網頁應用程式安全性

use-authorization-manager 使用 AuthorizationManager API 而不是 SecurityMetadataSource（預設為 true）

access-decision-manager-ref 使用此 AuthorizationManager 而不是從 <intercept-url> 元素衍生一個

access-decision-manager-ref 可選屬性，指定應該用於授權 HTTP 請求的 AccessDecisionManager 實作的 ID。預設情況下，AffirmativeBased 實作與 RoleVoter 和 AuthenticatedVoter 一起使用。

authentication-manager-ref 參考用於由此 http 元素建立的 FilterChain 的 AuthenticationManager。

observation-registry-ref 參考用於 FilterChain 和相關組件的 ObservationRegistry

auto-config 自動註冊登入表單、BASIC 身份驗證、登出服務。如果設定為 "true"，則會新增所有這些功能（儘管您仍然可以透過提供各自的元素來自訂每個功能的組態設定）。如果未指定，則預設為 "false"。不建議使用此屬性。請改用明確的組態設定元素，以避免混淆。

create-session 控制 Spring Security 類別建立 HTTP session 的積極程度。選項包括

disable-url-rewriting 防止 session ID 附加到應用程式中的 URL。如果此屬性設定為 true，用戶端必須使用 Cookie。預設值為 true。

entry-point-ref 通常，使用的 AuthenticationEntryPoint 將根據已組態設定的身份驗證機制來設定。此屬性允許透過定義自訂的 AuthenticationEntryPoint bean 來覆寫此行為，該 bean 將啟動身份驗證程序。

jaas-api-provision 如果可用，則以從 JaasAuthenticationToken 取得的 Subject 身份執行請求，這是透過將 JaasApiIntegrationFilter bean 新增到堆疊來實作的。預設值為 false。

name Bean 識別符，用於在內容中的其他地方參考 bean。

once-per-request 對應於 FilterSecurityInterceptor 的 observeOncePerRequest 屬性。預設值為 false。

filter-all-dispatcher-types 對應於 AuthorizationFilter 的 shouldFilterAllDispatcherTypes 屬性。當 use-authorization-manager=false 時不起作用。預設值為 true。

pattern 為 http 元素定義模式控制將透過其定義的過濾器列表過濾的請求。解釋取決於已組態設定的 request-matcher。如果未定義模式，則將匹配所有請求，因此應首先宣告最特定的模式。

realm 設定用於基本身份驗證的 realm 名稱（如果已啟用）。對應於 BasicAuthenticationEntryPoint 上的 realmName 屬性。

request-matcher 定義在 FilterChainProxy 和由 intercept-url 建立的 bean 中使用的 RequestMatcher 策略，以匹配傳入的請求。選項目前為 mvc、ant、regex 和 ciRegex，分別用於 Spring MVC、ant、正則表達式和不區分大小寫的正則表達式。針對每個 intercept-url 元素，使用其 pattern、method 和 servlet-path 屬性建立單獨的實例。Ant 路徑使用 AntPathRequestMatcher 匹配，正則表達式使用 RegexRequestMatcher 匹配，對於 Spring MVC 路徑匹配，則使用 MvcRequestMatcher。有關確切如何執行匹配的更多詳細資訊，請參閱這些類別的 Javadoc。如果 Spring MVC 存在於類別路徑中，MVC 是預設策略，否則使用 Ant 路徑。

request-matcher-ref 參考實作 RequestMatcher 的 bean，它將確定是否應使用此 FilterChain。這是 pattern 的更強大的替代方案。

security 透過將此屬性設定為 none，請求模式可以映射到空的過濾器鏈。將不會套用任何安全性，並且 Spring Security 的任何功能都將不可用。

security-context-repository-ref 允許將自訂的 SecurityContextHolderStrategy 注入到 SecurityContextPersistenceFilter、SecurityContextHolderFilter、BasicAuthenticationFilter、UsernamePasswordAuthenticationFilter、ExceptionTranslationFilter、LogoutFilter 等。

security-context-explicit-save 如果為 true，則使用 SecurityContextHolderFilter 而不是 SecurityContextPersistenceFilter。需要明確儲存

