La mejor opción es tener un filtro de autenticación previa personalizada extendiendo AbstractPreAuthenticatedProcessingFilter.
Puede recuperar el token de la solicitud y devolverlo en el método getPreAuthenticatedCredentials().
Usted puede definir su propio AuthenticationUserDetailsService y pasarlo a PreAuthenticatedAuthenticationProvider, aquí se puede recuperar las autorizaciones otorgadas y devolverlos en DetallesUsuario Objeto
<bean id="preAuthAuthenticationProvider"
class="org.springframework.security.web.authentication.preauth.PreAuthenticatedAuthenticationProvider">
<property name="preAuthenticatedUserDetailsService">
<bean id="myUserDetailsService"
class="MyUserDetailsService">
</bean>
</property>
</bean>
Si ha concedido autenticación, que no empiezan con PAPEL prefijo por defecto, puede definir su prefijo personalizado
<bean id="myPermissionRoleVoter" class="org.springframework.security.access.vote.RoleVoter">
<property name="rolePrefix" value="myprefix"/>
</bean>