String password = getPasswordByUsername(username);通過這個去獲取的密碼，如果密碼沒有找到是直接 return null,不為空才創建SimpleAuthenticationInfo返回對象的，這個是在創建對象之前的，這里用的是map一個定值，也可以是數據庫或者緩存中去查找密碼。

login傳遞的是明文，但是通過

//加密

HashedCredentialsMatcher matcher = new HashedCredentialsMatcher();

matcher.setHashAlgorithmName("md5");//加密算法

matcher.setHashIterations(1);//加密次數

customrealm.setCredentialsMatcher(matcher);

在提交認證請求前直接進行了加密，他直接和map中的數據進行的匹配，這個是你手動加鹽加密的，login認證只是判斷你傳過來的參數，在你手動加鹽加密后是否和map中或者數據庫緩存中 的值一樣。