Здравствуйте, Denis_Orlov, Вы писали:

D_O>Вообще говоря данное решение смотрится очень "тяжёлым". Потенциально обращения к базе за профайлом станет очень тонким местом.
+1 запрос к базе на один http запрос. это совсем не тяжелое решение.

D_O>Т.е. роли обновляются не через интерфейс приложения а прямо в базе?
по всякому.

D_O>На самом деле проще сделать SecurityManager, который будет реализовывать метод:
D_O>

D_O>   public boolean allowAction(userId, actionType);
D_O>

D_O>При этом у SecurityManager должен быть гарантировано самый последний срез данных.
а вот это уже ручное управление до которого не хочется сваливаться. иначе зачем тогда вообще spring нужен?