默認情況下（從Spring Security 3.1開始），`ProviderManager`將嘗試清除`Authentication`對象中的任何敏感憑證信息，該信息由成功的身份驗證請求返回。這可以防止密碼保留的時間超過必要的時間。 當您使用用戶對象的緩存時，這可能會導致問題，例如，提高無狀態應用程序的性能。如果`Authentication` 包含對緩存中對象的引用（例如`UserDetails`實例）并且已刪除其憑據，則將無法再對緩存的值進行身份驗證。如果使用緩存，則需要考慮這一點。一個顯而易見的解決方案是首先在緩存實現中或在創建返回的`Authentication`對象的`AuthenticationProvider`中制作對象的副本。或者，您可以在`ProviderManager`上禁用`eraseCredentialsAfterAuthentication`屬性。有關更多信息，請參閱Javadoc。