権限チェックはアプリケーションサービスでやるものか?
Spring公式のFAQには「一般的にはサービスレイヤーに、個別のコントローラーよりも、セキュリティを適用することを勧める」とある。
https://docs.spring.io/spring-security/site/faq/faq.html (3.2.)
それぞれの動機。
to コントローラーにセキュリティを適用する動機
to アプリケーションサービスにセキュリティを適用する動機