Spring Security контролирует доступ к ресурсам и данным с помощью конфигурации правил безопасности, которые определяют, кто и что может делать в приложении. Основные механизмы:

Аутентификация — проверка личности пользователя.
Авторизация — проверка прав пользователя на доступ к определённым ресурсам.

Контроль доступа реализуется через:

Аннотации (@PreAuthorize, @Secured), которые ставятся над методами и проверяют права перед выполнением.
Конфигурацию HTTP безопасности, где задаются правила доступа к URL (например, кто может обращаться к /admin/**).
AccessDecisionManager — принимает решение, разрешать или запрещать доступ, основываясь на ролях и правах.

Пример конфигурации:

http
  .authorizeRequests()
    .antMatchers("/admin/**").hasRole("ADMIN")
    .antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
    .anyRequest().authenticated();

Таким образом, Spring Security проверяет права пользователя на основе ролей и правил, и разрешает или запрещает доступ к ресурсам.

Каким образом Spring Security осуществляет контроль за правами доступа к ресурсам и данным?