您必须使用前缀ROLE_命名您的授权才能使用isUserInRole，请参见Spring安全参考：
HttpServletRequest.isUserInRole（字符串）将确定SecurityContextHolder.getContext().getAuthentication().getAuthorities()是否包含GrantedAuthority以及传入isUserInRole(String)的角色。通常，用户不应将“ROLE_”前缀传入此方法，因为它是自动添加的。例如，如果要确定当前用户是否具有“ROLE_ADMIN”权限，可以使用以下命令：

boolean isAdmin = httpServletRequest.isUserInRole("ADMIN");

对于hasRole（也是hasAnyRole）也是如此，请参见Spring安全参考：
如果当前主体具有指定的角色，则返回true。默认情况下，如果提供的角色不是以“ROLE_”开头，则将添加该角色。这可以通过修改DefaultWebSecurityExpressionHandler上的defaultRolePrefix进行自定义。
另请参阅Spring Security Reference：

46.3.3“ROLE_”是什么意思？为什么我的角色名称上需要它？

Spring Security具有基于投票器的体系结构，这意味着访问决策是由一系列AccessDecisionVoters做出的。（例如方法调用）。使用这种方法，并非所有属性都与所有表决器相关，表决器需要知道何时应忽略属性最常见的投票器是RoleVoter，它在默认情况下会在找到前缀为“ROLE_”的属性时进行投票。它会对属性进行简单的比较（例如“ROLE_USER”）与当前用户已分配的权限的名称匹配。如果找到匹配项（他们具有名为“ROLE_USER”的权限），则投票授予访问权限，否则投票拒绝访问权限。

我不得不即兴发挥了一下，也许有其他的方法比我的更简单，但在我工作的时候，我没有其他选择，只能即兴发挥了一点，经过彻底的研究得出了这个解决方案. Spring Security有一个名为AccessDecisionManager的接口，你将需要实现它.

@Component
public class RolesAccessDecisionManager implements AccessDecisionManager {
    private final static String AUTHENTICATED = "authenticated";
    private final static String PERMIT_ALL = "permitAll";

    @Override
    public void decide(Authentication authentication, Object o, Collection<ConfigAttribute> collection) throws AccessDeniedException, InsufficientAuthenticationException {
        collection.forEach(configAttribute -> {
            if (!this.supports(configAttribute))
                throw new AccessDeniedException("ACCESS DENIED");
        });
    }

    @Override
    public boolean supports(ConfigAttribute configAttribute) {
        Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
        if (authentication != null && authentication.isAuthenticated()) {
            String rolesAsString = authentication.getAuthorities().stream().map(GrantedAuthority::getAuthority).collect(Collectors.joining(","));
            if (configAttribute.toString().contains(rolesAsString))
                return true;
            else
                return (configAttribute.toString().contains(PERMIT_ALL) || configAttribute.toString().contains(AUTHENTICATED));
        }
        return true;
    }

    @Override
    public boolean supports(Class<?> aClass) {
        return true;
    }
}

现在，要使用您的安全配置支持此自定义访问决策管理器，请在安全配置中执行以下操作：

@Override
        protected void configure(HttpSecurity http) throws Exception {
            http.csrf().disable()
// other configs
    .accessDecisionManager(this.accessDecisionManager)

accessDecisionManager是您所创建的AccessDecisionManager实现的自动连接bean。

您可以使用hasRole()或hasAuthority()。不同之处在于，您必须使用ROLE_来执行hasAusthority()方法。
所以对于ROLE_ADMIN，

@PreAuthorize("hasRole('ADMIN')") == @PreAuthorize("hasAuthority('ROLE_ADMIN')")