A Principal代表可能会对您的应用程序进行身份验证的人。主体的 名称 取决于所使用的身份验证方法：

• 用户名，例如“ fred”（对于HTTP Basic身份验证）
• 专有名称，例如“ CN = bob，O = myorg”（对于X.509客户端证书-在这种情况下，可能会返回X500Principal）

getRemoteUser()返回“用户登录名”，对于HTTP
Basic身份验证，该用户名也将是用户名；但是，由于在X.509客户端证书的情况下，它不能清晰地映射，因为用户没有这样输入“登录”-在上面的示例中，我们可以使用专有名称或简单地使用CN，即“
bob”。

Javadocs声明“是否随每个后续请求一起发送用户名，取决于浏览器和身份验证类型”，这建议getRemoteUser()最初旨在
仅为输入用户名的请求 提供数据。但是，这将导致null在使用基于cookie的身份验证时返回大多数请求-不太有用！

实际上，getRemoteUser()通常只是打电话getUserPrincipal().getName()；已在Tomcat 6和Jetty
6/7中验证。