security-context-repository-ref 允許將自訂的 SecurityContextRepository 注入到 SecurityContextPersistenceFilter 中。

servlet-api-provision 提供 HttpServletRequest 安全性方法的版本，例如 isUserInRole() 和 getPrincipal()，這些方法是透過將 SecurityContextHolderAwareRequestFilter bean 新增到堆疊來實作的。預設值為 true。

use-expressions 在 access 屬性中啟用 EL 表達式，如關於基於表達式的存取控制章節中所述。預設值為 true。

access-denied-handler

anonymous

cors

csrf

custom-filter

expression-handler

form-login

headers

http-basic

intercept-url

jee

logout

oauth2-client

oauth2-login

oauth2-resource-server

password-management

port-mappings

remember-me

request-cache

saml2-login

saml2-logout

session-management

x509

http

error-page 已驗證身份的使用者請求他們沒有權限存取的頁面時，將重新導向到的存取遭拒頁面。

ref 定義對 AccessDeniedHandler 類型的 Spring bean 的參考。

ref 可選屬性，指定 CorsFilter 的 bean 名稱。

cors-configuration-source-ref 可選屬性，指定要注入到 XML 命名空間建立的 CorsFilter 中的 CorsConfigurationSource 的 bean 名稱。

http

defaults-disabled 可選屬性，指定停用預設的 Spring Security HTTP 回應標頭。預設值為 false（包含預設標頭）。

disabled 可選屬性，指定停用 Spring Security 的 HTTP 回應標頭。預設值為 false（啟用標頭）。

http

cache-control

content-security-policy

content-type-options

cross-origin-embedder-policy

cross-origin-opener-policy

cross-origin-resource-policy

feature-policy

frame-options

header

hpkp

hsts

permission-policy

referrer-policy

xss-protection

disabled 指定是否應停用快取控制。預設值為 false。

headers

disabled 指定是否應停用 Strict-Transport-Security。預設值為 false。

include-sub-domains 指定是否應包含子網域。預設值為 true。

max-age-seconds 指定主機應被視為已知 HSTS 主機的最長時間。預設值為一年。

request-matcher-ref 用於確定是否應設定標頭的 RequestMatcher 實例。預設值為 HttpServletRequest.isSecure() 為 true 時。

preload 指定是否應包含 preload。預設值為 false。

headers

disabled 指定是否應停用 HTTP 公鑰釘選 (HPKP)。預設值為 true。

include-sub-domains 指定是否應包含子網域。預設值為 false。

max-age-seconds 設定 Public-Key-Pins 標頭的 max-age 指令的值。預設值為 60 天。

report-only 指定瀏覽器是否應僅報告釘選驗證失敗。預設值為 true。

report-uri 指定瀏覽器應向其報告釘選驗證失敗的 URI。

headers

pin

algorithm 密碼雜湊演算法。預設值為 SHA256。

pins

policy-directives Content-Security-Policy 標頭的安全性原則指令，或者如果 report-only 設定為 true，則使用 Content-Security-Policy-Report-Only 標頭。

report-only 設定為 true，以啟用 Content-Security-Policy-Report-Only 標頭，僅用於報告原則違規。預設值為 false。

headers

policy Referrer-Policy 標頭的原則。預設值為 "no-referrer"。

headers

policy-directives Feature-Policy 標頭的安全性原則指令。

headers

disabled 如果停用，則不會包含 X-Frame-Options 標頭。預設值為 false。

policy

headers

policy 為 Permissions-Policy 標頭寫入的原則值

headers

xss-protection-disabled 不包含用於 反射式/Type-1 跨網站腳本 (XSS) 保護的標頭。

xss-protection-header-value 明確設定 反射式/Type-1 跨網站腳本 (XSS) 標頭的值。選項之一："0"、"1"、"1; mode=block"。預設值為 "0"。

