`@PreAuthorize` 是 Spring Security 框架中的一個注解，用于在方法執行之前進行訪問控制的驗證。通過在方法或類級別上添加 `@PreAuthorize` 注解，我們可以定義安全規則，確保只有具有特定權限或滿足特定條件的用戶才能夠執行被注解的方法。 該注解可以與 SpEL（Spring Expression Language）一起使用，以便根據方法參數、當前用戶信息或其他上下文信息進行更復雜的訪問控制邏輯。 以下是一個示例，演示如何在 Spring Boot 應用程序中使用 `@PreAuthorize` 注解： ```java import org.springframework.security.access.prepost.PreAuthorize; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RestController; @RestController @RequestMapping("/api") public class MyController { @GetMapping("/user/{id}") @PreAuthorize("hasRole('ROLE_ADMIN') or #id == authentication.principal.id") public String getUser(@PathVariable Long id) { // 只有具有 "ROLE_ADMIN" 權限的用戶或者用戶 ID 與當前登錄用戶的 ID 匹配才能夠執行該方法 return "User details for ID: " + id; } // 其他方法... } ``` 在上述示例中，`@PreAuthorize` 注解應用于 `getUser()` 方法上。使用表達式 `"hasRole('ROLE_ADMIN') or #id == authentication.principal.id"` 來定義訪問規則：只有具有 "ROLE_ADMIN" 角色的用戶或者請求的 ID 與當前登錄用戶的 ID 匹配才能夠訪問該方法。 請注意，為了使用 `@PreAuthorize` 注解，您需要在項目中引入 Spring Security 相關的依賴，并進行相應的配置。另外，您可能還需要定義用戶角色、權限等相關信息，并確保已正確配置身份驗證和授權機制。 這只是一個簡單的示例，您可以根據自己的需求和業務邏輯進行更復雜的訪問控制配置。有關更多詳細信息，請參考 Spring Security 的官方文檔。