La configuracin de seguridad en Spring Security indica para cada URL que permisos se requieren. Para acceder a la pgina de contenido /home de la aplicacin se requiere el rol USER, a la pgina de inicio de sesin /login se permite acceder a los usuario no autenticados donde introducen sus credenciales de usuario y contrasea, una vez validado el usuario y contrasea el usuario autenticado tiene el rol PRE_AUTH_USER, dependiendo de si el usuario en su preferencia usa 2FA o no en el manejador de autenticacin exitosa SecondFactorAuthenticationSuccessHandler redirige al usuario a la pgina /home o la pgina /code para introducir el cdigo de verificacin del segundo factor autenticacin. Al usuario autenticado exitosamente de forma completa se le sustituye el permiso PRE_AUTH_USER por los que tenga asignado, en el ejemplo el rol USER.