服务中的Spring Boot授权

我有一个Spring Boot应用程序，该应用程序使用Spring Security使用JWT对请求进行身份验证和授权。但是，某些请求只能由特定用户执行。例如：

GET /users/{id}/orders仅当{id}当前用户为或当前用户为时，才应返回订单列表ADMIN

PUT /orders/{id}仅当订单payer是当前用户时才应编辑订单

PUT /representation-requests/{id}/accept仅在当前用户是target制图表达请求的用户时才起作用

由于JWT的使用，我获取当前用户ID的方式是

String userId = ((DecodedJWT) SecurityContextHolder.getContext().getAuthentication().getDetails()).getSubject();

我已经在负责处理每个API调用的服务的各种方法中实现了这一点。我的问题是使用Spring Boot和Spring Security是否有更通用的方法？还是这不是标准用例？

我已经看过@PreAuthorize控制器中的注释，但是它不能满足我的需要，因为URL参数不足以检查嵌套实体。@PostAuthorize控制器中的代码似乎更接近，但是由于JWT的原因，我无法使其工作（并且在注释中执行长代码似乎也有些笨拙，不确定它是否比在服务本身中做的更好）。我感谢朝着正确方向的指针。

问题来源：Stack Overflow