【自学Spring Security】之@PreAuthorize与自动装配冲突的问题

     今天我想给我的方法调用加上权限管理，比如说index.jsp上有三个链接

add
dell
list

     具有ROLE_USER的用户只能访问第一个链接，具有ROLE_ADMIN的用户可以访问所有链接，如果想通过路径来进行权限控制，则必须将所有请求地址全部罗列出来，那个工作量就大了。

     进入正题，先写一个控制器，我的程序是基于Spring MVC的，所以就写一个POJO类，奖赏Controller注解完成。

@Controller
@RequestMapping("/users")
public class UserController
{
    @Autowired
    protected UserService userService;

    @RequestMapping("/add")
    public ModelAndView add()
    {
        ModelAndView modelAndView=new ModelAndView("result");
        userService.addUser();
        modelAndView.addObject("message","add成功");
        return modelAndView;
    }

    @RequestMapping("/dell")
    public ModelAndView del()
    {
        ModelAndView modelAndView=new ModelAndView("result");
        userService.delUser();
        modelAndView.addObject("message","del成功");
        return modelAndView;
    }

    @RequestMapping("/list")
    public ModelAndView list()
    {
        ModelAndView modelAndView=new ModelAndView("result");
        List users=userService.listUser();
        System.out.println("size="+users.size());
        modelAndView.addObject("users",users);
        return modelAndView;
    }
}

    UserService接口定义如下：

public interface UserService
{
    @PreAuthorize("hasRole('ROLE_USER')")
    public void addUser();

    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public void delUser();

    @PreAuthorize("hasRole('ROLE_ADMIN')")
    @PostFilter("filterObject.length()<5")
    public List listUser();
}

    UserService接口的实现类：

@Component("userService")
public class UserServiceImpl implements UserService
{
    @Override
    public void addUser()
    {
        System.out.println("add user...");
    }

    @Override
    public void delUser()
    {
        System.out.println("del user...");
    }

    @Override
    public List listUser()
    {
        System.out.println("list user");
        List list=new LinkedList();
        list.add("zhangsan");
        list.add("lisi");
        list.add("wangwu");
        return list;
    }
}

   编写一个结果返回页面result.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>


    


${message}

${name}

 

    测试程序发现不管具有ROLE_USER的用户也可以访问del和list方法，真实百思不得其解，没办法只有查看Spring Security自带的示例程序，费了很大劲才在网上搜索到contact的源代码，发现service层Spring没有使用注解，而是在配置文件中配置bean元素，于是把@Component去掉，添加一个bean

   试了一下，发现权限控制起作用了，这是怎么回事呢，我也没有弄明白，期待高手解答。