headers

disabled 指定是否應停用 Content Type Options。預設值為 false。

headers

header-name 標頭的 name（名稱）。

value 要添加的標頭的 value（值）。

ref 參考到 HeaderWriter 介面的自訂實作。

headers

http

enabled 使用預設命名空間設定時，匿名「驗證」功能會自動啟用。您可以使用此屬性停用它。

granted-authority 應該指派給匿名請求的授權。通常用於將特定角色指派給匿名請求，這些角色隨後可用於授權決策。如果未設定，則預設為 ROLE_ANONYMOUS。

key 提供者和篩選器之間共用的金鑰。通常不需要設定此項。如果未設定，它將預設為安全隨機產生的值。這表示設定此值可以縮短使用匿名功能時的啟動時間，因為安全隨機值可能需要一段時間才能產生。

username 應該指派給匿名請求的使用者名稱。這允許識別主體，這對於記錄和稽核可能很重要。如果未設定，則預設為 anonymousUser。

http

disabled 可選屬性，指定停用 Spring Security 的 CSRF 保護。預設值為 false（啟用 CSRF 保護）。強烈建議保持啟用 CSRF 保護。

token-repository-ref 要使用的 CsrfTokenRepository。預設值為 HttpSessionCsrfTokenRepository。

request-handler-ref 可選的 CsrfTokenRequestHandler 要使用。預設值為 CsrfTokenRequestAttributeHandler。

request-matcher-ref 用於判斷是否應套用 CSRF 的 RequestMatcher 實例。預設值為除了 "GET"、"TRACE"、"HEAD"、"OPTIONS" 之外的任何 HTTP 方法。

http

after 自訂篩選器應放置在鏈中的哪個篩選器之後。此功能僅適用於希望將自己的篩選器混合到安全篩選器鏈中並了解一些標準 Spring Security 篩選器的高階使用者。篩選器名稱對應於特定的 Spring Security 實作篩選器。

before 自訂篩選器應放置在鏈中的哪個篩選器之前。

position 自訂篩選器應放置在鏈中的明確位置。如果您要取代標準篩選器，請使用此項。

ref 定義對實作 Filter 的 Spring bean 的參考。

global-method-security

http

method-security

websocket-message-broker

ref 定義對實作 SecurityExpressionHandler 的 Spring bean 的參考。

http

always-use-default-target 如果設定為 true，則使用者將始終從 default-target-url 給定的值開始，無論他們如何到達登入頁面。對應到 UsernamePasswordAuthenticationFilter 的 alwaysUseDefaultTargetUrl 屬性。預設值為 false。

authentication-details-source-ref 參考將由驗證篩選器使用的 AuthenticationDetailsSource。

authentication-failure-handler-ref 可以用作 authentication-failure-url 的替代方案，讓您可以完全控制驗證失敗後的導航流程。該值應為應用程式上下文中 AuthenticationFailureHandler bean 的名稱。

authentication-failure-url 對應到 UsernamePasswordAuthenticationFilter 的 authenticationFailureUrl 屬性。定義登入失敗時瀏覽器將重新導向到的 URL。預設值為 /login?error，自動登入頁面產生器將自動處理該 URL，並使用錯誤訊息重新呈現登入頁面。

authentication-success-handler-ref 這可以用作 default-target-url 和 always-use-default-target 的替代方案，讓您可以完全控制成功驗證後的導航流程。該值應為應用程式上下文中 AuthenticationSuccessHandler bean 的名稱。預設情況下，使用 SavedRequestAwareAuthenticationSuccessHandler 的實作，並注入 default-target-url。

default-target-url 對應到 UsernamePasswordAuthenticationFilter 的 defaultTargetUrl 屬性。如果未設定，則預設值為 "/"（應用程式根目錄）。使用者登入後將被帶到此 URL，前提是他們在嘗試存取受保護資源時未被要求登入，在這種情況下，他們將被帶到原始請求的 URL。

login-page 應該用於呈現登入頁面的 URL。對應到 LoginUrlAuthenticationEntryPoint 的 loginFormUrl 屬性。預設值為 "/login"。

login-processing-url 對應到 UsernamePasswordAuthenticationFilter 的 filterProcessesUrl 屬性。預設值為 "/login"。

