Я использую spring безопасность с @PreAuthorize в своих методах контроллера. Мое рассуждение состояло в том, что я хотел, чтобы проверка авторизации происходила предсказуемо на одном уровне и как можно раньше в запросе. Тем не менее, я просто прочитал документацию spring security 3 и увидел, что они рекомендуют применять защиту уровня метода на уровне службы (но они не говорят, почему).
Мой вопрос: должны ли spring аннотации уровня метода защиты на уровне контроллера или уровня сервиса? (Или "оба", или "это зависит"?) Более важно: почему?