Hola,
tengo un par de dudas puntuales acerca del módulo de seguridad de Spring (Spring Security).

¿Se puede restringir el acceso a partes concretas de una página JSP, o solamente se define la restricción a nivel de página? Quiero decir, puedo evitar que dentro de una página que muestra un listado y una serie de botones con herramientas, un usuario pueda utilizar tales herramientas si no tiene un determinado rol?

Y la segunda: he leído tutoriales por la Web, y veo que se suele utilizar una base de datos, para almacenar los roles, usuarios y demás información de seguridad para que luego se aplique en el contexto de la aplicación. ¿Se puede definir esta seguridad en ficheros xml en lugar de en tablas de una base de datos?

Muchas gracias

Un saludo