Eu estou trabalhando em um aplicativo web baseado em Spring MVC legado que está usando um - por padrões atuais - algoritmo de hash inadequado. Agora eu quero migrar gradualmente todos os hashes para bcrypt. Minha estratégia de alto nível é:

Novos hashes são gerados com bcrypt por padrãoQuando um usuário efetua login com êxito e ainda tem um hash herdado, o aplicativo substitui o hash antigo por um novo hash bcrypt.

Qual é a maneira mais idiomática de implementar essa estratégia com o Spring Security? Devo usar um filtro personalizado ou o meu no AccessDecisionManager ou…?