Да, опыт внедрения новых правил безопасности в Spring Security обычно включает настройку или расширение компонентов, таких как фильтры, провайдеры аутентификации, или конфигурация доступа.

Например, можно добавить кастомный фильтр для проверки дополнительного токена или реализовать собственный UserDetailsService для загрузки пользователей с новыми атрибутами.

Пример настройки кастомного правила доступа:

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")
            .anyRequest().authenticated()
            .and()
            .formLogin();
    }
}

Также можно внедрять логику через аннотации, например, @PreAuthorize с выражениями SpEL для более тонкого контроля доступа.

Имели ли вы опыт внедрения новых правил или логики в систему безопасности на базе Spring Security?