В статье рассматривается реализация ролевого контроля в приложениях на Java с использованием Spring Security и LDAP. Автор описывает комбинированный подход: основные ограничения доступа реализуются через роли приложения (например, ADMIN) и проверки принадлежности пользователя к LDAP-группам, соответствующим подразделениям компании. Архитектура строится по MVC, ролевые проверки проводятся на уровне контроллеров (через authorities) и на уровне сервисов (через аннотации @PreAuthorize с кастомным bean'ом проверки прав).

• Контроль доступа реализуется с помощью authorities (например, "ADMIN") на уровне эндпоинтов и через логику, учитывающую соответствие роли пользователя и подразделения объекта (например, документа).
• Права пользователя определяются через группы LDAP, которые сопоставляются с атрибутом ldap-name внутри объектов доменной модели.
• Проверки на уровне сервисов выполняются через аннотацию @PreAuthorize и кастомный bean, который анализирует наличие необходимых ролей в LDAP-списке пользователя.
• Обработка ошибок доступа централизована: при отсутствии нужной роли выбрасывается AccessDeniedException до исполнения метода.
• Реализация поддерживает гранулярный контроль, когда доступ может быть ограничен по типу действия, подразделению, роли и параметрам объекта.