@1name
По моему гораздо проще проверять куки и другую информацию на странице JSP, при этом сохраняя возможность «манипулировать» доступом не только к страницам, а и к участкам кода на страницах в зависимости от роли пользователя.
Решения вопроса 0
Ответы на вопрос 2
@azerphoenix
Мне кажется, что Spring Security придуман программистами для непрограммистов. Если я ошибаюсь, то поправьте меня пожалуйста.
С таким же успехом вы можете не изучать сам Spring, ибо зачем облегчать другому разработчику жизнь. Тем не менее, если речь идет об уровне Java Junior, то разработчик должен владеть этим фреймворком.
Spring Security является фреймворков, который дополняет Spring Framework и обеспечивает безопасность. Вы конечно же можете вручную обработать запросы, проверять кукисы и т.д. Но Spring Security предлагает больше возможностей из коробки. Например, аннотация Secured проверяет может ли данный юзер выполнить запрос данного типа. Т.е. хватает ли у него привилегий и есть ли у него соответствующая роль. Также используя Security вы можете реализовать jwt auth и т.д. Также в Spring Security уже реализованы свои фильтры, которые вы можете кастомизировать и даже добавить свои дополнительные фильтры. Говоря проще, зачем изобретать велосипед, если он уже есть. Опять-таки это сугубо мое мнение. При желании можно и новый фреймворк написать и свое секьюрити под него же разработать.
Также не забываем, что Spring это фреймворк не только для веба. Вы можете писать и десктопные приложения используя JavaFX + Spring и обеспечить безопасность приложения при помощи Security.
Вот, неболшая инфографика по работе Spring Security.
@sergey-gornostaev