password-parameter 包含密碼的請求參數的名稱。預設值為 "password"。

username-parameter 包含使用者名稱的請求參數的名稱。預設值為 "username"。

authentication-success-forward-url 將 ForwardAuthenticationSuccessHandler 對應到 UsernamePasswordAuthenticationFilter 的 authenticationSuccessHandler 屬性。

authentication-failure-forward-url 將 ForwardAuthenticationFailureHandler 對應到 UsernamePasswordAuthenticationFilter 的 authenticationFailureHandler 屬性。

http

client-registration-repository-ref 參考到 ClientRegistrationRepository。

authorized-client-repository-ref 參考到 OAuth2AuthorizedClientRepository。

authorized-client-service-ref 參考到 OAuth2AuthorizedClientService。

authorization-request-repository-ref 參考到 AuthorizationRequestRepository。

authorization-request-resolver-ref 參考到 OAuth2AuthorizationRequestResolver。

authorization-redirect-strategy-ref 參考到授權 RedirectStrategy。

access-token-response-client-ref 參考到 OAuth2AccessTokenResponseClient。

user-authorities-mapper-ref 參考到 GrantedAuthoritiesMapper。

user-service-ref 參考到 OAuth2UserService。

oidc-user-service-ref 參考到 OpenID Connect OAuth2UserService。

login-processing-url 篩選器處理驗證請求的 URI。

login-page 將使用者傳送到登入的 URI。

authentication-success-handler-ref 參考到 AuthenticationSuccessHandler。

authentication-failure-handler-ref 參考到 AuthenticationFailureHandler。

jwt-decoder-factory-ref 參考到 OidcAuthorizationCodeAuthenticationProvider 使用的 JwtDecoderFactory。

http

client-registration-repository-ref 參考到 ClientRegistrationRepository。

authorized-client-repository-ref 參考到 OAuth2AuthorizedClientRepository。

authorized-client-service-ref 參考到 OAuth2AuthorizedClientService。

authorization-code-grant

oauth2-client

authorization-request-repository-ref 參考到 AuthorizationRequestRepository。

authorization-redirect-strategy-ref 參考到授權 RedirectStrategy。

authorization-request-resolver-ref 參考到 OAuth2AuthorizationRequestResolver。

access-token-response-client-ref 參考到 OAuth2AccessTokenResponseClient。

client-registration

provider

client-registrations

registration-id 唯一識別 ClientRegistration 的 ID。

client-id 用戶端識別碼。

client-secret 用戶端密碼。

client-authentication-method 用於向提供者驗證用戶端的方法。支援的值為 client_secret_basic、client_secret_post、private_key_jwt、client_secret_jwt 和 none (公用用戶端)。

authorization-grant-type OAuth 2.0 授權框架定義了四種 授權許可 類型。支援的值為 authorization_code、client_credentials、password，以及擴充許可類型 urn:ietf:params:oauth:grant-type:jwt-bearer。

redirect-uri 用戶端註冊的重新導向 URI，在使用者驗證並授權存取用戶端後，授權伺服器 會將最終使用者的使用者代理重新導向到該 URI。

scope 用戶端在授權請求流程期間請求的 scope(s)，例如 openid、email 或 profile。

client-name 用於用戶端的描述性名稱。該名稱可能在某些情況下使用，例如在自動產生的登入頁面中顯示用戶端名稱時。

provider-id 關聯提供者的參考。可以參考 <provider> 元素，或使用常見的提供者之一（google、github、facebook、okta）。

client-registrations

provider-id 唯一識別提供者的 ID。

authorization-uri 授權伺服器的授權端點 URI。

token-uri 授權伺服器的權杖端點 URI。

user-info-uri 用於存取已驗證最終使用者的宣告/屬性的 UserInfo 端點 URI。

user-info-authentication-method 將存取權杖傳送到 UserInfo 端點時使用的驗證方法。支援的值為 header、form 和 query。

user-info-user-name-attribute 在 UserInfo 回應中傳回的屬性名稱，該屬性引用最終使用者的名稱或識別符。

jwk-set-uri 用於從授權伺服器檢索 JSON Web Key (JWK) 集合的 URI，其中包含用於驗證 ID 權杖和可選的 UserInfo 回應的 JSON Web Signature (JWS) 的加密金鑰。

