uri 授权服务器的令牌端点 URI。

user-info-uri 用于访问已认证最终用户的声明/属性的用户信息端点 URI。

user-info-authentication-method 向用户信息端点发送访问令牌时使用的认证方法。支持的值包括 header, form 和 query。

user-info-user-name-attribute 用户信息响应中返回的属性名称，该属性引用最终用户的名称或标识符。

jwk-set-uri 用于从授权服务器检索 JSON Web Key (JWK) Set 的 URI，该 Set 包含用于验证 ID Token 的 JSON Web Signature (JWS) 以及可选的用户信息响应的加密 key。

issuer-uri 用于使用 OpenID Connect Provider 的 配置端点 或授权服务器的 元数据端点 进行发现来初始配置 ClientRegistration 的 URI。

http

jwt

opaque-token

authentication-manager-resolver-ref 对将在请求时解析 AuthenticationManager 的 AuthenticationManagerResolver 的引用。

bearer-token-resolver-ref 对将从请求中检索 bearer token 的 BearerTokenResolver 的引用。

entry-point-ref 对将处理未经授权请求的 AuthenticationEntryPoint 的引用。

oauth2-resource-server

jwt-authentication-converter-ref 对 Converter<Jwt, AbstractAuthenticationToken> 的引用。

jwt-decoder-ref 对 JwtDecoder 的引用。这是一个较大的组件，它会覆盖 jwk-set-uri。

jwk-set-uri 用于从 OAuth 2.0 授权服务器加载签名验证 key 的 JWK Set Uri。

oauth2-resource-server

introspector-ref 对 OpaqueTokenIntrospector 的引用。这是一个较大的组件，它会覆盖 introspection-uri, client-id 和 client-secret。

introspection-uri 用于内省不透明令牌详细信息的内省 URI。应与 client-id 和 client-secret 一起提供。

client-id 用于针对提供的 introspection-uri 进行客户端认证的 Client Id。

client-secret 用于针对提供的 introspection-uri 进行客户端认证的 Client Secret。

authentication-converter-ref 对 OpaqueTokenAuthenticationConverter 的引用。负责将成功的内省结果转换为 Authentication 实例。

id 唯一标识 RelyingPartyRegistrationRepository 的 ID。

asserting-party

relying-party-registration

relying-party-registrations

registration-id 唯一标识 RelyingPartyRegistration 的 ID。

metadata-location 断言方元数据位置。

client-id 依赖方的 EntityID。

assertion-consumer-service-location AssertionConsumerService 位置。等同于依赖方 <SPSSODescriptor> 中 <AssertionConsumerService Location="…​"/> 中的值。

assertion-consumer-service-binding AssertionConsumerService 绑定。等同于依赖方 <SPSSODescriptor> 中 <AssertionConsumerService Binding="…​"/> 中的值。支持的值为 POST 和 REDIRECT。

single-logout-service-location SingleLogoutService 位置。等同于依赖方 <SPSSODescriptor> 中 <SingleLogoutService Location="…​"/> 中的值。

single-logout-service-response-location SingleLogoutService 响应位置。等同于依赖方 <SPSSODescriptor> 中 <SingleLogoutService ResponseLocation="…​"/> 中的值。

single-logout-service-binding SingleLogoutService 绑定。等同于依赖方 <SPSSODescriptor> 中 <SingleLogoutService Binding="…​"/> 中的值。支持的值为 POST 和 REDIRECT。

asserting-party-id 对关联断言方的引用。必须引用一个 <asserting-party> 元素。

decryption-credential

signing-credential

relying-party-registration

certificate-location 获取证书的位置。

private-key-location 获取依赖方私钥的位置。

relying-party-registration

certificate-location 获取此证书的位置。

private-key-location 获取依赖方私钥的位置。

relying-party-registrations

asserting-party-id 唯一标识断言方的 ID。

entity-id 断言方的 EntityID。

want-authn-requests-signed WantAuthnRequestsSigned 设置，指示断言方偏好依赖方在发送前应签署 AuthnRequest。

