Я не могу найти, как создается java.security.Principal в HttpServletRequest - кто несет ответственность?Как это сделать?Обязательно ли хранится в сессии?
Как это связано с Spring Security?
Существуют ли какие-либо альтернативы Spring Security, использующие принципал для авторизации / аутентификации пользователя?
Как можно реализовать собственную авторизацию / аутентификацию пользователя,этот Принципал будет содержать текущего пользователя?
Authentication
Principal
UserDetailsService
Принципал будет установлен Spring Security на основе вашей конфигурации Spring Security.
Для реализации этого см. http://static.springsource.org/spring-security/site/docs/3.1.x/reference/springsecurity.html