issuer-uri 用於使用 OpenID Connect 提供者的 組態端點 或授權伺服器的 Metadata 端點 的探索，來初始設定 ClientRegistration 的 URI。

http

jwt

opaque-token

authentication-manager-resolver-ref 參考到 AuthenticationManagerResolver，它將在請求時解析 AuthenticationManager。

bearer-token-resolver-ref 參考到 BearerTokenResolver，它將從請求中檢索 bearer 權杖。

entry-point-ref 參考到 AuthenticationEntryPoint，它將處理未經授權的請求。

oauth2-resource-server

jwt-authentication-converter-ref 參考到 Converter<Jwt, AbstractAuthenticationToken>。

jwt-decoder-ref 參考到 JwtDecoder。這是一個更大的元件，會覆寫 jwk-set-uri。

jwk-set-uri 用於從 OAuth 2.0 授權伺服器載入簽章驗證金鑰的 JWK Set Uri。

oauth2-resource-server

introspector-ref 參考到 OpaqueTokenIntrospector。這是一個更大的元件，會覆寫 introspection-uri、client-id 和 client-secret。

introspection-uri 用於內省 opaque 權杖詳細資訊的 Introspection Uri。應與 client-id 和 client-secret 一起使用。

client-id 用於針對提供的 introspection-uri 進行用戶端驗證的用戶端 ID。

client-secret 用於針對提供的 introspection-uri 進行用戶端驗證的用戶端密碼。

authentication-converter-ref 參考到 OpaqueTokenAuthenticationConverter。負責將成功的內省結果轉換為 Authentication 實例。

id 唯一識別 RelyingPartyRegistrationRepository 的 ID。

asserting-party

relying-party-registration

relying-party-registrations

registration-id 唯一識別 RelyingPartyRegistration 的 ID。

metadata-location 聲明方 (asserting party) 中繼資料位置。

client-id 信賴方的 EntityID。

assertion-consumer-service-location AssertionConsumerService 位置。相當於信賴方的 <SPSSODescriptor> 中 <AssertionConsumerService Location="…​"/> 中找到的值。

assertion-consumer-service-binding AssertionConsumerService Binding。相當於信賴方的 <SPSSODescriptor> 中 <AssertionConsumerService Binding="…​"/> 中找到的值。支援的值為 POST 和 REDIRECT。

single-logout-service-location SingleLogoutService 位置。相當於信賴方的 <SPSSODescriptor> 中 <SingleLogoutService Location="…​"/> 中找到的值。

single-logout-service-response-location SingleLogoutService ResponseLocation。相當於信賴方的 <SPSSODescriptor> 中 <SingleLogoutService ResponseLocation="…​"/> 中找到的值。

single-logout-service-binding SingleLogoutService Binding。相當於信賴方的 <SPSSODescriptor> 中 <SingleLogoutService Binding="…​"/> 中找到的值。支援的值為 POST 和 REDIRECT。

asserting-party-id 關聯聲明方的參考。必須參考 <asserting-party> 元素。

decryption-credential

signing-credential

relying-party-registration

certificate-location 取得憑證的位置。

private-key-location 取得信賴方私鑰的位置。

relying-party-registration

certificate-location 取得此憑證的位置。

private-key-location 取得信賴方私鑰的位置。

relying-party-registrations

asserting-party-id 唯一識別聲明方的 ID。

entity-id 聲明方的 EntityID。

want-authn-requests-signed WantAuthnRequestsSigned 設定，指示聲明方偏好信賴方在傳送 AuthnRequest 之前應簽署該請求。

single-sign-on-service-location SingleSignOnService 位置。

single-sign-on-service-binding SingleSignOnService Binding。支援的值為 POST 和 REDIRECT。

signing-algorithms 此聲明方的 org.opensaml.saml.ext.saml2alg.SigningMethod 演算法清單，依偏好順序排列。

single-logout-service-location SingleLogoutService 位置。相當於聲明方的 <IDPSSODescriptor> 中 <SingleLogoutService Location="…​"/> 中找到的值。

