当使用spring security 的标签,如下,其中<sec:session-management>对应的SessionManagementFilter.从名字可以看出,这是一个管理Session的过滤器.这个过滤器会拦截每一个请求.然后判断用户有没有认证过.如果已经认证过,则执行Session认证策略.session 认证策略可配置.我们来看看这个过滤器的源代码,具体逻辑就直接在源码上标注. public void doFilter(ServletRequest req, Servlet…