顶

自己写个过滤器，继承原有的登录过滤器，重写里面的登录方法，xml配置url过滤链的时候把自己的过滤器别名替换掉原来的login。

简单的方法：通过用户名获取用户信息，顺便还能验证

User user = (User)principals.getPrimaryPrincipal()。实在可以用这个方法

楼主应该早就解决了，不过为了后来人，我回答下，
在自定义realm里的认证方法要返回的信息AuthenticationInfo，简单的说就是principalCollection里的内容，所以只需要在doGetAuthenticationInfo(AuthenticationToken token)方法里，
SimpleAuthenticationInfo authenticationInfo = new SimpleAuthenticationInfo(
userInfo, //用户信息类
userInfo.getPassword(), //密码
ByteSource.Util.bytes(userInfo.getCredentialsSalt()),//salt=username+salt
getName() //realm name
);
return authenticationInfo;
userInfo是怎么来的就不用说了吧

我来说一下吧， 8楼木有仔细看题目。
首先楼主说的 是角色如何传递存储： roles
是在授权方法：
doGetAuthorizationInfo (PrincipalCollection principals){
// 新建一个简单授权对象
SimpleAuthorizationInfo info = new SimpleAuthorizationInfo();
info.setStringPermissions( setC ); // 设置字符串权限标识
info.setRoles( setR ); // 设置角色
return info;
}
而 UserInfo 是认证时存入 Session 并 存入 SimpleAuthorizationInfo 对象的 .
实际执行授权时，获取的是 SimpleAuthorizationInfo 对象内的 principals 属性值.