我建议将hasAuthority('SOME_AUTHORITY')移到Springbean中的单独方法中，并在filter和@PreAuthorize注解中使用该方法。这样，您将拥有验证逻辑的公共位置，并保持代码的一致性。
如果您需要代码示例，请告诉我。

您可以使用类似于AuthorizationMethodPointcuts的切入点，以Spring Security的方式来实现这一点。AuthorizationManagerBeforeMethodInterceptor使用这个切入点读取这些注解。
GitHub链接到spring-security以供参考。
https://github.com/spring-projects/spring-security/tree/main/core/src/main/java/org/springframework/security/authorization

筛选器动态拦截请求和响应，以转换或使用请求或响应中包含的信息。筛选器通常自己不创建响应，而是提供可以“附加”到任何终结点的通用功能。

OncePerRequestFilter. Spring保证OncePerRequestFilter对于给定的请求只执行一次。

在您的示例中，您在AuthTokenFilter中扩展了OncePerRequestFilter，并且正如您在注解中提到的，如果用户具有有效的详细信息（在本示例中设置身份验证对象），则在此筛选器中授权用户。

• 一旦您到达端点，Spring将执行AuthTokenFilter逻辑
• 如果详细信息有效，则AuthTokenFilter将在Spring上下文中设置身份验证。
• Spring Security在不同类型的注解（如@PreAuthorize、@Secured）的帮助下支持方法级别的授权。但是要启用基于注解的安全性，我们需要在任何@Configuration类上添加@EnableGlobalMethodSecurity注解。例如：

@Configuration
  @EnableGlobalMethodSecurity(
    prePostEnabled = true, 
    securedEnabled = true, 
    jsr250Enabled = true)
  public class MethodSecurityConfiguration {
      //default configuration class
  }

• HttpSecurity绑定到URL端点，而@PreAuthorize绑定到控制器方法，并且实际上位于与控制器定义相邻的代码中。
• 权限/角色应该在AuthTokenFilter（在您的情况下）内的Authentication对象中设置，且这些角色可以使用@PreAuthorize注解进行验证。
• @预授权将在AuthTokenFilter筛选器之后触发