1.开启注解，把下面注解放在配置类上：

注解1：@Secured

 当访问 /test/index端点的时候，如果用户角色不是XianYu 那么拦截 爆403

注意 这里需要加  ROLE_ 

我们一定要区分开 权限和角色，角色是带ROLE_的

注解2：@PreAuthorize

首先配置类开启这个注解：

他会在进入方法前进行检验权限，还可以将登录用户的 roles/permissions 参数传到方法中。

 注解3：@PostAuthorize

1、开启注解和 @PreAuthorize 一样，都是 prePostEnabled = true 即可：

2.他是方法执行后才验证权限，所以呢它不怎么用，适合用在带返回值的权限认证：

 测试：没权限，但是进入方法先：

 就是怎个回事。

数据过滤注解：@PostFilte  和 @PreFilter

不怎么用 我也不学了，有空自百度。