使用 @PreAuthorize 注释 setter 会不会太残酷？

Question

我有一个可能由不同演员编辑的特定实体。该场景的一个很好的例子是系统的用户，他可以编辑他们的个人数据（电话号码、电子邮件、密码），但不能修改例如他们的权限或用户名，这当然可以由超级用户来完成用户。

那么，如果我只是用 @PreAuthorize 注解 setter 方法，会不会太残酷太丑陋了？我能想到的唯一缺点是性能损失，但由于没有涉及我正在考虑的实体的批量操作，并且这些设置器永远不会经常被调用，所以现在似乎不再是一个问题。

Answer 1

我不建议这样做。首先，如果我看得正确的话，@PreAuthorize 要求一个类是一个 bean。一般来说，实体不是 spring bean（除非您使用 @Configurable 魔法）。所以这是行不通的。

其次，@PreAuthorize 的更好位置是执行修改的业务方法。