用户认证+授权后，就可以进行接口权限控制。思路是拿用户（已授予的）权限与接口所需权限进行比较，不包含则视为无权。在SpringSecurity中，权限校验可以通过以下方式实现：

（1）自定义拦截器或者AOP校验：对需要鉴权的接口做拦截，用户的权限从SecurityContextHolder中获取，接口访问权限可以通过自定义Annotation注入，具体参照

拦截器与过滤器（三）拦截自定义Annotation注解_@annotation 拦截类注解-CSDN博客

（2） 注解式权限校验：

和shiro类似，sercurity也提供了注解式权限校验。