@PreAuthorize(“hasRole(‘ROLE_USER’)”) 不起作用的原因可能确实是用户信息中没有包含正确的角色信息，但也可能由其他几个因素导致。以下是一些可能的原因：

1、用户信息中确实没有角色信息：

• 如果 Authentication 对象中的 GrantedAuthority 集合没有包含 ROLE_USER 角色，那么 hasRole(‘ROLE_USER’) 表达式将不会评估为真。

2、角色前缀不匹配：

• Spring Security 默认的角色前缀是 ROLE_。如果你的角色没有以 ROLE_ 开头，你需要确保在 @PreAuthorize 表达式中正确地指定了角色名（包括前缀）。但是，如果你已经通过配置更改了默认的角色前缀，那么请确保你的配置与 @PreAuthorize 表达式中的前缀相匹配。

3、安全上下文未正确设置：

• 如果 SecurityContextHolder 的上下文中没有设置 Authentication 对象，或者 Authentication 对象不是通过 Spring Security 的认证流程创建的，那么 @PreAuthorize 注解将不会生效。确保你的应用已经正确配置了 Spring Security，并且用户已经通过了认证流程。

4、@EnableGlobalMethodSecurity 未启用：

• 要使 @PreAuthorize 注解生效，你需要在你的配置类上添加 @EnableGlobalMethodSecurity(prePostEnabled = true) 注解（或适当的变体，取决于你需要的特性）。这个注解启用了全局方法安全性，使得 Spring Security 能够解析并应用 @PreAuthorize 等注解。

5、表达式处理器未正确配置：

• 如果你使用了自定义的表达式处理器或扩展了 Spring Security 的表达式语言，确保它们已经正确配置并且没有干扰到标准的 hasRole 表达式处理。

6、方法访问权限问题：

• 确保你的方法不是通过某种方式（如 AOP 代理绕过）被直接调用的，这可能会绕过 Spring Security 的方法安全性检查。

7、AOP 代理问题：

• 确保你的 Spring 配置或启动类启用了 AOP 代理（通常是自动的，但如果你做了特殊的配置，可能会影响它）。AOP 代理是 Spring Security 方法安全性实现的关键部分。

8、日志和调试：

查看 Spring Security 的日志输出，它可能会提供关于为什么 @PreAuthorize 没有按预期工作的线索。你也可以在你的方法中添加日志语句来检查 Authentication 对象的内容，以确保它包含了你期望的角色信息。

9、配置错误：

• 检查你的 Spring Security 配置，确保没有配置错误或遗漏，这些可能会影响方法安全性的应用。
  如果你已经检查了以上所有可能的原因，并且仍然无法解决问题，那么可能需要更深入地调查你的应用配置或寻求 Spring Security 社区的帮助。