single-logout-service-response-location SingleLogoutService ResponseLocation。相當於聲明方的 <IDPSSODescriptor> 中 <SingleLogoutService ResponseLocation="…​"/> 中找到的值。

single-logout-service-binding SingleLogoutService Binding。相當於聲明方的 <IDPSSODescriptor> 中 <SingleLogoutService Binding="…​"/> 中找到的值。支援的值為 POST 和 REDIRECT。

encryption-credential

verification-credential

asserting-party

certificate-location 取得憑證的位置。

private-key-location 取得信賴方私鑰的位置。

asserting-party

certificate-location 取得此憑證的位置。

private-key-location 取得信賴方私鑰的位置。

http

authentication-details-source-ref 參考將由驗證篩選器使用的 AuthenticationDetailsSource。

entry-point-ref 設定 BasicAuthenticationFilter 使用的 AuthenticationEntryPoint。

ref 定義對實作 HttpFirewall 的 Spring bean 的參考。

filter-security-metadata-source

http

access 列出將儲存在 FilterInvocationSecurityMetadataSource 中的存取屬性，用於定義的 URL 模式/方法組合。這應該是以逗號分隔的安全組態屬性清單（例如角色名稱）。

method HTTP 方法，將與模式和 servlet 路徑（可選）結合使用，以比對傳入的請求。如果省略，則任何方法都將比對。如果使用和不使用方法指定相同的模式，則特定於方法的比對將優先。

pattern 定義 URL 路徑的模式。內容將取決於包含的 http 元素中的 request-matcher 屬性，因此如果 Spring MVC 在類別路徑中，則預設為 MVC 比對器。

request-matcher-ref 對將用於判斷是否使用此 <intercept-url> 的 RequestMatcher 的參考。

requires-channel 可以是 "http" 或 "https"，具體取決於特定 URL 模式應分別透過 HTTP 或 HTTPS 存取。或者，當沒有偏好時，可以使用值 "any"。如果任何 <intercept-url> 元素上存在此屬性，則 ChannelProcessingFilter 將被添加到篩選器堆疊，並且其額外的依賴項將被添加到應用程式上下文中。

servlet-path servlet 路徑，將與模式和 HTTP 方法結合使用，以比對傳入的請求。僅當 request-matcher 為 'mvc' 時，此屬性才適用。此外，僅在以下 2 種使用案例中才需要該值：1) 在 ServletContext 中註冊了 2 個或更多 HttpServlet，它們的對應以 '/' 開頭且不同；2) 模式以註冊的 HttpServlet 路徑的相同值開始，不包括預設（根）HttpServlet '/'。

http

mappable-roles 以逗號分隔的角色清單，用於在傳入的 HttpServletRequest 中查找。

user-service-ref 對 user-service（或 UserDetailsService bean）Id 的參考。

http

delete-cookies 以逗號分隔的 Cookie 名稱清單，應在使用者登出時刪除這些 Cookie。

invalidate-session 對應到 SecurityContextLogoutHandler 的 invalidateHttpSession。預設值為 "true"，因此會話將在登出時失效。

logout-success-url 使用者登出後將被帶往的目的地 URL。預設值為 <form-login-login-page>/?logout（即 /login?logout）。

logout-url 將導致登出的 URL（即將由篩選器處理的 URL）。預設值為 "/logout"。

success-handler-ref 可以用於提供 LogoutSuccessHandler 的實例，登出後將調用該實例以控制導航。

http

relying-party-registration-repository-ref 參考到 RelyingPartyRegistrationRepository。

authentication-request-repository-ref 參考到 Saml2AuthenticationRequestRepository。

authentication-request-context-resolver-ref 參考到 Saml2AuthenticationRequestResolver。

authentication-converter-ref 參考到 AuthenticationConverter。

login-processing-url 篩選器處理驗證請求的 URI。

login-page 將使用者傳送到登入的 URI。

authentication-success-handler-ref 參考到 AuthenticationSuccessHandler。

authentication-failure-handler-ref 參考到 AuthenticationFailureHandler。

authentication-manager-ref 參考到 AuthenticationManager。

http

logout-url 信賴方或聲明方可以用來觸發登出的 URL。

logout-request-url 聲明方可以用來傳送 SAML 2.0 登出請求的 URL。

logout-response-url 聲明方可以用來傳送 SAML 2.0 登出回應的 URL。

relying-party-registration-repository-ref 參考到 RelyingPartyRegistrationRepository。

