實際上，Spring Security并不介意如何將`Authentication`對象放在`SecurityContextHolder`中。唯一的關鍵要求是，在`AbstractSecurityInterceptor`（我們將在后面看到更多信息）需要授權用戶操作之前,`SecurityContextHolder`包含一個代表主體的`Authentication`. 您可以（以及許多用戶）編寫自己的過濾器或MVC控制器，以提供與不基于Spring Security的身份驗證系統的互操作性。例如，您可能正在使用容器管理的身份驗證，這使得當前用戶可以從ThreadLocal或JNDI位置使用。或者您可能會為擁有傳統專有身份驗證系統的公司工作，這是一個您無法控制的企業“標準”。在這種情況下，很容易讓Spring Security工作，并且仍然提供授權功能。您需要做的就是編寫一個過濾器（或等效的），從一個位置讀取第三方用戶信息，構建一個特定于Spring Security的`Authentication`對象，并將其放入`SecurityContextHolder`。在這種情況下，您還需要考慮內置身份驗證基礎結構通常會自動處理的事情。例如，在將響應寫入客戶端腳注之前，您可能需要先強制創建一個HTTP會話來緩存請求之間的上下文：[一旦提交響應，就無法創建會話。 如果您想知道如何在現實世界的示例中實現`AuthenticationManager`，我們將在核心服務章節中查看它。