single-sign-on-service-location SingleSignOnService 位置。

single-sign-on-service-binding SingleSignOnService 绑定。支持的值为 POST 和 REDIRECT。

signing-algorithms 此断言方的 org.opensaml.saml.ext.saml2alg.SigningMethod 算法列表，按优先级排序。

single-logout-service-location SingleLogoutService 位置。等同于断言方 <IDPSSODescriptor> 中 <SingleLogoutService Location="…​"/> 中的值。

single-logout-service-response-location SingleLogoutService 响应位置。等同于断言方 <IDPSSODescriptor> 中 <SingleLogoutService ResponseLocation="…​"/> 中的值。

single-logout-service-binding SingleLogoutService 绑定。等同于断言方 <IDPSSODescriptor> 中 <SingleLogoutService Binding="…​"/> 中的值。支持的值为 POST 和 REDIRECT。

encryption-credential

verification-credential

asserting-party

certificate-location 获取证书的位置。

private-key-location 获取依赖方私钥的位置。

asserting-party

certificate-location 获取此证书的位置。

private-key-location 获取依赖方私钥的位置。

http

authentication-details-source-ref 对认证过滤器将使用的 AuthenticationDetailsSource 的引用。

entry-point-ref 设置 BasicAuthenticationFilter 使用的 AuthenticationEntryPoint。

ref 定义对实现 HttpFirewall 接口的 Spring bean 的引用。

filter-security-metadata-source

http

access 列出将存储在 `FilterInvocationSecurityMetadataSource` 中用于定义的 URL 模式/方法组合的访问属性。这应该是安全配置属性（例如角色名称）的逗号分隔列表。

method 将与模式和 servlet 路径（可选）结合使用以匹配传入请求的 HTTP 方法。如果省略，将匹配任何方法。如果指定了相同模式但分别带有和不带有方法，则带有方法的匹配项将优先。

pattern 定义 URL 路径的模式。其内容取决于包含此元素的 http 元素的 `request-matcher` 属性，因此如果 classpath 中存在 Spring MVC，则默认为 MVC 匹配器。

request-matcher-ref 对 `RequestMatcher` 的引用，用于确定是否使用此 `<intercept-url>`。

requires-channel 可以是 "http" 或 "https"，取决于特定 URL 模式是应通过 HTTP 还是 HTTPS 访问。或者，当没有偏好时，可以使用值 "any"。如果此属性存在于任何 `<intercept-url>` 元素上，则会将一个 `ChannelProcessingFilter` 添加到过滤器堆栈中，并将其额外的依赖项添加到应用程序上下文中。

servlet-path 将与模式和 HTTP 方法结合使用以匹配传入请求的 servlet 路径。此属性仅当 request-matcher 为 'mvc' 时适用。此外，仅在以下两种用例中需要该值：1) 在 `ServletContext` 中注册了 2 个或更多 `HttpServlet`，它们的映射以 '/' 开头且不同；2) 模式以注册的 `HttpServlet` 路径的相同值开头，但不包括默认（根）`HttpServlet` '/'。

http

mappable-roles 一个逗号分隔的角色列表，用于在传入的 HttpServletRequest 中查找。

user-service-ref 对用户服务（或 UserDetailsService bean）ID 的引用

http

delete-cookies 一个逗号分隔的 cookie 名称列表，用户注销时应删除这些 cookie。

invalidate-session 映射到 `SecurityContextLogoutHandler` 的 `invalidateHttpSession` 属性。默认为 "true"，因此会话将在注销时失效。

logout-success-url 用户注销后将被带往的目标 URL。默认为 <form-login-login-page>/?logout（即 /login?logout）

logout-url 将导致注销的 URL（即由过滤器处理的 URL）。默认为 "/logout"。

success-handler-ref 可用于提供一个 `LogoutSuccessHandler` 实例，该实例将在注销后被调用以控制导航。

http

relying-party-registration-repository-ref 对 `RelyingPartyRegistrationRepository` 的引用。

authentication-request-repository-ref 对 `Saml2AuthenticationRequestRepository` 的引用。

authentication-request-context-resolver-ref 对 `Saml2AuthenticationRequestResolver` 的引用。

