首先Spring security不完全是依赖HttpSession来保存用户对象,而是放在threadlocal里面的。
通过HttpSessionIntegrationFilter,它也会同步到HttpSession,在非servlet环境,可以直接通过SecurityContextHolder获取,在Serlvet环境,也可以用session.getAttribute(...)得到,那个key忘了。
spring security先post登录信息到/j_spring_security_check这条URL,这条URL会调用UserDetailService去检查用户是否valid,如果通过,就把user信息塞进SecurityContextHolder。
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024