Estou tentando integrar o Spring Security em meu aplicativo da web. Parece muito fácil de fazer, desde que você integre todo o processo de autenticação e autorização.

No entanto, tanto a autenticação quanto a autorização parecem tão acopladas que é muito demorado para mim entender como eu poderia dividir esses processos e obter autenticação independentemente da autorização.

O processo de autenticação é externo ao nosso sistema (baseado em conexão única) e isso não pode ser modificado. No entanto, uma vez que o usuário tenha sucesso nesse processo, ele é carregado na sessão, incluindo funções.

O que estamos tentando alcançar é fazer uso dessas informações para o processo de autorização do Spring Security, ou seja, forçá-lo a obter as funções da sessão do usuário em vez de buscá-las por meio do provedor de autenticação.

Existe alguma maneira de conseguir isso?