spring security是springboot支持的權限控制系統。

• security.basic.authorize-mode要使用權限控制模式.
• security.basic.enabled是否開啟基本的鑒權，默認為true
• security.basic.path需要鑒權的path，多個的話以逗號分隔，默認為[/**]
• security.basic.realmHTTP basic realm 的名字，默認為Spring
• security.enable-csrf是否開啟cross-site request forgery校驗，默認為false.
• security.filter-orderSecurity filter chain的order，默認為0
• security.headers.cache是否開啟http頭部的cache控制，默認為false.
• security.headers.content-type是否開啟X-Content-Type-Options頭部，默認為false.
• security.headers.frame是否開啟X-Frame-Options頭部，默認為false.
• security.headers.hsts指定HTTP Strict Transport Security (HSTS)模式(none, domain, all).
• security.headers.xss是否開啟cross-site scripting (XSS) 保護，默認為false.
• security.ignored指定不鑒權的路徑，多個的話以逗號分隔.
• security.oauth2.client.access-token-uri指定獲取access token的URI.
• security.oauth2.client.access-token-validity-seconds指定access token失效時長.
• security.oauth2.client.additional-information.[key]設定要添加的額外信息.
• security.oauth2.client.authentication-scheme指定傳輸不記名令牌(bearer token)的方式(form, header, none,query)，默認為header
• security.oauth2.client.authorities指定授予客戶端的權限.
• security.oauth2.client.authorized-grant-types指定客戶端允許的grant types.
• security.oauth2.client.auto-approve-scopes對客戶端自動授權的scope.
• security.oauth2.client.client-authentication-scheme傳輸authentication credentials的方式(form, header, none, query)，默認為header方式
• security.oauth2.client.client-id指定OAuth2 client ID.
• security.oauth2.client.client-secret指定OAuth2 client secret. 默認是一個隨機的secret.
• security.oauth2.client.grant-type指定獲取資源的access token的授權類型.
• security.oauth2.client.id指定應用的client ID.
• security.oauth2.client.pre-established-redirect-uri服務端pre-established的跳轉URI.
• security.oauth2.client.refresh-token-validity-seconds指定refresh token的有效期.
• security.oauth2.client.registered-redirect-uri指定客戶端跳轉URI，多個以逗號分隔.
• security.oauth2.client.resource-ids指定客戶端相關的資源id，多個以逗號分隔.
• security.oauth2.client.scopeclient的scope
• security.oauth2.client.token-name指定token的名稱
• security.oauth2.client.use-current-uri是否優先使用請求中URI，再使用pre-established的跳轉URI. 默認為true
• security.oauth2.client.user-authorization-uri用戶跳轉去獲取access token的URI.
• security.oauth2.resource.id指定resource的唯一標識.
• security.oauth2.resource.jwt.key-uriJWT token的URI. 當key為公鑰時，或者value不指定時指定.
• security.oauth2.resource.jwt.key-valueJWT token驗證的value. 可以是對稱加密或者PEMencoded RSA公鑰. 可以使用URI作為value.
• security.oauth2.resource.prefer-token-info是否使用token info，默認為true
• security.oauth2.resource.service-id指定service ID，默認為resource.
• security.oauth2.resource.token-info-uritoken解碼的URI.
• security.oauth2.resource.token-type指定當使用userInfoUri時，發送的token類型.
• security.oauth2.resource.user-info-uri指定user info的URI
• security.oauth2.sso.filter-order如果沒有顯示提供WebSecurityConfigurerAdapter時指定的Filter order.
• security.oauth2.sso.login-path跳轉到SSO的登錄路徑默認為/login.
• security.require-ssl是否對所有請求開啟SSL，默認為false.
• security.sessions指定Session的創建策略(always, never, if_required, stateless).
• security.user.name指定默認的用戶名，默認為user.
• security.user.password默認的用戶密碼.
• security.user.role默認用戶的授權角色.

參考：https://segmentfault.com/a/1190000004316491