Сценарий: сайт для обмена фотографиями, который позволяет пользователям загружать фотографии. Пользователи могут удалять или редактировать свои фотографии. Способы удаления и редактирования - это методы Post. Эти методы используют идентификатор фотографии, чтобы найти фотографию и изменить ее. Фотографии получаются с помощью текущей аутентифицированной информации пользователя, например: SecurityContextHolder.getContext().getAuthentication();
Как запретить пользователям изменять данные других пользователей?
Так что, если пользователь A хочет удалить идентификатор фотографии пользователя B, а A пишет почтовый метод с JavaScript и удаляет фотографию пользователя B.
Возможно ли это? Или эта практика проблематична?
Вам нужен какой-то «список» для «Контроль доступа». http://docs.spring.io/spring-security/site/docs/4.0.4.RELEASE/reference/htmlsingle/#domain-acls –