`@PreAuthorize` 是 Spring Security 框架中的一个注解，用于在方法执行之前进行访问控制的验证。通过在方法或类级别上添加 `@PreAuthorize` 注解，我们可以定义安全规则，确保只有具有特定权限或满足特定条件的用户才能够执行被注解的方法。 该注解可以与 SpEL（Spring Expression Language）一起使用，以便根据方法参数、当前用户信息或其他上下文信息进行更复杂的访问控制逻辑。 以下是一个示例，演示如何在 Spring Boot 应用程序中使用 `@PreAuthorize` 注解： ```java import org.springframework.security.access.prepost.PreAuthorize; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; @RestController @RequestMapping("/api") public class MyController { @GetMapping("/user/{id}") @PreAuthorize("hasRole('ROLE_ADMIN') or #id == authentication.principal.id") public String getUser(@PathVariable Long id) { // 只有具有 "ROLE_ADMIN" 权限的用户或者用户 ID 与当前登录用户的 ID 匹配才能够执行该方法 return "User details for ID: " + id; } // 其他方法... } ``` 在上述示例中，`@PreAuthorize` 注解应用于 `getUser()` 方法上。使用表达式 `"hasRole('ROLE_ADMIN') or #id == authentication.principal.id"` 来定义访问规则：只有具有 "ROLE_ADMIN" 角色的用户或者请求的 ID 与当前登录用户的 ID 匹配才能够访问该方法。 请注意，为了使用 `@PreAuthorize` 注解，您需要在项目中引入 Spring Security 相关的依赖，并进行相应的配置。另外，您可能还需要定义用户角色、权限等相关信息，并确保已正确配置身份验证和授权机制。 这只是一个简单的示例，您可以根据自己的需求和业务逻辑进行更复杂的访问控制配置。有关更多详细信息，请参考 Spring Security 的官方文档。