@PreAuthorize不生效？检查配置与AOP代理

1. 问题背景与基本概念

在使用 Spring Security 的方法级权限控制时，@PreAuthorize 注解是一种强大且灵活的机制，允许开发者基于 SpEL（Spring Expression Language）表达式对方法调用进行访问控制。然而，在实际开发中，许多团队会发现该注解“看似配置正确却未生效”，导致权限绕过等安全漏洞。

核心原因通常集中在三个方面：

1. 未启用方法级安全配置（缺少 @EnableGlobalMethodSecurity）
2. AOP 代理模式配置不当（proxyTargetClass 设置错误）
3. 目标方法被同类内部直接调用，导致代理失效（自调用问题）

这些问题从配置缺失到运行时行为偏差，层层递进，影响系统的安全性与可维护性。

2. 常见技术问题分析

3. 深入原理：AOP 代理机制与 Spring Security 集成

Spring Security 的 @PreAuthorize 功能依赖于 Spring AOP 实现的方法拦截。当一个带有 @PreAuthorize 的方法被调用时，实际是通过代理对象触发的拦截器链，其中 MethodSecurityInterceptor 会在方法执行前进行权限评估。

Spring 默认使用 JDK 动态代理（基于接口），若目标类没有实现接口，则必须启用 CGLIB 代理。这需要设置：

@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true, proxyTargetClass = true)
public class MethodSecurityConfig {
}

其中 proxyTargetClass = true 强制使用 CGLIB 创建子类代理，确保即使无接口也能织入切面逻辑。

4. 自调用问题的运行时剖析

当一个服务类中的方法 A 调用了同一类中的方法 B（带 @PreAuthorize），如下所示：

@Service
public class UserService {
    
    public void updateUser(Long id, String name) {
        // 业务逻辑
        logAccess(); // 直接调用，绕过代理
    }

    @PreAuthorize("hasRole('ADMIN')")
    public void logAccess() {
        System.out.println("Access logged by admin");
    }
}

此时 this.logAccess() 是 JVM 层面的直接方法调用，不经过 Spring 容器的代理对象，因此 AOP 切面无法拦截，权限控制失效。

5. 解决方案汇总与最佳实践

针对上述问题，推荐以下解决策略：

• 启用方法安全：务必在配置类上添加 @EnableGlobalMethodSecurity
• 统一使用 CGLIB 代理：设置 proxyTargetClass = true 避免代理创建失败
• 避免自调用：通过 ApplicationContext 或 self-injection 获取代理对象调用自身方法
• 单元测试验证：编写集成测试模拟不同角色调用，验证权限拦截是否生效

6. 架构级规避：设计模式优化建议

如上图所示，良好的分层设计应避免服务类内部自调用敏感方法。可通过职责拆分，将需权限控制的方法移到独立的服务组件中，从而天然规避代理失效问题。例如将日志记录抽象为 LogService，由 UserService 注入并调用。