“配置屬性”可以被認為是對`AbstractSecurityInterceptor`類使用的具有特殊含義的String。它們由框架內的接口`ConfigAttribute`表示。它們可能是簡單的角色名稱，也可能具有更復雜的含義，具體取決于`AccessDecisionManager`實現的復雜程度。` AbstractSecurityInterceptor`配置了`SecurityMetadataSource`，用于查找安全對象的屬性。通常，此配置將對用戶隱藏。配置屬性將作為安全方法的注解，或作為安全URL的訪問屬性。例如，當我們在命名空間中看到類似 `<intercept-url pattern='/secure/**' access='ROLE_A,ROLE_B'/>`的內容時，這就是說配置屬性`ROLE_A`和`ROLE_B`適用于Web請求匹配給定的模式。實際上，使用默認的`AccessDecisionManager`配置，這意味著任何具有與這兩個屬性中的任何一個匹配的`GrantedAuthority`的人都將被允許訪問。嚴格來說，它們只是屬性，解釋依賴于`AccessDecisionManager`實現。前綴`ROLE_`的使用是一個標記，表示這些屬性是角色，應該由Spring Security的`RoleVoter`使用。這僅在使用基于選舉的`AccessDecisionManager`時才有意義。我們將在授權章節中看到`AccessDecisionManager`的實現方式。