1：登录时使用输入的用户名、密码创建一个 UsernamePasswordAuthenticationToken

2：根据用户名查询db信息，返回UserDetails对象（验证用户名）

3：源码DaoAuthenticationProvider类中，调用additionalAuthenticationChecks方法，验证输入的密码与数据库密码是否一致

但是为什么会调用这个方法，还在学习中...