Каким образом Spring Security связывает входящий запрос с конкретным клиентом и его правами доступа?