Здравствуйте, dotidot, Вы писали:

D>думаю мне будет достаточно если на каждый http запрос будет перечитываться пользователь из базы с помощью моего UserDetailsService
Вообще говоря данное решение смотрится очень "тяжёлым". Потенциально обращения к базе за профайлом станет очень тонким местом.

D>в базе меняются роли назначенные на конкретного пользователя, на основе этих прав происходит проверка доступа через spring security к операциям и данным, в контроллерах, jsp, persistance слое
Т.е. роли обновляются не через интерфейс приложения а прямо в базе?

D>насколько я понял самый прямой способ это сделать фильтр, который сешнманагеру будет это дело подпихивать
На самом деле проще сделать SecurityManager, который будет реализовывать метод:

   public boolean allowAction(userId, actionType);

При этом у SecurityManager должен быть гарантировано самый последний срез данных.