Какой подход к аутентификации и авторизации реализован в Spring Security в вашем проекте?

В моём проекте на Spring Security реализована аутентификация с использованием JWT (JSON Web Tokens). Пользователь при логине получает токен, который затем передаётся в заголовках запросов для подтверждения личности.

Авторизация настроена через аннотации @PreAuthorize и конфигурацию HttpSecurity, где роли и права доступа определяют, какие ресурсы доступны пользователю. Такой подход позволяет отделить аутентификацию от авторизации и масштабировать безопасность приложения.

Пример конфигурации:

http
  .csrf().disable()
  .authorizeRequests()
  .antMatchers("/admin/**").hasRole("ADMIN")
  .antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
  .anyRequest().authenticated()
  .and()
  .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS);

// Фильтр для проверки JWT добавлен в цепочку фильтров