authentication-converter-ref 对 `AuthenticationConverter` 的引用。

login-processing-url 过滤器处理认证请求的 URI。

login-page 发送用户进行登录的 URI。

authentication-success-handler-ref 对 AuthenticationSuccessHandler 的引用。

authentication-failure-handler-ref 对 AuthenticationFailureHandler 的引用。

authentication-manager-ref 对 `AuthenticationManager` 的引用。

http

logout-url 依赖方或断言方可以触发注销的 URL。

logout-request-url 断言方可以发送 SAML 2.0 注销请求的 URL。

logout-response-url 断言方可以发送 SAML 2.0 注销响应的 URL。

relying-party-registration-repository-ref 对 `RelyingPartyRegistrationRepository` 的引用。

logout-request-validator-ref 对 `Saml2LogoutRequestValidator` 的引用。

logout-request-resolver-ref 对 `Saml2LogoutRequestResolver` 的引用。

logout-request-repository-ref 对 `Saml2LogoutRequestRepository` 的引用。

logout-response-validator-ref 对 `Saml2LogoutResponseValidator` 的引用。

logout-response-resolver-ref 对 `Saml2LogoutResponseResolver` 的引用。

http

change-password-page 更改密码页面。默认为 "/change-password"。

http

port-mapping

port-mappings

http 要使用的 http 端口。

https 要使用的 https 端口。

http

authentication-success-handler-ref 如果需要自定义导航，则在 `RememberMeAuthenticationFilter` 上设置 `authenticationSuccessHandler` 属性。该值应该是应用程序上下文中 `AuthenticationSuccessHandler` bean 的名称。

data-source-ref 对 `DataSource` bean 的引用。如果设置此属性，将使用 `PersistentTokenBasedRememberMeServices` 并配置 `JdbcTokenRepositoryImpl` 实例。

remember-me-parameter 切换记住我认证的请求参数名称。默认为 "remember-me"。映射到 `AbstractRememberMeServices` 的 "parameter" 属性。

remember-me-cookie 存储记住我认证令牌的 cookie 名称。默认为 "remember-me"。映射到 `AbstractRememberMeServices` 的 "cookieName" 属性。

key 映射到 `AbstractRememberMeServices` 的 "key" 属性。应设置为唯一值，以确保记住我 cookie 仅在同一个应用程序内有效 ^[3]。如果未设置此值，将生成一个安全的随机值。由于生成安全的随机值可能需要一些时间，因此显式设置此值有助于在使用记住我功能时提高启动时间。

services-alias 将内部定义的 `RememberMeServices` 导出为 bean 别名，以便应用程序上下文中的其他 bean 可以使用它。

services-ref 允许完全控制过滤器将使用的 `RememberMeServices` 实现。该值应该是应用程序上下文中实现此接口的 bean 的 `id`。如果正在使用注销过滤器，该 bean 也应实现 `LogoutHandler` 接口。

token-repository-ref 配置 `PersistentTokenBasedRememberMeServices`，但允许使用自定义的 `PersistentTokenRepository` bean。

token-validity-seconds 映射到 `AbstractRememberMeServices` 的 `tokenValiditySeconds` 属性。指定记住我 cookie 有效的秒数。默认情况下，有效期为 14 天。

use-secure-cookie 建议记住我 cookie 仅通过 HTTPS 提交，因此应标记为 "secure"。默认情况下，如果进行登录请求的连接是安全的（应该如此），则将使用安全 cookie。如果将此属性设置为 false，则不使用安全 cookie。将其设置为 true 将始终在 cookie 上设置安全标志。此属性映射到 `AbstractRememberMeServices` 的 `useSecureCookie` 属性。

user-service-ref 记住我服务实现需要访问 `UserDetailsService`，因此必须在应用程序上下文中定义一个。如果只有一个，命名空间配置将自动选择并使用它。如果存在多个实例，可以使用此属性显式指定 bean 的 `id`。

http

ref 定义对实现 `RequestCache` 接口的 Spring bean 的引用。

http

authentication-strategy-explicit-invocation 将此属性设置为 true 意味着不会注入 `SessionManagementFilter`，并且需要显式调用 SessionAuthenticationStrategy。

