我第一次从事SpringSecurity的工作。我们有一个表，其中存储了10个LOB的工作流详细信息。如果请求者具有审批者角色，则有一个get api可返回来自所有lob的所有挂起记录，无论他/她属于哪个lob。这是通过@preauthorize注解实现的。现在，我的要求是使此授权更细粒度，即，如果用户具有审批者角色并且属于一个lob，那么我的api应该只返回一个lob的记录。请求者不应看到其他lob记录。请帮助我了解spring security是如何工作的。我是否需要更新数据库中lob出轨的所有现有记录，以便根据lob进行筛选？我的数据库目前没有任何lob详细信息。审批人角色在lob级别授予。