@PreAuthorize 用来控制一个方法是否被调用（通过括号里的条件）

@PostAUthorize在方法调用完成后进行权限检查他不能控制方法是否被调用，只能在方法调用完成后检查权限决定是否抛出AccessDeniedException异常

@RequestBody将HTTP请求正文插入方法中，使用合适的Http MEssageConverter将请求写入某个对象

@ResponseBody表示该方法的返回值直接写入HTTP responsebody中一般在异步获取数据时使用 在@RequestMapping后返回值不会解析为跳转路径而直接写入HTTP responsebody 中

@Pathvariable 接收请求中的占位符的值