invalid-session-url 设置此属性将为 `SessionManagementFilter` 注入一个配置了该属性值的 `SimpleRedirectInvalidSessionStrategy`。当提交无效会话 ID 时，将调用此策略，重定向到配置的 URL。

invalid-session-url 允许注入 `SessionManagementFilter` 使用的 InvalidSessionStrategy 实例。请使用此属性或 `invalid-session-url` 属性，但不要同时使用两者。

session-authentication-error-url 定义当 SessionAuthenticationStrategy 抛出异常时应显示的错误页面的 URL。如果未设置，则向客户端返回未经授权 (401) 的错误代码。请注意，如果在基于表单的登录期间发生错误，此属性不适用，此时认证失败 URL 将优先。

session-authentication-strategy-ref 允许注入 `SessionManagementFilter` 使用的 SessionAuthenticationStrategy 实例。

session-fixation-protection 指示用户认证时如何应用会话固定攻击防护。如果设置为 "none"，则不应用任何防护。 "newSession" 将创建一个新的空会话，仅迁移与 Spring Security 相关的属性。 "migrateSession" 将创建一个新会话并将所有会话属性复制到新会话中。在 Servlet 3.1 (Java EE 7) 及更新的容器中，指定 "changeSessionId" 将保留现有会话并使用容器提供的会话固定攻击防护 (HttpServletRequest#changeSessionId())。在 Servlet 3.1 及更新的容器中默认为 "changeSessionId"，在旧容器中默认为 "migrateSession"。如果在旧容器中使用 "changeSessionId"，则会抛出异常。

concurrency-control

session-management

error-if-maximum-exceeded 如果设置为 "true"，当用户试图超出最大允许会话数时，将抛出 `SessionAuthenticationException`。默认行为是使原始会话过期。

expired-url 用户因超出允许会话数并在其他地方再次登录而尝试使用被并发会话控制器“过期”的会话时，将被重定向到的 URL。除非设置了 exception-if-maximum-exceeded，否则应设置此属性。如果未提供值，过期消息将直接写入响应。

expired-url 允许注入 `ConcurrentSessionFilter` 使用的 ExpiredSessionStrategy 实例。

max-sessions 映射到 `ConcurrentSessionControlAuthenticationStrategy` 的 `maximumSessions` 属性。指定值 -1 支持无限会话。

session-registry-alias 将内部会话注册表引用用于您自己的 bean 或管理界面也可能很有用。您可以使用 session-registry-alias 属性暴露内部 bean，并为其指定一个可在配置其他地方使用的名称。

session-registry-ref 用户可以使用 session-registry-ref 属性提供自己的 `SessionRegistry` 实现。其他的并发会话控制 bean 将被配置为使用它。

http

authentication-details-source-ref 对 `AuthenticationDetailsSource` 的引用

subject-principal-regex 定义一个正则表达式，用于从证书中提取用户名（供 `UserDetailsService` 使用）。

user-service-ref 在配置了多个实例的情况下，允许为 X.509 指定特定的 `UserDetailsService`。如果未设置，将尝试自动查找合适的实例并使用它。

request-matcher 定义用于匹配传入请求的策略。当前选项包括 'ant'（用于 ant 路径模式）、'regex'（用于正则表达式）和 'ciRegex'（用于不区分大小写的正则表达式）。

filter-chain

filter-chain-map

filters 一个逗号分隔的引用列表，指向实现 `Filter` 接口的 Spring bean。值 "none" 表示此 `FilterChain` 不应使用任何 `Filter`。

pattern 与 request-matcher 结合创建 RequestMatcher 的模式。

request-matcher-ref 对 `RequestMatcher` 的引用，用于确定是否应调用 `filters` 属性中的任何 `Filter`。

id 一个 bean 标识符，用于在上下文的其他地方引用该 bean。

request-matcher 定义用于匹配传入请求的策略。当前选项包括 'ant'（用于 ant 路径模式）、'regex'（用于正则表达式）和 'ciRegex'（用于不区分大小写的正则表达式）。

use-expressions 启用在 <intercept-url> 元素的 'access' 属性中使用表达式，而不是传统的配置属性列表。默认为 'true'。如果启用，每个属性应包含一个布尔表达式。如果表达式评估为 'true'，则授予访问权限。

intercept-url