Ihor Savchenko's questions

Web 应用程序使用 Spring WebMVC 和 Spring Security。问题出现了为什么 @PreAuthorize 注释如果挂在控制器类中的嵌套方法上​​不起作用：

@GetMapping(value= "/method")
public String exampleForMethodPreAuthorize() {
    if(methodController()){
        return "forMethodPreAuthorize";
    }
    else return null;
}

@PreAuthorize("hasRole('ADMIN')")
public final boolean methodController(){
    return true;
}

上面的代码不起作用，即 该方法适用于任何用户，即使是没有管理员访问权限的用户。虽然，如果将此注释放在控制器方法本身上：

@PreAuthorize("hasRole('ADMIN')")      
@GetMapping(value= "/method")
public String exampleForMethodPreAuthorize() {

   return "forMethodPreAuthorize";        
}

那么在这种情况下一切正常。自然地，servlet 上下文配置文件使用组件扫描和

<security:global-method-security pre-post-annotations="enabled"/>

提前感谢您的回复。

据我了解，当通过new创建一个类对象时，在Heap中分配了一个区域来存储类本身的所有字段和它所有祖先的非静态公共（和保护）字段。然后依次调用所有祖先的构造函数，从最旧的构造函数开始，初始化并可能覆盖该对象字段的值。并且在最后，子对象的构造函数自己初始化它的新字段，或者可能覆盖祖先构造函数已经初始化的字段的值。问题如下。如果祖先有它们的私有字段和公共getter，而继承人没有重写这些字段和getter，那么从继承人的对象中，通过调用继承的getter，可以从祖先的私有字段中获取该字段的值. 它是如何发生的？创建一个对象时，它所有祖先的对象是否都在单独的内存区域中创建，并具有它们的所有字段？或者，在我看来更有可能的是，JVM 理解如果祖先有公共 getter，继承人可以访问其私有字段，因此在子对象的内存区域中创建其祖先的私有字段？