В Spring Security аутентификация — это процесс проверки личности пользователя, обычно через ввод логина и пароля. Если данные верны, пользователь считается аутентифицированным.

Авторизация — это процесс определения прав доступа аутентифицированного пользователя к ресурсам приложения.

Принцип работы:

Пользователь отправляет запрос с учетными данными.
Spring Security перехватывает запрос и передает данные в AuthenticationManager.
AuthenticationManager использует AuthenticationProvider для проверки данных (например, сравнивает пароль с хранимым).
Если аутентификация успешна, создается объект Authentication с информацией о пользователе и его ролях.
После аутентификации происходит авторизация — проверка, имеет ли пользователь доступ к запрашиваемому ресурсу, основываясь на ролях и настройках доступа.

Пример конфигурации:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .anyRequest().authenticated()
        .and()
        .formLogin();
}

Здесь определено, что доступ к /admin/** имеют только пользователи с ролью ADMIN, остальные должны быть аутентифицированы.

Можете объяснить принцип работы системы авторизации и аутентификации в Spring Security?