У меня есть контроллер, который имеет
@PreAuthorize("hasAnyRole('USER')")
, и когда я пытаюсь отобразить какую-то определенную часть страницы с помощью <security:authorize url="path-to-controller">, он проходит, даже если вошедший в систему пользователь не имеет разрешения на доступ к этому контроллеру.
В своей конфигурации безопасности я добавил:
@EnableGlobalMethodSecurity(jsr250Enabled = true, prePostEnabled = true, securedEnabled = true)
Когда конкретный URL-адрес настроен в конфигурации безопасности, чтобы запретить доступ определенным ролям к нему, тег безопасности работает, но не работает.работа с аннотациями на контроллерах.Можно ли добиться такого же поведения с аннотациями?