可能是因为密码不正确，特别是密码使用md5或者其它的加密算法加密之后，更是如此。

还有一点：

在UsernamePasswordAuthenticationFilter的子类中的attemptAuthentication方法中，只要去验证你自己的逻辑就可以了，不要在这里验证用户名，密码是否正确，因为这是UserDetailsService要干的事情。

比如我的attemptAuthentication方法中就是这样：

@Override    public Authentication attemptAuthentication(HttpServletRequest request, HttpServletResponse response) throws AuthenticationException {           if (!request.getMethod().equals("POST")) {                  throw new AuthenticationServiceException("Authentication method not supported: " + request.getMethod());              }              //检测验证码              checkValidateCode(request);             String username = obtainUsername(request);              String password = obtainPassword(request);                          //为了辨别从前台进入的，还是从后台进入的            String type=request.getParameter(ENTRY);            request.getSession().setAttribute(USER_ENTRY, type);            if("bg".equals(type))            {                username="bg_"+username;            }else if("fg".equals(type))            {                username="fg_"+username;            }                                      //这里的username会传给UserDetailsService的loadUserByUsername方法，作为loadUserByUsername的参数。            UsernamePasswordAuthenticationToken authRequest = new UsernamePasswordAuthenticationToken(username, password);                            // 允许子类设置详细属性              setDetails(request, authRequest);                            // 运行UserDetailsService的loadUserByUsername 再次封装Authentication              AuthenticationManager authenticationManager = this.getAuthenticationManager();            Authentication authentication=authenticationManager.authenticate(authRequest);            return authentication;      }