logout-request-validator-ref 參考到 Saml2LogoutRequestValidator。

logout-request-resolver-ref 參考到 Saml2LogoutRequestResolver。

logout-request-repository-ref 參考到 Saml2LogoutRequestRepository。

logout-response-validator-ref 參考到 Saml2LogoutResponseValidator。

logout-response-resolver-ref 參考到 Saml2LogoutResponseResolver。

http

change-password-page 變更密碼頁面。預設值為 "/change-password"。

http

port-mapping

port-mappings

http 要使用的 http 埠。

https 要使用的 https 埠。

http

authentication-success-handler-ref 如果需要自訂導覽，則在 RememberMeAuthenticationFilter 上設定 authenticationSuccessHandler 屬性。此值應為應用程式內容中 AuthenticationSuccessHandler Bean 的名稱。

data-source-ref DataSource Bean 的參考。如果設定此項，將會使用 PersistentTokenBasedRememberMeServices，並使用 JdbcTokenRepositoryImpl 實例進行設定。

remember-me-parameter 切換「記住我」驗證的請求參數名稱。預設為 "remember-me"。對應到 AbstractRememberMeServices 的 "parameter" 屬性。

remember-me-cookie 儲存「記住我」驗證權杖的 Cookie 名稱。預設為 "remember-me"。對應到 AbstractRememberMeServices 的 "cookieName" 屬性。

key 對應到 AbstractRememberMeServices 的 "key" 屬性。應設定為唯一值，以確保「記住我」Cookie 僅在一個應用程式內有效 ^[3]。如果未設定此項，將會產生安全的隨機值。由於產生安全的隨機值可能需要一些時間，因此明確設定此值有助於在使用「記住我」功能時縮短啟動時間。

services-alias 將內部定義的 RememberMeServices 匯出為 Bean 別名，允許應用程式內容中的其他 Bean 使用它。

services-ref 允許完全控制篩選器將使用的 RememberMeServices 實作。此值應為應用程式內容中實作此介面的 Bean 的 id。如果正在使用登出篩選器，也應實作 LogoutHandler。

token-repository-ref 設定 PersistentTokenBasedRememberMeServices，但允許使用自訂的 PersistentTokenRepository Bean。

token-validity-seconds 對應到 AbstractRememberMeServices 的 tokenValiditySeconds 屬性。指定「記住我」Cookie 應有效的期間，以秒為單位。預設情況下，它將有效 14 天。

use-secure-cookie 建議「記住我」Cookie 僅透過 HTTPS 提交，因此應標記為「安全」。預設情況下，如果登入請求所透過的連線是安全的（應該是安全的），則將使用安全 Cookie。如果您將此屬性設定為 false，則不會使用安全 Cookie。將其設定為 true 將始終在 Cookie 上設定安全標誌。此屬性對應到 AbstractRememberMeServices 的 useSecureCookie 屬性。

user-service-ref 「記住我」服務實作需要存取 UserDetailsService，因此應用程式內容中必須定義一個。如果只有一個，命名空間配置將會自動選取並使用它。如果有多個實例，您可以使用此屬性明確指定 Bean id。

http

ref 定義對 RequestCache 的 Spring Bean 的參考。

http

authentication-strategy-explicit-invocation 將此屬性設定為 true 將表示 SessionManagementFilter 將不會被注入，並且需要明確調用 SessionAuthenticationStrategy。

invalid-session-url 設定此屬性將會使用以屬性值設定的 SimpleRedirectInvalidSessionStrategy 來注入 SessionManagementFilter。當提交無效的 Session ID 時，將會調用策略，並重新導向到設定的 URL。

invalid-session-url 允許注入 SessionManagementFilter 使用的 InvalidSessionStrategy 實例。請使用此屬性或 invalid-session-url 屬性，但不要同時使用兩者。

