Solucionado
Qual é a diferenca entre usar @PreAuthorize("hasRole('x')") no method do controller na qual quero validar se ele tem role e/ou privilege e passar a role dentro da config do Spring Security? Eu particularmente, prefiro a primeira opcão que citei. Qual é o mais correto/comum de se encontrar em projetos reais?
Atenciosamente, Wesley S.
Oi Wesley,
O efeito será bem similar, protegendo a execução do código de acordo com o perfil do usuário.
O @PreAuthorize é chamado "mais tarde" do que a proteção feita via configurações de segurança baseada em URL, e como vantagem existe uma maior flexibilidade, pois da para usar o SPel do Spring e checar outras informações, além do perfil do usuário.
O mais comum é encontrar as configurações feitas na classe de config do spring mesmo.
Bons estudos!