Как Spring Security поддерживает информацию об аутентификации между запросами?
Использует ли он что-то похожее на jSessionId или использует совершенно другой механизм.
Далее я вижу, что AbstractSecurityInterceptor (я имею в виду любую из его реализаций) отвечает за перехват входящего запроса и проверяет, авторизован ли запрос с помощью Authentication.isAuthenticated()
, а затем, в зависимости от условия, либо проверяет запрос, либо отправить запрос аутентификации в реализацию AuthenticationManager. Итак, другими словами, как AbstractSecurityInterceptor различает первый запрос и последующий запрос.
SPRING_SECURITY_CONTEXT
, поэтому вся информация о безопасности (включая userDetails будет храниться там). - person Spring   schedule 07.08.2019