默认情况下，SecurityContext将存储在HTTP会话中的SPRING_SECURITY_CONTEXT项下（由SecurityContextHolderFilter处理，并进一步委托给HttpSessionSecurityContextRepository）。这意味着理论上您可以首先为需要更新其角色的用户获取HttpSession，然后从中获取他的SecurityContext并进行更新。
遗憾的是Servlet不提供API来通过会话ID获取HTTP会话，但您可以参考this idea手动跟踪会话和用户ID之间的Map。或者检查Web容器是否提供API来做到这一点。

根据您的问题，我理解您正在尝试为用户构建一个动态角色模型，而无需再次登录。为所有登录用户重写角色的想法是不可能的，因为用户会话不可用，这种不可用是安全性的一部分，并且可以在任何用户请求期间由匹配JSESSIONID的服务器绑定。这就是为什么您在SecurityContextHolder中只有管理员信息。如果我们理解了SecurityContextHolder是如何变得可用的，我们可以看到这个对象是通过Spring Security Filter Chain bean构建的，并且这个对象的数据是从当前用户会话中获取的。为了更新用户角色，我们可以实现相同的Spring Security Filter Chain组件（让我们像RoleRecalculationRequestFilter一样调用），它可以在构建SecurityContextHolder的组件之后集成，然后基于SecurityContextHolder中的信息，我们可以从任何资源加载更新的角色（数据库，内存存储等）基于SecurityContextHolder中的信息，然后将更新的角色列表设置到SecurityContextHolder对象中，该操作将对每个请求执行，因此您的用户始终将在上下文中拥有最新的角色。