насколько хорошо spring security защищает
В RESTful приложениях, по идее никаких проблем с безопасностью быть не может. Потому что любой запрос связан с сущностью, которая просто не будет построена если какая-то часть запроса не соответствует типу данных хотя бы одному из полей объекта (включая фильтры Security). См.
Entity-Control-Boundary (Robustness diagram).
Если у вас в системе есть контроллеры (например ajax), которые принимают запросы независимо от настроек фильтров Spring Security и независимо от сущности, то вопрос безопасности лежит на плечах разработчика.
Spring-security - обеспечивает безопасный канал обмена данными. В каждом запросе клиент/сервер передаётся "пакетный набор" для идентификации пользователя. Например: IP адрес, hash-code сессии, крипто-пароль и др. Это обеспечивает безопасный канал связи. А обработка запросов (в том числе неправильных) - это задача разработчика.