session-authentication-error-url 定義當 SessionAuthenticationStrategy 引發例外狀況時應顯示的錯誤頁面 URL。如果未設定，則會將未經授權 (401) 錯誤代碼傳回給用戶端。請注意，如果錯誤發生在表單式登入期間，則此屬性不適用，在這種情況下，驗證失敗的 URL 將優先。

session-authentication-strategy-ref 允許注入 SessionManagementFilter 使用的 SessionAuthenticationStrategy 實例

session-fixation-protection 指示在使用者驗證時將如何應用會期固定保護。如果設定為 "none"，則不會應用任何保護。"newSession" 將建立一個新的空會期，僅遷移與 Spring Security 相關的屬性。"migrateSession" 將建立一個新的會期，並將所有會期屬性複製到新的會期。在 Servlet 3.1 (Java EE 7) 和更新版本的容器中，指定 "changeSessionId" 將保留現有的會期，並使用容器提供的會期固定保護 (HttpServletRequest#changeSessionId())。在 Servlet 3.1 和更新版本的容器中，預設為 "changeSessionId"，在舊版容器中預設為 "migrateSession"。如果在舊版容器中使用 "changeSessionId"，則會擲回例外狀況。

concurrency-control

session-management

error-if-maximum-exceeded 如果設定為 "true"，當使用者嘗試超過允許的最大會期數時，將會引發 SessionAuthenticationException。預設行為是使原始會期過期。

expired-url 如果使用者嘗試使用已被並行會期控制器「過期」的會期，因為使用者已超過允許的會期數並已在其他地方重新登入，則使用者將被重新導向到的 URL。除非設定了 exception-if-maximum-exceeded，否則應設定此項。如果未提供值，則只會將過期訊息直接寫回回應。

expired-url 允許注入 ConcurrentSessionFilter 使用的 ExpiredSessionStrategy 實例

max-sessions 對應到 ConcurrentSessionControlAuthenticationStrategy 的 maximumSessions 屬性。指定 -1 作為值以支援無限會期。

session-registry-alias 擁有對內部會期登錄的參考以在您自己的 Bean 或管理介面中使用也可能很有用。您可以使用 session-registry-alias 屬性公開內部 Bean，並為其指定一個名稱，以便您可以在配置中的其他位置使用。

session-registry-ref 使用者可以使用 session-registry-ref 屬性提供他們自己的 SessionRegistry 實作。其他並行會期控制 Bean 將會被連接起來以使用它。

http

authentication-details-source-ref 對 AuthenticationDetailsSource 的參考

subject-principal-regex 定義一個正規表示式，該表示式將用於從憑證中提取使用者名稱（用於 UserDetailsService）。

user-service-ref 在配置了多個實例的情況下，允許將特定的 UserDetailsService 與 X.509 一起使用。如果未設定，將嘗試自動尋找合適的實例並使用該實例。

request-matcher 定義用於比對傳入請求的策略。目前的選項為 'ant'（用於 Ant 路徑模式）、'regex' 用於正規表示式，以及 'ciRegex' 用於不區分大小寫的正規表示式。

filter-chain

filter-chain-map

filters 以逗號分隔的列表，參考實作 Filter 的 Spring Bean。值 "none" 表示此 FilterChain 不應使用任何 Filter。

pattern 與 request-matcher 結合使用以建立 RequestMatcher 的模式

request-matcher-ref 對 RequestMatcher 的參考，該 RequestMatcher 將用於判斷是否應調用 filters 屬性中的任何 Filter。

id Bean 識別符，用於在內容中的其他位置參考 Bean。

request-matcher 定義用於比對傳入請求的策略。目前的選項為 'ant'（用於 Ant 路徑模式）、'regex' 用於正規表示式，以及 'ciRegex' 用於不區分大小寫的正規表示式。

use-expressions 啟用在 <intercept-url> 元素的 'access' 屬性中使用表達式，而不是傳統的配置屬性列表。預設為 'true'。如果啟用，則每個屬性都應包含單個布林表達式。如果表達式評估為 'true'，則將授予存取權。

intercept-url