当用户提交了用户名和密码后:
1、首先会由FormAuthenticationFilter来拦截该请求(配置文件中有配置)
2、FormAuthenticationFilter中会调用doGetAuthenticationInfo来进行权限的验证,因为FormAuthenticationFilter中默认进行了Subject.login操作,login之后就会调用doGetAuthenticationInfo。
3、如果用户在第二步骤中验证成功,则进行doGetAuthorizationInfo,即授权操作,获取用户的角色和相应的权限。