Comments 6
Получать информацию о пользователях из БД можно и без реализации дополнительных интерфейсов. Единственное, нужно будет объявить DataSource бин, через который Spring залезет в БД. А authentication-provider можно тогда объявить примерно так:

<authentication-provider>
    <jdbc-user-service data-source-ref="dataSource" 
                        users-by-username-query="select username, password, enabled 
                                                 from users where username = ?"
      			authorities-by-username-query="select u.username, au.authority 
                                                       from users u, authorities au  
                                                       where u.id = au.user_id and u.username = ?" />
</authentication-provider>

Т.е. нужно отдать Спрингу небольшой sql, который достанет из базы имя пользователя, пароль, флаг, не заблокирован ли пользователь, и роли пользователя.

Также авторизованный доступ можно вешать не только на URLы, но и на Java методы.
Да можно. Но в случае использования ORM это уже несколько сложнее, проще наколбасить свой класс. Опять же это позволяет использовать ORM.

Ну еще неплохо было написать, что если форму и url не задавать в http spring-security то по умолчанию будет работать basic auth
Спасибо, добавил, вижу что скоро название статьи «Краткий обзор Spring Security» не будет соответствовать действительности)
Да не. Остальное там сильно уже сложнее. Это такой нюанс про который неплохо знать.
Only those users with full accounts are able to leave comments. Log in, please.