para o curso ficar completo só faltou demonstrar como barrar um usuário logado mas que não tem permissão para executar uma ação, acredito que não seja igual como fazemos utilizando o spring security do jeito tradicional pois não temos a session. Por exemplo , não tem sentido em um fórum, mas vamos supor que apenas usuários com perfil de administrador possa remover tópicos, como ficaria essa implementação?
